密码123456,这意味着什么?

密码123456,这意味着什么?

最近发现乌云网上一个词出现的频率非常高,因此拿出来说一说——弱口令。


所谓弱口令就是非常简单的密码,比如“admin、123456、888888”等等。这类密码因为很方便记忆,所以被大量使用,但是也非常容易让他人猜测到,更容易被黑客暴力破解。

弱口令一直是数据泄露的一个大症结,因为弱口令是最容易出现的也是最容易被利用的漏洞之一。从去年发生的好莱坞明星“艳照门”事件到今年年初海康威视“安全门”事件,都是因为弱口令问题被黑客加以利用而导致大量隐私泄露。


通过调查两千五百名网民的密码使用情况,发现了一个有意思的情况:74%承认他们每个月都会忘记至少一个密码,其中33%的人会因此有5分钟访问不到工作上的某些资源,57%的人是5-30分钟,剩余10%的人更高。在登录站点发生密码错误时,71%的人多次尝试不同密码后成功登录,18%选择找回密码,剩余11%则直接重新注册一个新账号。


比如机场的无线网络密码就经常采用弱口令。如果你想上网但又舍不得去咖啡厅的时候,有些常见的弱口令可以试试,比如说1234567890,而这些弱口令常常使用WEP网络。当然,还有经验丰富的网友说,商家的电话号码或者跟他们相关的数字都可能是无线网络密码,比如说店名+123一类。


而除了以上信息,弱口令有时候甚至可能是用户身份的相关信息,这里就涉及到了用户的信息安全。如果要保护口令的安全,就需保护用户的信息安全。这里波及的面更广,拿到了用户信息就可能拿到用户的财务信息,包括银行卡密码。


无论从什么角度来看,忘记密码造成的麻烦甚至是损失都是不小的,因此许多用户会选择使用简单好记的密码或总是让浏览器记住他们的密码。而弱密码是非常危险的,在商业环境中,这种做法的数据泄露风险同样可想而知。


那么,对于企业来说,该如何规避此类风险?


杜不绝的简单密码是常见的难题


许多企业花费了许多精力在技术部署上,各种技术性防护措施部署非常到位,但是却难以杜绝员工使用弱口令。密码被黑客获取,就好比小偷得到家里的钥匙,即时防盗门再好也无济于事。因此,解决弱口令问题,关键在于采取适当的解决方法。通常情况下,大部分企业会选择这些做法:


一、进行员工培训,提高员工的网络安全意识


二、在制度上严格规定,规范公司账号密码使用方法


三、通过技术手段对弱口令进行限制


弱口令不是简单的管理问题,每个人都有使用固定的密码的习惯。培训和制度的约束很难改变一个人的行为习惯,况且培训和制度的约束效果无法量化,实施起来收效甚慢,弱口令也不是一个单纯的技术问题。比如我们可以通过技术手段强制要求密码的复杂策略,但是防不住员工把密码贴在显示器上,这也是弱口令导致泄露事件频发的原因之一。因此规避弱口令问题,企业必须从管理和技术等多方面着手。



规避弱口令风险,可以尝试这样做


一、统一集中管理认证凭据


对于系统类的,Windows有域策略,可以强制要求密码复杂度策略。


*nix类的系统可以通过LDAP的方式集中管理。


对于高危服务类,比如MySQL、FTP、Redis、SVN、Git、Rsync等常被黑客利用的高危服务,由于业务特性极少做统一的管理,那么可以要求它们限定访问来源。


对于私有服务类,这里是指一些自己写的后台接口,在了解具体协议和用法之后,很多人也不会去做鉴权控制,所以只要是潜伏时间足够长,往往都有惊人的权限。同理,能够做统一集中的鉴权最佳,否则至少限制来源访问。


二、废弃传统静态密码,或不仅仅使用传统密码


一旦完成了统一集中管理,就可以做到首次认证,后续携带登录状态自动登录其它系统。这样你可以在首次认证的时候,在密码的基础上加入动态密码或生物识别验证。


这里可以使用的工具有:


动态口令硬件(类似于银行使用的网银支付使用U盾产品);


手持终端扫码,这本质上是信任手持终端,在此前可以加入生物特征,比如指纹、人脸、声纹等可靠的校验机制。目前的“洋葱令牌“产品就是基于这种验证的方式,企业可以通过洋葱令牌用很低的成本在内网部署生物识别,这也许会成为以后的主流验证方式之一;


当然,也有些用短信验证的,不过短信成本高,并且是明文传输,有盗卡、补卡的风险,内部系统其实并不适合。


可以说,能做到两点,也就无所谓是否还改密码,是否是弱密码也不再需要担心撞库的问题了。


最后说第三点,也是最关键的一点:让公司领导明白弱口令的严重性!