第1題：

通過網(wǎng)頁上的釣魚攻擊來獲取密碼的方式，實質(zhì)上是一種:（）

A．社會工程學(xué)攻擊

B．密碼分析學(xué)

C．旁路攻擊

D．暴力破解攻擊

信管網(wǎng)參考答案：A

信管網(wǎng)參考解析：釣魚式攻擊是一種企圖從電子通訊中，通過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細(xì)等個人敏感信息的犯罪詐騙過程。這些通信都聲稱（自己）來自社交網(wǎng)站拍賣網(wǎng)站\網(wǎng)絡(luò)銀行、電子支付網(wǎng)站\或網(wǎng)絡(luò)管理者，以此來誘騙受害人的輕信。網(wǎng)釣通常是通過e-mail或者即時通訊進行。它常常導(dǎo)引用戶到url與界面外觀與真正網(wǎng)站幾無二致的假冒網(wǎng)站輸入個人數(shù)據(jù)。就算使用強式加密的ssl服務(wù)器認(rèn)證，要偵測網(wǎng)站是否仿冒實際上仍很困難。

社會工程學(xué)，準(zhǔn)確來說，不是一門科學(xué)，而是一門藝術(shù)和竅門的方術(shù)。社會工程學(xué)利用人的弱點，以順從你的意愿、滿足你的欲望的方式，讓你上當(dāng)?shù)囊恍┓椒?、一門藝術(shù)與學(xué)問。說它不是科學(xué)，因為它不是總能重復(fù)和成功，而且在信息充分多的情況下，會自動失效。社會工程學(xué)的竅門也蘊涵了各式各樣的靈活的構(gòu)思與變化因素。社會工程學(xué)是一種利用人的弱點如人的本能反應(yīng)、好奇心、信任、貪便宜等弱點進行諸如欺騙、傷害等危害手段，獲取自身利益的手法。

現(xiàn)實中運用社會工程學(xué)的犯罪很多。短信詐騙如詐騙銀行信用卡號碼，電話詐騙如以知名人士的名義去推銷詐騙等，都運用到社會工程學(xué)的方法。

第2題：

下列保護系統(tǒng)賬戶安全的措施中，哪個措施對解決口令暴力破解無幫助？（）

A.設(shè)置系統(tǒng)的賬戶鎖定策略，在用戶登錄輸入錯誤次數(shù)達(dá)到一定數(shù)量時對賬戶進行鎖定

B.更改系統(tǒng)內(nèi)置管理員的用戶名

C.給管理員賬戶一個安全的口令

D.使用屏幕保護并設(shè)置返回時需要提供口令

信管網(wǎng)參考答案：D

信管網(wǎng)參考解析：窮舉法是一種針對于密碼的破譯方法。這種方法很像數(shù)學(xué)上的“完全歸納法”并在密碼破譯方面得到了廣泛的應(yīng)用。簡單來說就是將密碼進行逐個推算直到找出真正的密碼為止。比如一個四位并且全部由數(shù)字組成其密碼共有10000種組合，也就是說最多我們會嘗試9999次才能找到真正的密碼。利用這種方法我們可以運用計算機來進行逐個推算，也就是說用我們破解任何一個密碼也都只是一個時間問題。

當(dāng)然如果破譯一個有8位而且有可能擁有大小寫字母、數(shù)字、以及符號的密碼用普通的家用電腦可能會用掉幾個月甚至更多的時間去計算，其組合方法可能有幾千萬億種組合。這樣長的時間顯然是不能接受的。其解決辦法就是運用字典，所謂“字典”就是給密碼鎖定某個范圍，比如英文單詞以及生日的數(shù)字組合等，所有的英文單詞不過10萬個左右這樣可以大大縮小密碼范圍，很大程度上縮短了破譯時間。

在一些領(lǐng)域，為了提高密碼的破譯效率而專門為其制造的超級計算機也不在少數(shù)，例如ibm為美國軍方制造的“颶風(fēng)”就是很有代表性的一個。

現(xiàn)今稍具嚴(yán)密度的密碼驗證機制都會設(shè)下試誤的可容許次數(shù)以應(yīng)對使用密碼窮舉法的破解者。當(dāng)試誤次數(shù)達(dá)到可容許次數(shù)時，密碼驗證系統(tǒng)會自動拒絕繼續(xù)驗證，有的甚至還會自動啟動入侵警報機制。