第1題：

通過網頁上的釣魚攻擊來獲取密碼的方式，實質上是一種:（）

A．社會工程學攻擊

B．密碼分析學

C．旁路攻擊

D．暴力破解攻擊

信管網參考答案：A

信管網參考解析：釣魚式攻擊是一種企圖從電子通訊中，通過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。這些通信都聲稱（自己）來自社交網站拍賣網站\網絡銀行、電子支付網站\或網絡管理者，以此來誘騙受害人的輕信。網釣通常是通過e-mail或者即時通訊進行。它常常導引用戶到url與界面外觀與真正網站幾無二致的假冒網站輸入個人數據。就算使用強式加密的ssl服務器認證，要偵測網站是否仿冒實際上仍很困難。

社會工程學，準確來說，不是一門科學，而是一門藝術和竅門的方術。社會工程學利用人的弱點，以順從你的意愿、滿足你的欲望的方式，讓你上當的一些方法、一門藝術與學問。說它不是科學，因為它不是總能重復和成功，而且在信息充分多的情況下，會自動失效。社會工程學的竅門也蘊涵了各式各樣的靈活的構思與變化因素。社會工程學是一種利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行諸如欺騙、傷害等危害手段，獲取自身利益的手法。

現實中運用社會工程學的犯罪很多。短信詐騙如詐騙銀行信用卡號碼，電話詐騙如以知名人士的名義去推銷詐騙等，都運用到社會工程學的方法。

第2題：

下列保護系統賬戶安全的措施中，哪個措施對解決口令暴力破解無幫助？（）

A.設置系統的賬戶鎖定策略，在用戶登錄輸入錯誤次數達到一定數量時對賬戶進行鎖定

B.更改系統內置管理員的用戶名

C.給管理員賬戶一個安全的口令

D.使用屏幕保護并設置返回時需要提供口令

信管網參考答案：D

信管網參考解析：窮舉法是一種針對于密碼的破譯方法。這種方法很像數學上的“完全歸納法”并在密碼破譯方面得到了廣泛的應用。簡單來說就是將密碼進行逐個推算直到找出真正的密碼為止。比如一個四位并且全部由數字組成其密碼共有10000種組合，也就是說最多我們會嘗試9999次才能找到真正的密碼。利用這種方法我們可以運用計算機來進行逐個推算，也就是說用我們破解任何一個密碼也都只是一個時間問題。

當然如果破譯一個有8位而且有可能擁有大小寫字母、數字、以及符號的密碼用普通的家用電腦可能會用掉幾個月甚至更多的時間去計算，其組合方法可能有幾千萬億種組合。這樣長的時間顯然是不能接受的。其解決辦法就是運用字典，所謂“字典”就是給密碼鎖定某個范圍，比如英文單詞以及生日的數字組合等，所有的英文單詞不過10萬個左右這樣可以大大縮小密碼范圍，很大程度上縮短了破譯時間。

在一些領域，為了提高密碼的破譯效率而專門為其制造的超級計算機也不在少數，例如ibm為美國軍方制造的“颶風”就是很有代表性的一個。

現今稍具嚴密度的密碼驗證機制都會設下試誤的可容許次數以應對使用密碼窮舉法的破解者。當試誤次數達到可容許次數時，密碼驗證系統會自動拒絕繼續(xù)驗證，有的甚至還會自動啟動入侵警報機制。