实验目的

（1）能够了解实验规范和实验所需的编程环境

（2）能够理解社会工程学在口令攻击中的作用，掌握设计安全口令的方法

（3）能够掌握钓鱼攻击技术和相应的防范手段

（4）培养公民意识，提高社会责任感，积极向社会普及信息安全知识

实验原理

课程第 2 讲可用性和心理学

实验内容

练习1windows口令破解

字典破解是口令攻击的一种常用方式，是指破解者通过对用户的了解，猜测其可能使用某些信息作为密码，例如其姓名、生日、电话号码等，同时结合对密码长度的猜测，利用工具来生成密码破解字典。

1、基本操作

（1）两人一组，相互为对方计算机新增账户并设置密码，并向对方提供一定的提示信息。为了达到实验效果，用户口令不要设置得过于复杂。

（2）根据对方所给的提示，并结合自己日常的了解猜测可能设置的密码，生成密码字典。

（3）进入实验平台，单击工具栏“字典生成器”按钮，启动“字典生成器”。选择“生日”标签页，输入的年份与月份信息应尽量包含步骤(1) 中用到的生日日期，在“生成字典”标签页中确定字典文件存放的路径以及新用户口令位数，最后生成字典文件。

（4）单击工具栏“LC5”按钮，启动 LC5 口令破解工具。选择“Session”（会话）｜“Session Options…”（会话选项）菜单项，在弹出的“Auditing Options For This Session”对话框中选中“Dictionary Crack”项的“Enabled”，取消其它项的 “Enabled”。单击“Dictionary List”（字典列表）按钮，导入步骤(2) 中生成的字典文件。

返回 LC5 主界面，选择“Session”｜“Import…”（导入）菜单项，在弹出的 “Import”对话框中导入本地用户列表，选择“Session”｜“Begin Audit”（开始审计）菜单项，开始字典破解用户口令。

2、思考与总结

（1）总结设计安全口令的因素，以及应如何设计安全的口令。

设计安全口令是保护账户安全的一个重要方面。以下是设计安全口令的因素以及如何设计安全口令的总结：

因素：

复杂度：口令应该足够复杂，以避免被猜测或破解。复杂的口令通常包括大小写字母、数字和符号等元素。

长度：口令长度越长，破解难度越大。因此，应该选择足够长的口令，通常建议至少12个字符。

难以猜测性：口令应该难以被猜测，最好不要使用常见的单词、短语、生日等易于猜测的信息。

定期更换：定期更换口令可以减少口令被盗用或破解的风险。

如何设计安全口令：

使用随机字符：生成随机密码可以确保口令具有足够的复杂度和难以猜测性。可以使用密码生成器来生成随机密码。

使用短语：使用短语作为口令可以提高复杂度，例如将一句话转换为首字母缩写。

使用密码管理器：使用密码管理器可以方便地生成和管理安全口令，避免使用相同的口令或容易猜测的信息。

避免使用常见的信息：避免使用易于猜测的信息，例如生日、名字、电话号码等。

定期更换：定期更换口令可以减少口令被盗用或破解的风险。建议每三个月更换一次口令。

总之，设计安全口令需要考虑复杂度、长度、难以猜测性以及定期更换等因素。使用随机字符、短语、密码管理器以及避免使用常见信息等方法可以帮助设计安全口令。

练习2：QQ 邮箱的钓鱼攻击

从社会工程学的角度来说，往往由于用户的疏忽大意，不小心访问了错误的网站，而该网站的页面与正常网站并无差别，用户在输入个人私密信息后，用户的敏感信息便被非法的窃取。

1、构造钓鱼页面

（1）打开 https://mail.qq.com/，右键快捷菜单保存 QQ 邮箱首页，保存网页的全部内容。

（2）用文本编辑器打开文件夹中的 xlogin.html 文件，定位到登录按钮（login_button）代码处，为其添加单击事件。同时，在<script>区域中添加单击事件响应函数，将得到的账号和密码通过 HTTP POST 方法发送至目标服务器，并将其中的 IP 地址修改为实验所用主机的 IP 地址。