网络的江湖凶险,即使身怀绝技,也会一不留神碰了壁。尤其是对于企业来说,网络的江湖简直处处陷阱,防不胜防。比如,我们最常用的密码,就是个最大的坑。而挖坑的元凶,就是弱口令。案例:小明是某公司安全运维人员,为了方便记忆,便将所有办公、私人密码全部设成了简单的同一密码,结果天有不测风云,公司电脑不幸被黑客攻击,密码被轻易破解,导致大量的内部信息遭到窃取,不仅对企业造成了重大的损失,甚至连自己私人的信息都有被泄露的风险。什么是弱口令?简单来说,只要是很容易被人猜测,或者是破解工具很轻易就破解的口令,都是弱口令,也就是弱密码。一般来说,弱口令与个人行为习惯和安全意识有密切的联系。比如,江湖中的一般选手(网络安全运维人员)在设置服务器、安全设备、数据库等系统密码时,最常见的做法就是使用简单的密码,如123456、1qaz@WSX、 admin、root123等等,这些对于江湖中的反派“黑客”来讲,破解都是分分钟的事情。当然,对于稍有些功力的少侠(安全意识较强的运维人员),虽然采用了较为复杂的密码,但因需要管理的服务器、安全设备、数据库等系统数量太过庞大,难免脑袋“瓦特”,造成密码混淆。因此,很多人会使用相同或者具有一定逻辑性的密码,如:生日+手机号、姓名首字母+生日、爱人姓名首字母+生日+常用字母(520、1314)等。虽然缓解了脑袋瓦特的风险,但由于规律性太强,只要掌握了运维人员的基本信息,就很容易利用社工密码生成器进行破解。此类密码通常称为管理员通用密码。不过,最容易被破解的还是默认密码。该类密码主要指设备出厂时设置的默认用户名和密码,而这个密码基本上是以简单的数字或字母的排序,比如admin、rut、root等。这种“乳名”类型的密码,基本都存在于破解密码的密码字典中,破解起来简直毫无压力。其实,除了以上提到的,在黑客密码字典中的弱密码还远远不止这些,这也是为什么弱口令会成为导致网络安全事件爆发最为集中的因素。“弱口令”如何防范在互联网时代,用户名(帐号)和口令(密码)是我们使用最多的身份认证方式。使用弱口令,就相当于将家门钥匙天天挂在门上,其安全性可想而知。那么,该怎样做才能规避“弱口令”的危害呢?小编在此总结了几招: “弱口令防范”式:1. 尽量将办公使用密码和私人密码分别设置,避免“一损俱损”;2.针对安全运维人员,应强制账号密码强度必须达到一定的级别;3. 建议密码长度不少于8位,且密码中至少包含字母、数字和符号;4.为防止脑袋短路而忘记密码,可以采取记忆诀窍,用一句自己能够记忆的句子,例如“XX,你是最帅的”使用每个词的首字母加上标点符号来创建密码,就是“XX,nszsd”;5. 不同设备、系统等应使用不同的密码,以免遭受“撞库攻击”;6. 避免使用姓名、手机号、生日等信息做密码,远离社工危害;7.禁止在服务器、办公电脑中存放网络设备资产信息及登录口令,建议存在移动硬盘中。来源:自治区生态环境信息与应急中心
【来源:石嘴山生态环境】
声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 邮箱地址:[email protected]
