提到弱口令惩琉,先想到的是123456這樣的密碼闷供,大家覺得這個不可思議吧烟央,但是實際上真實存在,在我來到公司的時候歪脏,第一次安全眾測疑俭,發(fā)現(xiàn)數(shù)百個這樣的弱密碼。
本節(jié)我們來探討企業(yè)安全中常發(fā)生的內部系統(tǒng)弱口令問題婿失,以及如何整治钞艇。
1.弱口令會在什么地方發(fā)生
郵箱/OA,這是最易發(fā)生弱口令的地方
SSL VPN豪硅,這是進入公司內部網(wǎng)絡的重要入口
運營類系統(tǒng)哩照,這類系統(tǒng)在我們公司非常多
工程效率相關的平臺,比如Redmine / Zabbix
企業(yè)使用的外部系統(tǒng)懒浮,如各應用市場/iOS開發(fā)者中心/微信開發(fā)平臺/企業(yè)微博/域名服務/招聘網(wǎng)站/云服務系統(tǒng)等
2.弱口令的危害
如果這些系統(tǒng)都在內網(wǎng)飘弧,那么即使存在弱口令,危害相對較低砚著,但我們公司由于業(yè)務的屬性次伶,上述的系統(tǒng)大多對外開放,使用對象主要是內部員工稽穆。
這邊主要講下郵箱和運營系統(tǒng):
郵箱一旦有弱口令被攻破冠王,里面的信息非常豐富:
如果你是財務人員,那有各種財務報表
如果你是HR秧骑,那就有員工的薪資資料版确,比如offer
如果你是運維人員,那你們公司服務器帳號密碼就有了
所以郵箱是重要的入口乎折,一旦被攻破绒疗,還能發(fā)生二次安全泄漏,比如一般人郵件都不刪除的骂澄,會保留公司使用的外部系統(tǒng)的帳號密碼吓蘑,這樣就又進入了其他系統(tǒng)。
還有運營系統(tǒng)坟冲,里面一般有大量的公司用戶資料/項目資料磨镶,一旦泄漏出去,危害巨大健提,所以也是重點關注對象琳猫。
3.哪些弱口令會被攻破
從攻防角度來看,我們來看看哪些弱口令會被攻破私痹,首先由于是內部系統(tǒng)脐嫂,所以用戶名很容易被枚舉(如Top500中國姓名),主要的弱密碼會有以下幾種:
常見的若密碼紊遵,如123456账千,123123,888888
公司相關的暗膜,比如abc123456
用戶名相關的:比如zhangsan@2015
4.弱口令整治之治標
首先要能檢測到匀奏,我們的做法是把AD中帳號拉出來,寫密碼字典爆破学搜,剛開始就爆破比如123456常見密碼娃善,后來就爆破公司相關/姓名相關。
接下來就是推動整改恒水,一種做法是發(fā)郵件通知会放,必須于一定時間修改完,或者給管理員直接重置密碼钉凌,并發(fā)消息告知本人咧最。
5.若口令整治之治本
以上只能治標,要想治本御雕,需要解決兩個問題:
統(tǒng)一登錄入口矢沿,實現(xiàn)安全認證
統(tǒng)一密碼重置入口和密碼強度策略
基于以上,開發(fā)了統(tǒng)一認證平臺酸纲,實現(xiàn)統(tǒng)一認證和登錄捣鲸,支持帳號密碼+驗證碼、持釘釘認證或微信登錄闽坡,即保障安全性栽惶,也提升了用戶登錄的便利(當然這個系統(tǒng)自身安全性要求很高愁溜,需要做好控制),如下:
這里要說明下外厂,如果使用帳號密碼登錄冕象,使用短信作為第二認證因子,以防爆破汁蝶。
此外還將密碼重置入口統(tǒng)一收歸到這個平臺渐扮,我們采用以下密碼安全策略:
內部系統(tǒng)弱口令的整改是個漫長的過程,涉及老系統(tǒng)接入改造掖棉,前前后后經(jīng)歷了一年半時間才將這個問題徹底解決墓律。
6.小結
弱口令在很多企業(yè)是普遍存在的,如果這個問題不解決幔亥,很多安全措施其實是無力的耻讽,比如你做了防SQL注入,人家直接就登錄你系統(tǒng)了帕棉,后果很嚴重齐饮。
對于弱口令,思路是檢測--->治標(修改或重置密碼)--->建立機制(如統(tǒng)一認證平臺)笤昨。
?
歡迎大家關注“企業(yè)安全最佳實踐”
