第1題：

通過(guò)網(wǎng)頁(yè)上的釣魚攻擊來(lái)獲取密碼的方式，實(shí)質(zhì)上是一種:（）

A．社會(huì)工程學(xué)攻擊

B．密碼分析學(xué)

C．旁路攻擊

D．暴力破解攻擊

信管網(wǎng)參考答案：A

信管網(wǎng)參考解析：釣魚式攻擊是一種企圖從電子通訊中，通過(guò)偽裝成信譽(yù)卓著的法人媒體以獲得如用戶名、密碼和信用卡明細(xì)等個(gè)人敏感信息的犯罪詐騙過(guò)程。這些通信都聲稱（自己）來(lái)自社交網(wǎng)站拍賣網(wǎng)站\網(wǎng)絡(luò)銀行、電子支付網(wǎng)站\或網(wǎng)絡(luò)管理者，以此來(lái)誘騙受害人的輕信。網(wǎng)釣通常是通過(guò)e-mail或者即時(shí)通訊進(jìn)行。它常常導(dǎo)引用戶到url與界面外觀與真正網(wǎng)站幾無(wú)二致的假冒網(wǎng)站輸入個(gè)人數(shù)據(jù)。就算使用強(qiáng)式加密的ssl服務(wù)器認(rèn)證，要偵測(cè)網(wǎng)站是否仿冒實(shí)際上仍很困難。

社會(huì)工程學(xué)，準(zhǔn)確來(lái)說(shuō)，不是一門科學(xué)，而是一門藝術(shù)和竅門的方術(shù)。社會(huì)工程學(xué)利用人的弱點(diǎn)，以順從你的意愿、滿足你的欲望的方式，讓你上當(dāng)?shù)囊恍┓椒?、一門藝術(shù)與學(xué)問。說(shuō)它不是科學(xué)，因?yàn)樗皇强偰苤貜?fù)和成功，而且在信息充分多的情況下，會(huì)自動(dòng)失效。社會(huì)工程學(xué)的竅門也蘊(yùn)涵了各式各樣的靈活的構(gòu)思與變化因素。社會(huì)工程學(xué)是一種利用人的弱點(diǎn)如人的本能反應(yīng)、好奇心、信任、貪便宜等弱點(diǎn)進(jìn)行諸如欺騙、傷害等危害手段，獲取自身利益的手法。

現(xiàn)實(shí)中運(yùn)用社會(huì)工程學(xué)的犯罪很多。短信詐騙如詐騙銀行信用卡號(hào)碼，電話詐騙如以知名人士的名義去推銷詐騙等，都運(yùn)用到社會(huì)工程學(xué)的方法。

第2題：

下列保護(hù)系統(tǒng)賬戶安全的措施中，哪個(gè)措施對(duì)解決口令暴力破解無(wú)幫助？（）

A.設(shè)置系統(tǒng)的賬戶鎖定策略，在用戶登錄輸入錯(cuò)誤次數(shù)達(dá)到一定數(shù)量時(shí)對(duì)賬戶進(jìn)行鎖定

B.更改系統(tǒng)內(nèi)置管理員的用戶名

C.給管理員賬戶一個(gè)安全的口令

D.使用屏幕保護(hù)并設(shè)置返回時(shí)需要提供口令

信管網(wǎng)參考答案：D

信管網(wǎng)參考解析：窮舉法是一種針對(duì)于密碼的破譯方法。這種方法很像數(shù)學(xué)上的“完全歸納法”并在密碼破譯方面得到了廣泛的應(yīng)用。簡(jiǎn)單來(lái)說(shuō)就是將密碼進(jìn)行逐個(gè)推算直到找出真正的密碼為止。比如一個(gè)四位并且全部由數(shù)字組成其密碼共有10000種組合，也就是說(shuō)最多我們會(huì)嘗試9999次才能找到真正的密碼。利用這種方法我們可以運(yùn)用計(jì)算機(jī)來(lái)進(jìn)行逐個(gè)推算，也就是說(shuō)用我們破解任何一個(gè)密碼也都只是一個(gè)時(shí)間問題。

當(dāng)然如果破譯一個(gè)有8位而且有可能擁有大小寫字母、數(shù)字、以及符號(hào)的密碼用普通的家用電腦可能會(huì)用掉幾個(gè)月甚至更多的時(shí)間去計(jì)算，其組合方法可能有幾千萬(wàn)億種組合。這樣長(zhǎng)的時(shí)間顯然是不能接受的。其解決辦法就是運(yùn)用字典，所謂“字典”就是給密碼鎖定某個(gè)范圍，比如英文單詞以及生日的數(shù)字組合等，所有的英文單詞不過(guò)10萬(wàn)個(gè)左右這樣可以大大縮小密碼范圍，很大程度上縮短了破譯時(shí)間。

在一些領(lǐng)域，為了提高密碼的破譯效率而專門為其制造的超級(jí)計(jì)算機(jī)也不在少數(shù)，例如ibm為美國(guó)軍方制造的“颶風(fēng)”就是很有代表性的一個(gè)。

現(xiàn)今稍具嚴(yán)密度的密碼驗(yàn)證機(jī)制都會(huì)設(shè)下試誤的可容許次數(shù)以應(yīng)對(duì)使用密碼窮舉法的破解者。當(dāng)試誤次數(shù)達(dá)到可容許次數(shù)時(shí)，密碼驗(yàn)證系統(tǒng)會(huì)自動(dòng)拒絕繼續(xù)驗(yàn)證，有的甚至還會(huì)自動(dòng)啟動(dòng)入侵警報(bào)機(jī)制。