第1题：

通过网页上的钓鱼攻击来获取密码的方式，实质上是一种:（）

A．社会工程学攻击

B．密码分析学

C．旁路攻击

D．暴力破解攻击

信管网参考答案：A

信管网参考解析：钓鱼式攻击是一种企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称（自己）来自社交网站拍卖网站\网络银行、电子支付网站\或网络管理者，以此来诱骗受害人的轻信。网钓通常是通过e-mail或者即时通讯进行。它常常导引用户到url与界面外观与真正网站几无二致的假冒网站输入个人数据。就算使用强式加密的ssl服务器认证，要侦测网站是否仿冒实际上仍很困难。

社会工程学，准确来说，不是一门科学，而是一门艺术和窍门的方术。社会工程学利用人的弱点，以顺从你的意愿、满足你的欲望的方式，让你上当的一些方法、一门艺术与学问。说它不是科学，因为它不是总能重复和成功，而且在信息充分多的情况下，会自动失效。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素。社会工程学是一种利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段，获取自身利益的手法。

现实中运用社会工程学的犯罪很多。短信诈骗如诈骗银行信用卡号码，电话诈骗如以知名人士的名义去推销诈骗等，都运用到社会工程学的方法。

第2题：

下列保护系统账户安全的措施中，哪个措施对解决口令暴力破解无帮助？（）

A.设置系统的账户锁定策略，在用户登录输入错误次数达到一定数量时对账户进行锁定

B.更改系统内置管理员的用户名

C.给管理员账户一个安全的口令

D.使用屏幕保护并设置返回时需要提供口令

信管网参考答案：D

信管网参考解析：穷举法是一种针对于密码的破译方法。这种方法很像数学上的“完全归纳法”并在密码破译方面得到了广泛的应用。简单来说就是将密码进行逐个推算直到找出真正的密码为止。比如一个四位并且全部由数字组成其密码共有10000种组合，也就是说最多我们会尝试9999次才能找到真正的密码。利用这种方法我们可以运用计算机来进行逐个推算，也就是说用我们破解任何一个密码也都只是一个时间问题。

当然如果破译一个有8位而且有可能拥有大小写字母、数字、以及符号的密码用普通的家用电脑可能会用掉几个月甚至更多的时间去计算，其组合方法可能有几千万亿种组合。这样长的时间显然是不能接受的。其解决办法就是运用字典，所谓“字典”就是给密码锁定某个范围，比如英文单词以及生日的数字组合等，所有的英文单词不过10万个左右这样可以大大缩小密码范围，很大程度上缩短了破译时间。

在一些领域，为了提高密码的破译效率而专门为其制造的超级计算机也不在少数，例如ibm为美国军方制造的“飓风”就是很有代表性的一个。

现今稍具严密度的密码验证机制都会设下试误的可容许次数以应对使用密码穷举法的破解者。当试误次数达到可容许次数时，密码验证系统会自动拒绝继续验证，有的甚至还会自动启动入侵警报机制。