说明口令的控制措施。
答:实际中,用到的口令的控制措施有如下内容。
(1)系统消息:一般系统在联机和脱机时都显示一些礼貌性用语,而成为识别该系统的线索,因此,这些系统应当可以抑制这类消息的显示,口令当然不能显示。
(2)限制试探次数:重复输入口令一般限制为3〜6次,超过限定试验次数,系统将对该用户ID锁定,直到重新认证授权才再开启。
(3)口令有效期:限定口令使用期限。
(4)双口令系统:允许联机用口令,接触敏感信息还要输入一个不同的口令。
(5)最小长度:限制口令至少为6〜8B以上,防止猜测成功概率过高,可采用掺杂或釆用通行短语等加长和随机化。
(6)封锁用户系统:可以对长期未联机用户或口令超过使用期的用户的ID封锁,直到用户重新被授权。
(7)根口令的保护:根口令容易成为攻击者的攻击目标,在选择和使用中要倍加保护。要求必须釆用16进制字符,不能通过网络传送,要经常更换(一周以内)等。
(8)系统生成口令:有些系统不允许用户自己选定口令,而由系统生成、分配口令。
(9)口令的检验:用一些软件工具检验口令的可用性。
