如果你是一名系统管理员或者Web开发人员,你可能已经知道强度不够的用户密码是最大网络安全风险之一。强度不够的密码——比如,使用用户的名字或者生日作密码——通常都可以利用复杂的用户嗅探工具“破解”,这样未经授权的用户就可以很容易地从后门进入服务器。这就是为什么很多管理员都会定期检查用户密码,以确保它们的安全性足以抵御住一次进攻。根据所需要的安全级别,有一些管理员甚至会对密码进行进一步的处理:他们会自己生成并指定用户密码。
但是,自动地生成用户密码有些棘手——密码必须足够简单,容易记住,但是又不能太简单,否则就很容易被破解。Internet上有很多算法可以用来帮助你生成一个安全的、可以拼读的密码;然而,如果你交工的最终期限即将到来,或者你没有多少开发经验,你并不是总是能够实现这些解决方案。
但是,现在就有一个解决方案。CPAN有很多自动生成密码的模块,能够让你轻松地在应用程序里加入这项功能。这些模块都是很先进的工具——你可以自定义密码的长度、允许输入的字符、最终密码的“可拼读性”,以及其他属性。这类模块中有两个很有意思,我们下面就要讨论它们。
The String::MkPasswd模块
String::MkPasswd模块提供了一个简单的API,用来随机生成不可拼读的密码。要在Perl里使用它,就要进行下面这些步骤:
1. 安装这个模块
安装String::MkPasswd的最简单方法是使用CPAN命令解释器,输入下面的命令:
shell> perl -MCPAN -e shell
cpan> install String::MkPasswd
如果使用CPAN命令解释器,那么相关性就会被自动下载。
或者,你可以下载这个模块。一旦把下载文档里的文件解压到临时目录里,你就要运行下面这些命令:
shell> perl Makefile.PL
shell> make
shell> make install
如果Perl发现有相关性丢失,它会中断这一过程,并显示错误;那么你就应该安装丢失的文件并重试。如果所需要的文件都有了,那么上面的命令就会被编译,并把这个模块安装到你的Perl模块目录下。
2. 确定密码的属性
在编写代码之前,你必须确定密码的一些重要属性。String::MkPasswd让你可以控制:
在大多数情况下,你希望密码有8到15个字符长,而且希望一般的字符中间还包含相当的数字和特殊字符。要记住的是,密码越随机,它就越难被破解!
3. 生成密码
一旦确定密码需要是什么样的,你就可以调用String::MkPasswd模块的mkpasswd()函数来生成密码,见列表A。
列表A
#!/bin/perl
# import module
use String::MkPasswdqw(mkpasswd);
# print custom password
print mkpasswd(-length => 13, -minnum => 4, -minlower => 4, -minupper => 2, -minspecial => 3);
在本文里,所生成的密码有13个字符长,其中包括4个数字、4个小写字符、2个大写字符和3个标点。下面就是一个输出的例子:
w)d9V;7kz64&Y
每次调用mkpasswd()的时侯,你会得到一个不同的结果。所以,如果有大量的密码要生成,你可以就把对mkpasswd()的调用放到一个循环里,并处理每次运行的结果。
提示:如果这看起来太麻烦,你还可以不使用任何参数就调用mkpasswd()生成一个默认的9位数的密码。
Crypt::RandPasswd模块
String::MkPasswd模块可以生成很安全但是非常难以记住的密码。如果你更希望生成可以拼读和容易记忆的密码,那就考虑Crypt::RandPasswd模块吧。这个模块是自动密码生成器(Automated Password Generator)的一个实现,你可以用下面的步骤来使用它:
1. 安装这个模块
你可以用CPAN命令解释器来安装Crypt::RandPasswd,就像下面这样:
shell> perl -MCPAN -e shell
cpan> install Crypt::RandPasswd
或者,可以下载这个模块,并用下面的命令来安装它:
shell> perl Makefile.PL
shell> make
shell> make install
2. 生成密码
Crypt::RandPasswd模块带有一个word()函数,用来生成可拼读的随机密码。列表B是如何使用它的例子。
列表B
#!/bin/perl
# use module
use Crypt::RandPasswd;
# generate password
$word = Crypt::RandPasswd->word(5, 10);
print $word;
word()函数接受两个自变量:密码长度的上限和下限。下面就是输出结果的一个例子:
ijantyoph
提示:通过调用letters()方法你可以生成一个含有一串随机字母字符的密码,而不需要使用words()方法。
用这两个模块中的任何一个都可以提高你网络系统的安全性……那么你还等什么呢?