【霄享·安全】Web漏洞之不容忽视的弱口令——2022年7月刊(总第29期)

admin 2022年7月23日01:27:03评论303 views字数 2014阅读6分42秒阅读模式

看似不起眼的口令,在网络这个没有硝烟的战场上发挥着巨大的作用。弱口令的存在,无异于是在战场上对敌人“大开城门”,此时布置再多的防护设备也无济于事。



01

弱口令

提起弱口令,大家一定都不陌生,脑海里可能会立即出现“12345”、“123456”等等这样的字眼。对于弱口令,目前没有严格和准确的定义,我们暂且可以这样理解:凡是可以被破解的口令就都算是弱口令。

为了安全,人们为网站、数据库、主机等设置了账户登录功能。但为了方便记忆,使用者常常会设置了一个易于猜解的口令,这个自相矛盾的操作,其实是很多人的常规操作。

【霄享·安全】Web漏洞之不容忽视的弱口令——2022年7月刊(总第29期)

就NordPass 公布的 2021 年度最常见的密码名单Top10来看,最常用的口令仍是:“123456”、“123456789”、“12345”等。由此可见,很多人对口令安全并不在意。

【霄享·安全】Web漏洞之不容忽视的弱口令——2022年7月刊(总第29期)

图1:NordPass 2021年常见密码TOP10

此外,还有很多地方直接使用默认口令。一些应用的默认口令如下:

应用名称

用户名

密码

H3C ER3100

admin 

adminer3100

H3C ER3200

admin 

adminer3200

H3C ER3260

admin 

adminer3260

360天擎

admin 

admin

SANGFOR防火墙

admin 

sangfor

Hillstone安全审计平台

hillstone 

hillstone

方正防火墙

admin 

admin

飞塔防火墙

admin 

口令为空

科来网络回溯分析系统

csadmin 

colasoft

华为防火墙USG6300

admin 

Admin@123

山石网科

hillstone 

hillstone

TopAudit日志审计系统

superman 

talent

中新金盾信息安全管理系统

admin 

zxsoft1234!@#$

MySQL

root 

root

PostgreSQL

postgres 

postgres

...

... 

...

此外还有一些看似“很强”的弱口令,如“名字@生日”,“公司@年份”,“名字@手机号”等与个人信息相关的内容做密码,这类密码也存在着被攻击者根据搜集到的相关信息生成社工字典从而破解的风险。


......


以上种种,你“中枪”了吗?

【霄享·安全】Web漏洞之不容忽视的弱口令——2022年7月刊(总第29期)


下图为腾讯发布的对破解不同强度密码需要的时间,很明显,对攻击者而言,密码的复杂度与破解密码花费的成本成正比。为了自身账户的安全,设置一个高复杂度的密码尤为重要。

【霄享·安全】Web漏洞之不容忽视的弱口令——2022年7月刊(总第29期)

图2:腾讯发布破解不同密码需要的时间


02

弱口令引发的事件

在很多人看来,一些系统只针对公司人员使用,为了方便,口令弱点也无所谓,殊不知很多“攻击者”已是虎视眈眈,坐等收益。


2021年7月,某公司一台代码托管服务器使用默认口令:“admin/admin”,导致该公司近20G研发资料泄漏。在泄漏数据中,存在大量汽车核心代码泄漏,包括:NA mobile应用程序、ASISIT程序、车联网服务程序、后端代码及工具。攻击者一旦获取到这些核心信息,便可针对性进行漏洞挖掘,并尝试控制该公司生产的车辆。


2021年8月,广东某珠宝公司因原公司员工使用弱口令“123456”登录客户管理系统,拖取20W用户信息非法售卖牟利,导致20W客户信息泄漏。据公司员工透露,该公司每年花费大量资金用于后台建设,并聘请专业团队进行系统维护。


2022年1月5日,美国某著名半导体巨头公司因员工在业务环境使用弱口令,导致公司服务器被黑客攻击。黑客攻击后从该公司服务器拖取450G机密数据,数据包括员工账号密码、公司业务文件、系统文件等。


......


这些触目惊心的数据,就是源于对口令的“无所谓”。


由于对口令的忽视,弱口令给个人、企业、国家乃至世界造成的危害仍在持续。



03

企业弱口令自查

为了避免弱口令带来的危害,企业可采用工具与人工相结合的方式,定期开展专项自查。


流程如下:

【霄享·安全】Web漏洞之不容忽视的弱口令——2022年7月刊(总第29期)

图3:弱口令自查流程

除上述自查方式外,也可采用安全设备,如:HIPS、流量监测设备等对人员弱口令登录行为进行统计,排查使用弱口令的账户。



04

弱口令的防御

1、不使用有规律的密码,密码至少为8位数,并且包含大小写字母、数字和特殊符号。若实在不知道使用怎样的强密码,密码生成器是一个不错的选择。

【霄享·安全】Web漏洞之不容忽视的弱口令——2022年7月刊(总第29期)

图4:某品牌密码生成器

2、强制用户修改初始密码。

3、网站系统添加验证码,防止恶意爆破 。

4、有必要的系统添加双因子认证。

5、定期更换密码,一般不超过90天。

6、加强人员口令安全意识,切忌一码多用。



“ 千里之堤,溃于蚁穴。”


口令安全是网络安全的重要一环,弱口令问题不容忽视,莫让口令疏忽导致苦心布置的防御体制功亏一篑,得不偿失。




本期专家介绍
【霄享·安全】Web漏洞之不容忽视的弱口令——2022年7月刊(总第29期)

张新愉


上汽集团网络安全应急响应中心安全运营工程师


3+年安全服务经验(网络安全渗透测试、安全平台运营)



点击下方名片,关注我们


觉得内容不错,就点“赞”“在看”

如果不想错过新的内容推送,可以设为星标🌟哦


原文始发于微信公众号(上汽集团网络安全应急响应中心):【霄享·安全】Web漏洞之不容忽视的弱口令——2022年7月刊(总第29期)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月23日01:27:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【霄享·安全】Web漏洞之不容忽视的弱口令——2022年7月刊(总第29期)http://cn-sec.com/archives/1193784.html

发表评论

匿名网友 填写信息