2018年1月,某省级管理网站因管理者使用123456弱密码作为密码,不仅造成该管理人员所在组织内部人员信息全部泄露,结合网站其他漏洞进行利用,导致全网站72万组织成员身份证号,联系方式,家庭住址等信息全部泄露。
2021年9月,某地网安大队在对属地网站开展巡查工作中发现,辖区某旅游公司网站存在站点弱密码漏洞。经查,该旅游企业于2016年委托某网络公司为其建设网站,因时任企业负责人为了便于管理网站,直接将网站后台管理入口放置在web页面,且存在弱密码漏洞。针对此情况,网安大队责令该企业负责人将网站关闭,对现有超期域名进行注销,同时对该企业下达整改通知书。
2023年7月13日,北京朝阳网安部门检查发现,朝阳某教育公司数据被泄露到境外非法网站上,该公司的一个客户关系管理系统内存储的该公司员工账号以及对应客户姓名、手机、下单时间、成交金额等12余万条信息被泄露。经现场检查发现,因该公司技术人员在对系统测试过程中,将有权限的测试账号设为弱口且系统正式使用后未将测试账号进行清空删除处理。
以上三个事件,都指向一个很小但很严重的问题——弱密码几乎毫无安全性可言。根据2023年的专项调研数据,100%的组织都存在不同程度的弱密码,单个系统的弱密码数量在10~20个,意味着无论我们在安全防护上投入了多大的人力物力,攻击者都可能通过弱密码进行攻击。
前些天,德国军方和我的朋友也都因为安全问题导致了数据被窃取,所以无论是个人还是国家,都应该重视自己的密码安全问题。下面我们就看看,弱密码都有哪些。弱密码可以大体分成两类,其一是默认型弱密码,其二是社工型弱密码
1、默认型弱密码
各硬件、软件设备厂商、WEB框架、服务提供商等互联网供应商,为了方便用户登陆记忆,默认出厂都将密码密码设置为空,或设置为admin、123456、admin123、000000、huawei@1234、Cisco等容易记忆的标识身份型密码。这样的密码在方便用户记忆的同时,也促成了攻击者可以以厂商默认密码的方式未授权登陆用户账户的风险事件。
2、社工型弱密码
用户自己根据日常行为习惯、喜好、个人身份信息、社交账号等进行自定义的简单、连续、便于猜出的弱密码类型,多为身份证号后6位、qq号、1q2w3e4r、123qwe、手机号、出生年月日、姓名、zhang888、lisi6666、fangzhengkeji、zhangsan@123等具有可推测性、关联性的组合式密码。攻击者通常使用自编译的脚本或工具配合拥有的部分用户信息制作密码字典,通过爆破的方式进行攻击。
作为普通人的我们,对于如何提高密码的安全性,我这里有如下几点建议。
1、密码设置建议
- 复杂性要求:账户密码必须包含大小写,数字,特殊字符,四种类型中的三种;
- 密码不能为顺序或逆序的连续数字、英文大小写字母(如123456a!,1gaz2wsx?、);3、密码不能为相邻组合键盘的连续数字、大小写英文字母(如2wsxcde3?、lqazxsw2?);
- 密码不能为变形的单词词组(如passwOrd、Hell0aa?);
- 新更改的密码必须使用至少一天时间;
- 密码长度:密码长度必须8位以上;
- 更改周期:密码最长使用90天,且不能使用历史密码(前2次);
- 锁定策略:2分钟内输入5次错误密码,账户会被锁定2分钟,防止暴力破解。
- 避免弱密码
- 及时修改初始密码。设备出厂时设置的默认用户名和密码,基本上是以简单的数字或字母的排序,比如admin、000000、111111、root等。开始使用账号时应该及时修改账号的初始密码,并为账号设置一个满足复杂度要求的高安全级别的密码。
- 不同账号设置多套密码。应为不同类型的账号设置不同的密码,防止一个密码泄露导致所有账号被攻破。
- 可以使用密码生成器生成随机密码。密码生成器可以在密码规则范围内随机组合生成高强度的密码,相比人工组合的密码更无规律可循,安全性更高。
- 可以使用密码管理器存储密码。不要把密码写在纸条上,贴在电脑上,或明文存储在电脑中,很容易被黑客获取。可以借助专业的密码管理软件,既能够解决记忆的难题,还能保证较高的安全性,这方面的软件有很多,例如:KeePass DX、Password Safe和NordPass、Easypass等。
- 临时账号避免使用弱密码。临时搭建的测试系统、短期使用的开发环境中创建的临时账号不应因为使用时间短而放松警惕,也需要避免使用弱密码。
- 系统镜像内置账号避免设置弱密码。系统镜像内置账号应设置高强度的密码,从源头避免弱密码。
版权归原作者 公子烨 所有, 如有侵权,请联系我们删除。