密碼123456 安全弱口令意味著什么？

智慧安防網(wǎng)訊  最近發(fā)現(xiàn)網(wǎng)上一個(gè)詞出現(xiàn)的頻率非常高，因此拿出來說一說——弱口令。

所謂弱口令就是非常簡(jiǎn)單的密碼，比如“admin、123456、888888”等等。這類密碼因?yàn)楹芊奖阌洃洠员淮罅渴褂?，但是也非常容易讓他人猜測(cè)到，更容易被黑客暴力破解。

弱口令一直是數(shù)據(jù)泄露的一個(gè)大癥結(jié)，因?yàn)槿蹩诹钍亲钊菀壮霈F(xiàn)的也是最容易被利用的漏洞之一。從去年發(fā)生的好萊塢明星“艷照門”事件到今年年初?？低暋鞍踩T”事件，都是因?yàn)槿蹩诹顔栴}被黑客加以利用而導(dǎo)致大量隱私泄露。

通過調(diào)查兩千五百名網(wǎng)民的密碼使用情況，發(fā)現(xiàn)了一個(gè)有意思的情況：74%承認(rèn)他們每個(gè)月都會(huì)忘記至少一個(gè)密碼，其中33%的人會(huì)因此有5分鐘訪問不到工作上的某些資源，57%的人是5-30分鐘，剩余10%的人更高。在登錄站點(diǎn)發(fā)生密碼錯(cuò)誤時(shí)，71%的人多次嘗試不同密碼后成功登錄，18%選擇找回密碼，剩余11%則直接重新注冊(cè)一個(gè)新賬號(hào)。

比如機(jī)場(chǎng)的無線網(wǎng)絡(luò)密碼就經(jīng)常采用弱口令。如果你想上網(wǎng)但又舍不得去咖啡廳的時(shí)候，有些常見的弱口令可以試試，比如說1234567890，而這些弱口令常常使用WEP網(wǎng)絡(luò)。當(dāng)然，還有經(jīng)驗(yàn)豐富的網(wǎng)友說，商家的電話號(hào)碼或者跟他們相關(guān)的數(shù)字都可能是無線網(wǎng)絡(luò)密碼，比如說店名+123一類。

而除了以上信息，弱口令有時(shí)候甚至可能是用戶身份的相關(guān)信息，這里就涉及到了用戶的信息安全。如果要保護(hù)口令的安全，就需保護(hù)用戶的信息安全。這里波及的面更廣，拿到了用戶信息就可能拿到用戶的財(cái)務(wù)信息，包括銀行卡密碼。

無論從什么角度來看，忘記密碼造成的麻煩甚至是損失都是不小的，因此許多用戶會(huì)選擇使用簡(jiǎn)單好記的密碼或總是讓瀏覽器記住他們的密碼。而弱密碼是非常危險(xiǎn)的，在商業(yè)環(huán)境中，這種做法的數(shù)據(jù)泄露風(fēng)險(xiǎn)同樣可想而知。

那么，對(duì)于企業(yè)來說，該如何規(guī)避此類風(fēng)險(xiǎn)?

杜不絕的簡(jiǎn)單密碼是常見的難題

許多企業(yè)花費(fèi)了許多精力在技術(shù)部署上，各種技術(shù)性防護(hù)措施部署非常到位，但是卻難以杜絕員工使用弱口令。密碼被黑客獲取，就好比小偷得到家里的鑰匙，即時(shí)防盜門再好也無濟(jì)于事。因此，解決弱口令問題，關(guān)鍵在于采取適當(dāng)?shù)慕鉀Q方法。通常情況下，大部分企業(yè)會(huì)選擇這些做法：

一、進(jìn)行員工培訓(xùn)，提高員工的網(wǎng)絡(luò)安全意識(shí)

二、在制度上嚴(yán)格規(guī)定，規(guī)范公司賬號(hào)密碼使用方法

三、通過技術(shù)手段對(duì)弱口令進(jìn)行限制

弱口令不是簡(jiǎn)單的管理問題，每個(gè)人都有使用固定的密碼的習(xí)慣。培訓(xùn)和制度的約束很難改變一個(gè)人的行為習(xí)慣，況且培訓(xùn)和制度的約束效果無法量化，實(shí)施起來收效甚慢，弱口令也不是一個(gè)單純的技術(shù)問題。比如我們可以通過技術(shù)手段強(qiáng)制要求密碼的復(fù)雜策略，但是防不住員工把密碼貼在顯示器上，這也是弱口令導(dǎo)致泄露事件頻發(fā)的原因之一。因此規(guī)避弱口令問題，企業(yè)必須從管理和技術(shù)等多方面著手。

規(guī)避弱口令風(fēng)險(xiǎn)，可以嘗試這樣做

一、統(tǒng)一集中管理認(rèn)證憑據(jù)

對(duì)于系統(tǒng)類的，Windows有域策略，可以強(qiáng)制要求密碼復(fù)雜度策略。

*nix類的系統(tǒng)可以通過LDAP的方式集中管理。

對(duì)于高危服務(wù)類，比如MySQL、FTP、Redis、SVN、Git、Rsync等常被黑客利用的高危服務(wù)，由于業(yè)務(wù)特性極少做統(tǒng)一的管理，那么可以要求它們限定訪問來源。

對(duì)于私有服務(wù)類，這里是指一些自己寫的后臺(tái)接口，在了解具體協(xié)議和用法之后，很多人也不會(huì)去做鑒權(quán)控制，所以只要是潛伏時(shí)間足夠長，往往都有驚人的權(quán)限。同理，能夠做統(tǒng)一集中的鑒權(quán)最佳，否則至少限制來源訪問。

二、廢棄傳統(tǒng)靜態(tài)密碼，或不僅僅使用傳統(tǒng)密碼

一旦完成了統(tǒng)一集中管理，就可以做到首次認(rèn)證，后續(xù)攜帶登錄狀態(tài)自動(dòng)登錄其它系統(tǒng)。這樣你可以在首次認(rèn)證的時(shí)候，在密碼的基礎(chǔ)上加入動(dòng)態(tài)密碼或生物識(shí)別驗(yàn)證。

這里可以使用的工具有：

動(dòng)態(tài)口令硬件(類似于銀行使用的網(wǎng)銀支付使用U盾產(chǎn)品);

手持終端掃碼，這本質(zhì)上是信任手持終端，在此前可以加入生物特征，比如指紋、人臉、聲紋等可靠的校驗(yàn)機(jī)制。目前的“洋蔥令牌“產(chǎn)品就是基于這種驗(yàn)證的方式，企業(yè)可以通過洋蔥令牌用很低的成本在內(nèi)網(wǎng)部署生物識(shí)別，這也許會(huì)成為以后的主流驗(yàn)證方式之一;

當(dāng)然，也有些用短信驗(yàn)證的，不過短信成本高，并且是明文傳輸，有盜卡、補(bǔ)卡的風(fēng)險(xiǎn)，內(nèi)部系統(tǒng)其實(shí)并不適合。

可以說，能做到兩點(diǎn)，也就無所謂是否還改密碼，是否是弱密碼也不再需要擔(dān)心撞庫的問題了。

最后說第三點(diǎn)，也是最關(guān)鍵的一點(diǎn)：讓公司領(lǐng)導(dǎo)明白弱口令的嚴(yán)重性!