【霄享·安全】Web漏洞之不容忽视的弱口令——2022年7月刊（总第29期）

就NordPass 公布的 2021 年度最常见的密码名单Top10来看，最常用的口令仍是：“123456”、“123456789”、“12345”等。由此可见，很多人对口令安全并不在意。

此外，还有很多地方直接使用默认口令。一些应用的默认口令如下：

下图为腾讯发布的对破解不同强度密码需要的时间，很明显，对攻击者而言，密码的复杂度与破解密码花费的成本成正比。为了自身账户的安全，设置一个高复杂度的密码尤为重要。

在很多人看来，一些系统只针对公司人员使用，为了方便，口令弱点也无所谓，殊不知很多“攻击者”已是虎视眈眈，坐等收益。

2021年7月，某公司一台代码托管服务器使用默认口令：“admin/admin”，导致该公司近20G研发资料泄漏。在泄漏数据中，存在大量汽车核心代码泄漏，包括：NA mobile应用程序、ASISIT程序、车联网服务程序、后端代码及工具。攻击者一旦获取到这些核心信息，便可针对性进行漏洞挖掘，并尝试控制该公司生产的车辆。

2021年8月，广东某珠宝公司因原公司员工使用弱口令“123456”登录客户管理系统，拖取20W用户信息非法售卖牟利，导致20W客户信息泄漏。据公司员工透露，该公司每年花费大量资金用于后台建设，并聘请专业团队进行系统维护。

2022年1月5日，美国某著名半导体巨头公司因员工在业务环境使用弱口令，导致公司服务器被黑客攻击。黑客攻击后从该公司服务器拖取450G机密数据，数据包括员工账号密码、公司业务文件、系统文件等。

......

这些触目惊心的数据，就是源于对口令的“无所谓”。

由于对口令的忽视，弱口令给个人、企业、国家乃至世界造成的危害仍在持续。

为了避免弱口令带来的危害，企业可采用工具与人工相结合的方式，定期开展专项自查。

流程如下：

除上述自查方式外，也可采用安全设备，如：HIPS、流量监测设备等对人员弱口令登录行为进行统计，排查使用弱口令的账户。

1、不使用有规律的密码，密码至少为8位数，并且包含大小写字母、数字和特殊符号。若实在不知道使用怎样的强密码，密码生成器是一个不错的选择。

2、强制用户修改初始密码。

3、网站系统添加验证码，防止恶意爆破 。

4、有必要的系统添加双因子认证。

5、定期更换密码，一般不超过90天。

6、加强人员口令安全意识，切忌一码多用。