企業(yè)安全最佳實踐之 內部系統(tǒng)弱口令整治

提到弱口令惩琉,先想到的是123456這樣的密碼闷供,大家覺得這個不可思議吧烟央,但是實際上真實存在,在我來到公司的時候歪脏,第一次安全眾測疑俭,發(fā)現(xiàn)數(shù)百個這樣的弱密碼。

本節(jié)我們來探討企業(yè)安全中常發(fā)生的內部系統(tǒng)弱口令問題婿失,以及如何整治钞艇。

1.弱口令會在什么地方發(fā)生

郵箱/OA,這是最易發(fā)生弱口令的地方

SSL VPN豪硅,這是進入公司內部網(wǎng)絡的重要入口

運營類系統(tǒng)哩照,這類系統(tǒng)在我們公司非常多

工程效率相關的平臺,比如Redmine / Zabbix

企業(yè)使用的外部系統(tǒng)懒浮,如各應用市場/iOS開發(fā)者中心/微信開發(fā)平臺/企業(yè)微博/域名服務/招聘網(wǎng)站/云服務系統(tǒng)等

2.弱口令的危害

如果這些系統(tǒng)都在內網(wǎng)飘弧,那么即使存在弱口令,危害相對較低砚著,但我們公司由于業(yè)務的屬性次伶,上述的系統(tǒng)大多對外開放,使用對象主要是內部員工稽穆。

這邊主要講下郵箱和運營系統(tǒng):

郵箱一旦有弱口令被攻破冠王,里面的信息非常豐富:

如果你是財務人員,那有各種財務報表

如果你是HR秧骑,那就有員工的薪資資料版确,比如offer

如果你是運維人員,那你們公司服務器帳號密碼就有了

所以郵箱是重要的入口乎折,一旦被攻破绒疗,還能發(fā)生二次安全泄漏,比如一般人郵件都不刪除的骂澄,會保留公司使用的外部系統(tǒng)的帳號密碼吓蘑,這樣就又進入了其他系統(tǒng)。

還有運營系統(tǒng)坟冲,里面一般有大量的公司用戶資料/項目資料磨镶,一旦泄漏出去,危害巨大健提,所以也是重點關注對象琳猫。

3.哪些弱口令會被攻破

從攻防角度來看,我們來看看哪些弱口令會被攻破私痹,首先由于是內部系統(tǒng)脐嫂,所以用戶名很容易被枚舉(如Top500中國姓名),主要的弱密碼會有以下幾種:

常見的若密碼紊遵,如123456账千,123123,888888

公司相關的暗膜,比如abc123456

用戶名相關的:比如zhangsan@2015

4.弱口令整治之治標

首先要能檢測到匀奏,我們的做法是把AD中帳號拉出來,寫密碼字典爆破学搜,剛開始就爆破比如123456常見密碼娃善,后來就爆破公司相關/姓名相關。

接下來就是推動整改恒水,一種做法是發(fā)郵件通知会放,必須于一定時間修改完,或者給管理員直接重置密碼钉凌,并發(fā)消息告知本人咧最。

5.若口令整治之治本

以上只能治標,要想治本御雕,需要解決兩個問題:

統(tǒng)一登錄入口矢沿,實現(xiàn)安全認證

統(tǒng)一密碼重置入口和密碼強度策略

基于以上,開發(fā)了統(tǒng)一認證平臺酸纲,實現(xiàn)統(tǒng)一認證和登錄捣鲸,支持帳號密碼+驗證碼、持釘釘認證或微信登錄闽坡,即保障安全性栽惶,也提升了用戶登錄的便利(當然這個系統(tǒng)自身安全性要求很高愁溜,需要做好控制),如下:

這里要說明下外厂,如果使用帳號密碼登錄冕象,使用短信作為第二認證因子,以防爆破汁蝶。

此外還將密碼重置入口統(tǒng)一收歸到這個平臺渐扮,我們采用以下密碼安全策略:

內部系統(tǒng)弱口令的整改是個漫長的過程,涉及老系統(tǒng)接入改造掖棉,前前后后經(jīng)歷了一年半時間才將這個問題徹底解決墓律。

6.小結

弱口令在很多企業(yè)是普遍存在的,如果這個問題不解決幔亥,很多安全措施其實是無力的耻讽,比如你做了防SQL注入,人家直接就登錄你系統(tǒng)了帕棉,后果很嚴重齐饮。

對于弱口令,思路是檢測--->治標(修改或重置密碼)--->建立機制(如統(tǒng)一認證平臺)笤昨。

?

歡迎大家關注“企業(yè)安全最佳實踐”

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯(lián)系作者
  • 序言:七十年代末祖驱,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子瞒窒,更是在濱河造成了極大的恐慌捺僻,老刑警劉巖,帶你破解...
    沈念sama閱讀 222,681評論 6 517
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件崇裁,死亡現(xiàn)場離奇詭異匕坯,居然都是意外死亡,警方通過查閱死者的電腦和手機拔稳,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,205評論 3 399
  • 文/潘曉璐 我一進店門葛峻,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人巴比,你說我怎么就攤上這事术奖。” “怎么了轻绞?”我有些...
    開封第一講書人閱讀 169,421評論 0 362
  • 文/不壞的土叔 我叫張陵采记,是天一觀的道長。 經(jīng)常有香客問我政勃,道長唧龄,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 60,114評論 1 300
  • 正文 為了忘掉前任奸远,我火速辦了婚禮既棺,結果婚禮上讽挟,老公的妹妹穿的比我還像新娘。我一直安慰自己丸冕,他們只是感情好戏挡,可當我...
    茶點故事閱讀 69,116評論 6 398
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著晨仑,像睡著了一般。 火紅的嫁衣襯著肌膚如雪拆檬。 梳的紋絲不亂的頭發(fā)上洪己,一...
    開封第一講書人閱讀 52,713評論 1 312
  • 那天,我揣著相機與錄音竟贯,去河邊找鬼答捕。 笑死,一個胖子當著我的面吹牛屑那,可吹牛的內容都是我干的拱镐。 我是一名探鬼主播,決...
    沈念sama閱讀 41,170評論 3 422
  • 文/蒼蘭香墨 我猛地睜開眼持际,長吁一口氣:“原來是場噩夢啊……” “哼沃琅!你這毒婦竟也來了?” 一聲冷哼從身側響起蜘欲,我...
    開封第一講書人閱讀 40,116評論 0 277
  • 序言:老撾萬榮一對情侶失蹤益眉,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后姥份,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體郭脂,經(jīng)...
    沈念sama閱讀 46,651評論 1 320
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內容為張勛視角 年9月15日...
    茶點故事閱讀 38,714評論 3 342
  • 正文 我和宋清朗相戀三年澈歉,在試婚紗的時候發(fā)現(xiàn)自己被綠了展鸡。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 40,865評論 1 353
  • 序言:一個原本活蹦亂跳的男人離奇死亡埃难,死狀恐怖莹弊,靈堂內的尸體忽然破棺而出,到底是詐尸還是另有隱情涡尘,我是刑警寧澤箱硕,帶...
    沈念sama閱讀 36,527評論 5 351
  • 正文 年R本政府宣布,位于F島的核電站悟衩,受9級特大地震影響剧罩,放射性物質發(fā)生泄漏。R本人自食惡果不足惜座泳,卻給世界環(huán)境...
    茶點故事閱讀 42,211評論 3 336
  • 文/蒙蒙 一惠昔、第九天 我趴在偏房一處隱蔽的房頂上張望幕与。 院中可真熱鬧,春花似錦镇防、人聲如沸啦鸣。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,699評論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽诫给。三九已至,卻和暖如春啦扬,著一層夾襖步出監(jiān)牢的瞬間中狂,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 33,814評論 1 274
  • 我被黑心中介騙來泰國打工扑毡, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留胃榕,地道東北人。 一個月前我還...
    沈念sama閱讀 49,299評論 3 379
  • 正文 我出身青樓瞄摊,卻偏偏與公主長得像勋又,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子换帜,可洞房花燭夜當晚...
    茶點故事閱讀 45,870評論 2 361

推薦閱讀更多精彩內容