9
最近發現烏云網上一個詞出現的頻率非常高,因此拿出來說一說——弱口令。
所謂弱口令就是非常簡單的密碼,比如“admin、123456、888888”等等。這類密碼因為很方便記憶,所以被大量使用,但是也非常容易讓他人猜測到,更容易被黑客暴力破解。
弱口令一直是數據泄露的一個大癥結,因為弱口令是最容易出現的也是最容易被利用的漏洞之一。從去年發生的好萊塢明星“艷照門”事件到今年年初海康威視“安全門”事件,都是因為弱口令問題被黑客加以利用而導致大量隱私泄露。
通過調查兩千五百名網民的密碼使用情況,發現了一個有意思的情況:74%承認他們每個月都會忘記至少一個密碼,其中33%的人會因此有5分鐘訪問不到工作上的某些資源,57%的人是5-30分鐘,剩余10%的人更高。在登錄站點發生密碼錯誤時,71%的人多次嘗試不同密碼后成功登錄,18%選擇找回密碼,剩余11%則直接重新注冊一個新賬號。
比如機場的無線網絡密碼就經常采用弱口令。如果你想上網但又舍不得去咖啡廳的時候,有些常見的弱口令可以試試,比如說1234567890,而這些弱口令常常使用WEP網絡。當然,還有經驗豐富的網友說,商家的電話號碼或者跟他們相關的數字都可能是無線網絡密碼,比如說店名+123一類。
而除了以上信息,弱口令有時候甚至可能是用戶身份的相關信息,這里就涉及到了用戶的信息安全。如果要保護口令的安全,就需保護用戶的信息安全。這里波及的面更廣,拿到了用戶信息就可能拿到用戶的財務信息,包括銀行卡密碼。
無論從什么角度來看,忘記密碼造成的麻煩甚至是損失都是不小的,因此許多用戶會選擇使用簡單好記的密碼或總是讓瀏覽器記住他們的密碼。而弱密碼是非常危險的,在商業環境中,這種做法的數據泄露風險同樣可想而知。
那么,對于企業來說,該如何規避此類風險?
杜不絕的簡單密碼是常見的難題
許多企業花費了許多精力在技術部署上,各種技術性防護措施部署非常到位,但是卻難以杜絕員工使用弱口令。密碼被黑客獲取,就好比小偷得到家里的鑰匙,即時防盜門再好也無濟于事。因此,解決弱口令問題,關鍵在于采取適當的解決方法。通常情況下,大部分企業會選擇這些做法:
一、進行員工培訓,提高員工的網絡安全意識
二、在制度上嚴格規定,規范公司賬號密碼使用方法
三、通過技術手段對弱口令進行限制
弱口令不是簡單的管理問題,每個人都有使用固定的密碼的習慣。培訓和制度的約束很難改變一個人的行為習慣,況且培訓和制度的約束效果無法量化,實施起來收效甚慢,弱口令也不是一個單純的技術問題。比如我們可以通過技術手段強制要求密碼的復雜策略,但是防不住員工把密碼貼在顯示器上,這也是弱口令導致泄露事件頻發的原因之一。因此規避弱口令問題,企業必須從管理和技術等多方面著手。
規避弱口令風險,可以嘗試這樣做
一、統一集中管理認證憑據
對于系統類的,Windows有域策略,可以強制要求密碼復雜度策略。
*nix類的系統可以通過LDAP的方式集中管理。
對于高危服務類,比如MySQL、FTP、Redis、SVN、Git、Rsync等常被黑客利用的高危服務,由于業務特性極少做統一的管理,那么可以要求它們限定訪問來源。
對于私有服務類,這里是指一些自己寫的后臺接口,在了解具體協議和用法之后,很多人也不會去做鑒權控制,所以只要是潛伏時間足夠長,往往都有驚人的權限。同理,能夠做統一集中的鑒權最佳,否則至少限制來源訪問。
二、廢棄傳統靜態密碼,或不僅僅使用傳統密碼
一旦完成了統一集中管理,就可以做到首次認證,后續攜帶登錄狀態自動登錄其它系統。這樣你可以在首次認證的時候,在密碼的基礎上加入動態密碼或生物識別驗證。
這里可以使用的工具有:
動態口令硬件(類似于銀行使用的網銀支付使用U盾產品);
手持終端掃碼,這本質上是信任手持終端,在此前可以加入生物特征,比如指紋、人臉、聲紋等可靠的校驗機制。目前的“洋蔥令牌“產品就是基于這種驗證的方式,企業可以通過洋蔥令牌用很低的成本在內網部署生物識別,這也許會成為以后的主流驗證方式之一;
當然,也有些用短信驗證的,不過短信成本高,并且是明文傳輸,有盜卡、補卡的風險,內部系統其實并不適合。
可以說,能做到兩點,也就無所謂是否還改密碼,是否是弱密碼也不再需要擔心撞庫的問題了。
最后說第三點,也是最關鍵的一點:讓公司領導明白弱口令的嚴重性!
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
