【弱口令危害】拒绝使用弱口令

强制对所有的管理系统账号密码强度必须达到一定的级别。不可在使用简单的admin、123456等弱密码了，修改密码为复杂密码并加密保存，建议密码包含大小写字母，数据和特殊符号，密码长度不低于八位，如果网站存在数据泄漏漏洞（如sql注入漏洞），务必修复漏洞。

设置密码通常遵循以下原则：

（1）不使用空口令或系统缺省的口令，这些口令众所周知，为典型的弱口令。

（2）口令长度不小于8 个字符。

（3）口令不应该为连续的某个字符（例如：AAAAAAAA）或重复某些字符的组合（例如：tzf.tzf.）。

（4）口令应该为以下四类字符的组合，大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个，那么该字符不应为首字符或尾字符。

（5）口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail 地址等等与本人有关的信息，以及字典中的单词。

（6）口令不应该为用数字或符号代替某些字母的单词。

（7）口令应该易记且可以快速输入，防止他人从你身后很容易看到你的输入。

（8）至少90 天内更换一次口令，防止未被发现的入侵者继续使用该口令。

条件型个人弱口令往往与这个人的个人信息（姓名，生日，手机号，特殊昵称，爱好，社交软件账号，常用username,邮箱...），关系成员（家庭成员，男女朋友...），所处环境（车牌号，公司信息比如公司名称，公司成立时间或地点，公司domain等...），还有特殊的指定字符（数字，单词...），在这里我也列举一些经常出现的组合：我们可以使用这个猜密码的网站来生成条件弱口令字典。

1.弱口令的tips1.遵循某种规律，读起来朗朗上口，或者是我们小时候最先接触的一些数字或者字母。  123456，123abc，abc123，123456abcdef!@#这些弱口令也有人戏称是滚键盘,例如admin!@#看起来并不简单，但它确实是滚键盘，属于弱密码，我在实际渗透中，曾许多次碰到这个弱口令admin!@#防御策略：  对企业员工进行安全培训，提高安全意识，安全中没有侥幸，只有万一。滚键盘类的密码还是少用，尽量使用难以猜解的密码。

2.无意间的信息泄漏，导致密码泄漏或者可能易于被猜测永远都不要质疑白帽子们的脑洞，他们做CTF的时候，脑洞大着呢。中国网某子网站后台弱口令：lujiaji(漏洞作者:blast)https://**.secpulse.com/archives/14056.html简单一看，这个密码并不是很典型的弱密码，如果纯粹靠猜测，或许并不能尝试成功。但重点是，在一个新闻中，显示出了新闻作者lujiaji，管理后台账户密码均为lujiaji。所以，被攻破有两点原因：用户名的部分或者全部是对外开放的，管理员：lujiaji用户名密码是相同的。京东的一些敏感信息在GitHub上泄漏(漏洞作者：匿名)https://**.secpulse.com/archives/22828.html开发人员托管代码时，没有对敏感信息进行删除，导致泄露了用户名密码root/JD123，还有一种就是密码本身并不弱，但是开发人员对于自己的网站或者系统过于热爱，而导致用户名或密码可猜测。如，某网站为**.p1a2s3s4word.com，开发人员或者管理人员就可能将系统的用户名设置的与网站域名有关，或者与公司名称有关。如：p1a2s3s4word，p1a2s3s4word123小米内网漫游记(一个弱口令导致各种内部系统泄露)：Xiaomi11(漏洞作者:临时工)http://cb.drops.wiki/bugs/wooyun-2014-076453.html

应对策略：

(1).登录名和用户名应进行区分

(2).实行有效的密码策略，杜绝密码中包含用     户名，甚至是完全相同的情况存在

(3)记住GitHub是安全隐含一大来源

(4).不要使用易于从企业名称或者域名中得到     密码信息的口令。

3.虽然密码强度可靠，但大量系统使用同一密码

只要基数过大，那么一定会有例外，也一定会存在漏洞，任意一个系统遭到入侵后，其它的系统都会受到影响，这样的例子数不胜数，例如内网渗透很大程度上就是根据这一点进行的。

4.还有就是默认密码，虽然许多系统坚不可摧，但如果其不强制其用户修改密码，有些人还真的就会用默认密码。简单漫游深信服内网：(楼主作者:**admin)https://**.secpulse.com/archives/35096.html听说你们的设备都存在一个默认的sangfor/sangfor，咱也手贱来试试。大量学校/政府CMS 默认后台账号密码:admin admin888(漏洞作者:exploits)https://**.secpulse.com/archives/10477.html学校和政府网站安全性一般来说都很差，在本示例中，大量的网站就未对cms默认密码进行修改。应对策略：永远不要使用默认密码，密码默认即为密码公开。

5..虽然系统采用了默认密码，但是用户对其进行了修改，这就足够了吗？no！系统中还有系统。该问题多见于一些大型集成软件或者系统，由于系统过于庞大，存在默认密码的地方不止一处，甚至管理员本身都不知道存在某些功能。比如某cms中集成了ewebeditor编辑器，但管理员可能并不会注意到。九思软件iThink OA系统编辑器上传漏洞：(漏洞作者：Lee)http://**.wooyun.org/bugs/wooyun-2010-04913

九思iThink使用的是ewebeditor的编辑器，且密码使用的默认密码(admin/admin)，导致系统存在被入侵的风险。应对策略：(1).对于集成软件或系统，使用前应对其进行详尽的了解，避免因设置问题而存在弱口令。(2).集成软件或系统的厂商应在使用说明中，着重指出此问题。

6.网站存在撞库风险严格意义上来讲，并不能归在弱口令安全，但是还是与其相关的。由于登陆功能或者一些接口设计不当，导致可以无限制尝试登录，从而导致撞库。凤凰网某接口设计不当可暴力破解可撞库：(漏洞作者：匿名)https://**.secpulse.com/archives/29717.html作者发现凤凰网存在德州扑克的登陆接口，且无任何登陆限制，从而间接对其进行撞库测试，并成功。阿里巴巴某系统设计缺陷可造成淘宝无限制撞库(漏洞作者：bing)https://**.secpulse.com/archives/22460.html其手机端接口无次数和验证码限制，导致可以进行撞库，作者称利用互联网上公开的数据库，每天可以跑出24万个淘宝账号和密码。