“两高一弱”专项工作公安部去年在新闻发布会中做了强调,该工作自去年开展以来,许多网络安全企业,都就“两高一弱”给出了自己的解决方案,除了我们看到的常规的弱口令,其实有很多单位虽然也设置有:大写字母、小写字母、数字、特殊符号为特征的口令,但是有些单位在设置过程中存在极大的规律性,例如:Xx@ABC@123这一类的口令密码,其实这类虽然看似满足了强口令的要求,但是总体来说只是比所谓的弱口令好一点,建议在设置密码过程中尽量避免出现太强的规律性。
《网络安全等级保护基本要求》关于安全计算环境的身份鉴别a)项,四个级别,都对身份鉴别信息的复杂度有要求,并要求定期更换。口令是身份鉴别信息的最重要的部分,按照合规要求连说,各单位都落实的等级保护工作,不应该有那么多历史遗留的“弱口令”了,事实上弱口令亦然是每年护网中被利用最多的安全风险隐患。而弱口令的整改,也是最经济、最简单、最有效的一种整改,但在实践中却有点令人失望。
其实包括消除“两高”,也属于等级保护落实要求项目。而年年合规中,却成为最突出的安全隐患,这类伪合规、假合规何时是个头?若各方都能做到真实合规,这类风险将大幅度降低。
安全计算环境 | 安全计算环境 | 安全计算环境 | 安全计算环境 |
身份鉴别 | 身份鉴别 | 身份鉴别 | 身份鉴别 |
本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; | a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; | a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; | a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; |
今天我们结合维基百科弱口令TOP 100,和大家一起探讨一二,希望个人能保护好自身数字财产安全,单位能够及时缓解“两高一弱”的弱口令方面的影响。
图片
弱口令风险
未经授权的访问
弱口令会为未经授权的访问打开大门。包括有人进入个人社交媒体账户,甚至入侵受保护的网络、应用系统、商业数据库等。一旦进入,入侵者就可以提取敏感信息、冒充合法用户或破坏操作。
账户接管
口令安全性薄弱的直接后果是账户被盗用。网络犯罪分子获得一个账户的访问权限后,通常可以利用该账户的信息访问其他账户,尤其是当重复使用相同口令时。这种多米诺骨牌效应可能导致个人和专业数字数据大范围泄露。
数据泄露
一个弱口令就可能导致大规模数据泄露。当攻击者入侵一个账户时,通常可以浏览整个网络系统,访问大量机密数据,包括个人信息和商业机密。
身份盗窃
身份盗窃通常始于一个被盗用的口令。攻击者可以使用被盗凭证冒充个人、申请信贷或从事欺诈活动,所有这些都是以他人的名义进行的。
财务损失
弱口令可能导致直接的经济损失。在商业环境中,账户被盗可能导致资金或知识产权被盗,给公司造成数百万美元的损失。对于个人而言,银行或信用卡信息被盗可能会带来直接且毁灭性的财务影响。
网站接管
对于网站管理员和所有者来说,弱口令会带来巨大风险。攻击者获得访问权限后可以破坏网站、窃取客户数据,甚至将流量重定向到恶意网站,从而损害网站的完整性和企业声誉。
名誉受损
弱口令造成的损害不仅限于直接的经济损失。对于企业而言,安全漏洞可能会损害其声誉,导致失去客户信任,并可能造成无法挽回的品牌损失。
法律后果
最后,弱口令可能会导致法律问题。数据泄露通常会导致受影响方采取法律行动,单位可能会因未能充分保护数据而面临罚款。当先,“两高一弱”已经成为专项,若在工作中发现弱口令,拒不整改将可能面临行政处罚。
常见的密码破解技术
暴力攻击
暴力攻击是黑客使用简单密码进入网站的一种反复试验的方法。这种方法需要系统地检查所有可能的口令,直到找到正确的口令。虽然耗时,但它可以有效对抗弱口令,尤其是那些长度短且复杂度低的口令。黑客经常使用机器人来加速和自动化这个过程。
字典攻击
字典攻击涉及使用预先安排的可能口令密码列表,例如字典中的单词。与尝试所有可能组合的暴力攻击不同,字典攻击更有针对性,测试常用单词和短语。
彩虹表
彩虹表是用于口令密码破解的复杂工具。是用于反转加密哈希函数的预计算表,主要用于破解口令密码哈希。通过彩虹表攻击,黑客可以有效地将用户口令密码的哈希与表中的哈希进行比较,从而大大减少破解所需的时间。
凭证填充
凭证填充是一种自动化攻击,利用窃取的账户凭证(通常是用户名和电子邮件地址)通过大规模自动登录请求获取对用户账户的未经授权的访问。这种方法利用了在多个站点之间重复使用密码的常见做法。这点在等级保护基本要求中,属于剩余信息保护范畴,所以等级保护要求项背后都有他的逻辑的。
社会工程学
社会工程学涉及操纵个人泄露机密信息。技术包括网络钓鱼,攻击者在电子通信中伪装成可信赖的实体,以及借口,攻击者创建虚构的场景来窃取个人信息。
密码喷射
密码喷射是指针对多个账户尝试几个常用口令密码的技术。与针对一个账户尝试多个口令密码的暴力攻击不同,密码喷洒针对多个账户使用较少的口令,从而降低了触发账户锁定的可能性。
这些技术强调了强大的密码策略和先进的安全解决方案的必要性,特别是对于网站管理员来说,他们不仅要保护自己的数据,还要保护用户的数据。
创建强密码的最佳做法
1.开启严格的密码策略
在常见的操作系统中,如Windows、Linux等以及许多设备中,都有关于密码(口令)强度的策略功能配置界面,检查系统、设备是否具有密码策略管理,并合理开启密码策略。
2.增加长度和复杂性
在口令密码安全领域,长度和复杂性是关键。理想的密码至少应为 12 到 16 个字符。此长度可确保字符组合广泛,使自动化工具难以破译。 复杂性同样重要。大小写字母、数字和符号的混合会破坏可预测的模式,使黑客难以破解密码。这不仅仅是在末尾添加大写字母或数字;复杂性应该贯穿整个密码。
3. 使用短语设置密码
密码短语已成为一种用户友好且安全的密码策略。与传统密码不同,密码短语是一串随机单词或句子。例如,“BlueDolphinSunsetDrive”比“B1u3D0lph!n”等随机字符串更安全且更容易记住。 而我国的文化更适合这类密码设置,比如利用古诗每句话中的某个字,比如春晓的韵脚:Xiao%Niao)Sheng%shao),或者其他方式组合,这个组合是韵脚及这句诗第几个字。
密码短语的长度本身就很强大,叙事性也更容易记住。但是,避免使用常用短语、名言或歌词至关重要,因为这些很容易猜到。
4. 避免使用常见模式和字典单词
常见模式,例如连续的键盘路径(例如“qwerty”)或重复的字符(例如“aaa”),会大大削弱密码安全性。同样,使用字典单词,即使使用巧妙的替换(例如“p@ssw0rd”),也不足以抵御复杂的破解算法。
黑客经常使用能够轻松预测这些替换的高级工具。创建避免这些模式和字典单词的密码对于保持对各种网络威胁的强大防御至关重要。
5. 不同账户使用不同的密码
安全的基本规则之一是为每个账户使用不同的密码。此策略可防止一个密码被盗导致多个账户遭到未经授权的访问。记住许多复杂的密码可能很困难,密码管理器是一种比较不错的选择。
6. 实施多因素身份验证 (MFA)
多重身份验证 (MFA) 增加了一层重要的安全保障。MFA 要求用户提供两个或更多验证因素才能访问账户,而且需要其中一个因素利用密码技术。 这种方法可以确保即使密码被泄露,未经授权的用户仍然无法在没有第二个组件的情况下获得访问权限。这对于包含敏感个人或财务信息的账户尤其重要。
7. 充分利用密码管理器及其优势
密码管理器存储和加密密码,同时让轻松安全地登录账户。用户只需记住一个主密码。好处是巨大的——密码管理器减轻了记住多个复杂密码的负担,降低了使用弱密码或重复密码的风险,并且通常可以自动更新密码。它们还可以包括受感染网站的安全警报和安全共享密码的能力等功能。
在网络威胁不断演变的环境中,遵守这些最佳实践至关重要。通过实施强密码以及这些策略,个人和组织可以显著增强其数字安全态势。
立即改善的可行步骤
对个人的建议
审核当前的口令密码。检查所有密码并评估其强度。遵循最佳实践,用更强的密码替换弱密码。
启用多因素身份验证。尽可能启用多因素身份验证以增加一层安全性。
定期更新密码。定期更新密码,尤其是敏感账户的密码。
警惕网络钓鱼攻击。了解网络钓鱼攻击,避免无意中泄露您的密码。
使用密码管理器。使用密码管理器安全地跟踪您的复杂密码。
对单位的建议
实施强密码策略。制定并执行强制使用强密码的策略。
定期进行安全培训。定期举办培训课程,帮助员工识别和应对网络安全威胁,包括与密码安全相关的威胁。
鼓励使用密码管理器。在组织内推广使用密码管理器,帮助员工为每个账户维护安全、唯一的密码。
安排例行安全审计。定期审计组织的安全实践和政策,以识别和解决漏洞。
制定安全事件响应计划。制定并维护一个明确的计划来应对安全违规行为,包括因密码泄露而导致的违规行为。通过实施这些步骤,个人和组织可以显著加强对密码相关安全威胁的防御,确保更安全的在线状态。
如何维护强密码习惯
定期更新口令密码
定期更新密码是强密码保护的重要组成部分。这种主动方法可确保即使密码被泄露,其有效期也是有限的,从而减少潜在损失。最佳做法是每三到六个月更改一次密码,尤其是保存敏感信息或个人信息的账户。但是,更新密码时应避免使用可预测的模式,例如简单地在现有密码中添加数字或字母。每个新密码都应独一无二,并遵守强密码创建指南。
知道如何识别网络钓鱼企图
网络钓鱼是网络犯罪分子获取密码的常用方法。这些尝试通常以电子邮件或消息的形式出现,模仿合法来源并索要敏感信息。识别网络钓鱼企图需要对未经请求的信息请求保持怀疑,尤其是当它们传达紧急性或承诺奖励时。在回复或点击任何链接之前,请务必验证来源的真实性。了解最新的网络钓鱼技术和此类骗局的常见指标对于个人和组织的网络安全至关重要。
避免密码共享
密码共享(即使是与可信赖的人共享)也会大大增加安全漏洞的风险。每个共享密码都是一个潜在的漏洞。为每个账户保留单独的密码至关重要,并且不鼓励在个人和专业环境中共享密码的做法。对于需要共享访问权限的情况(例如团队账户或家庭使用),请考虑使用允许访问而无需透露实际密码的密码管理工具。
监控账户活动
定期监控账户活动是检测未经授权访问的主动方法。许多在线服务提供近期活动日志,例如登录时间和位置。定期检查这些日志以确保所有活动都是合法的。 发现异常,第一时间排查被侵入的可能性。
注:本文中“密码”多为“口令”,请注意语境,与密码技术、密码算法之密码做区分。
