弱口令作为一个“老大难”问题，一直困扰着IT系统的运维人员，因为弱口令是最容易出现的也是最容易被利用的漏洞之一。从好莱坞明星的“艳照门”事件到海康威视“安全门”事件，都是因为弱口令问题被黑客加以利用而导致大量隐私泄露。

能源行业和中央直属企业的信息安全建设过程中，弱口令也一直是合规检查首当其冲的检查点。电力行业在公安部等级保护标准的基础上制定的《电力行业等级保护标准》中明确提出了对口令的要求，中石油、中石化、中海油等能源巨头也在日常的考核工作中也对弱口令的发现及整改提出了严格的要求及考核措施。

下面绿盟君就来为大家介绍一下弱口令的威胁及解决方案。

弱口令威胁

所谓弱口令就是非常简单的密码，比如“admin、123456、888888”等等。这类密码因为很方便记忆，所以被大量使用，但是也非常容易让他人猜测到，更容易被黑客暴力破解。口令就相当于进入家门的钥匙，当他人有一把可以进入你家的钥匙，想想你的安全、你的财物、你的隐私......害怕了吧。因为弱口令很容易被他人猜到或破解，所以如果你使用弱口令，就像把家门钥匙放在家门口的垫子下面，是非常危险的。

10月21日造成互联网大面积掉线的DDoS攻击，至少有部分是因IoT设备上未修改的默认口令被黑客利用而发起的。别觉得自己能幸免，有多少用户用的是简单、常见、过时的口令？就像前面说过的助力DDoS攻击的那些路由器，这让黑客们的工作变得十分容易。弱口令依然一统江湖的时候，网络安全人员面对关键基础设施、联网系统和远程访问系统及设备防护任务简直一筹莫展。

弱口令是如何形成的？

弱口令的成因无非就是源于人类的惰性。每个企业的运维人员要负责多达几百台的应用系统设备。无论从什么角度来看，忘记密码造成的麻烦甚至是损失都是不小的，因此许多用户会选择使用简单好记的密码或总是让浏览器记住密码。有时候甚至可能是身份的相关信息，这里就涉及到了用户的信息安全。如果要保护口令的安全，就需保护用户的信息安全。这里波及的面更广，拿到了用户信息就可能拿到用户的财务信息，包括银行卡密码。

解决方案

那么，对于企业来说，该如何规避此类风险？规避弱口令问题，企业必须从管理和技术两方面着手。管理方法不再赘述，通常情况下，大部分企业会选择这些做法：

一、进行员工培训，提高员工的网络安全意识

二、在制度上严格规定，规范账号密码使用方法

弱口令不是简单的管理问题，每个人都有使用固定的密码的习惯。培训和制度的约束很难改变一个人的行为习惯，况且培训和制度的约束效果无法量化，实施起来收效甚慢，还需要结合行之有效的技术措施。绿盟科技基于多年的安全实践经验，对弱口令的检测和防护提出了多维度的全面解决方案。

弱口令也不是一个单纯的技术问题。比如我们可以通过技术手段强制要求密码的复杂策略，但是防不住员工把密码贴在显示器上，这也是弱口令导致泄露事件频发的原因之一。

新检测方法--“碰撞”与“策略”相融合

传统的检测方法分为两类：一类是针对操作系统和设备的，通过检查是否有密码复杂度的策略来实现；另一类是针对应用系统的，通过“暴力破解”来实现，此种方式存在破解所需时间长的弊端。

为了解决这一问题，绿盟科技提出基于“碰撞”与“策略”相融合的检测方法。

所谓“策略”，即通过绿盟科技的“安全配置核查系统”来检测操作系统和网络设备的口令复杂度策略配置是否满足要求。

所谓“碰撞”，即将绿盟科技多年积累的“口令字典”和用户自定义的“口令字典”按照应用系统的口令存储方式（加密或散列值）进行相应处理，再将处理过的“口令字典”与应用系统数据库中存储的口令视图进行碰撞，来发现应用系统中存在的弱口令，解决了“暴力破解”的破解时间长的问题。

流程如下图所示：

绿盟科技基于“碰撞”的检测方法功能：

服务侧防护--基于堡垒机的统一用户与权限管理

服务侧防护采用基于绿盟科技堡垒机进行统一用户与权限管理的思路。绿盟安全审计系统-堡垒机系列（NSFOCUS SAS-H Series，以下简称堡垒机或SAS-H）提供一套先进的运维安全管控与审计解决方案，目标是帮助企业转变传统IT 安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，保障企业效益。

绿盟堡垒机产品通过逻辑上将人与目标设备分离，建立“人->主账号（堡垒机用户账号）->授权->从账号（目标设备账号）->目标设备”的管理模式；在此模式下，通过基于唯一身份标识的集中账号与访问控制策略 ，与各服务器、网络设备、安全设备、数据库服务器等无缝连接，实现集中精细化运维操作管控与审计。

绿盟安全审计系统-堡垒机产品主要有三大功能：

◆ 集中账号管理

建立基于唯一身份标识的全局实名制管理，支持统一账号管理策略，实现与各服务器、网络设备、安全设备、数据库服务器等无缝连接。

◆ 集中访问控制

通过集中访问控制和细粒度的命令级授权策略，基于最小权限原则，实现集中有序的运维操作管理，让正确的人做正确的事。

◆ 集中安全审计

基于唯一身份标识，通过对用户从登录到退出的全程操作行为进行审计，监控用户对目标设备的所有敏感操作，聚焦关键事件，实现对安全事件的实时发现与预警。

用户侧防护--“静态”+“动态”想融合的口令策略

用户侧防护采用“个人PIN码”+“动态口令”的方式来解决终端的弱口令问题，此方法也可以应用到企业级应用系统中，例如：邮件系统、企业IM系统等等。

“静态”解决了个人用户的密码使用习惯问题，用户只需要设置一个自己容易记住的“PIN码”。而“动态”解决了密码多样性的问题，使用户口令时刻处在不断变化中，给攻击者破解带来极大的困难。

结束语

通过应用绿盟科技多维度弱口令解决方案，可以在加强管理的基础上，辅之以强有力的、行之有效的技术措施帮助能源行业企业及其他中央直属企业高效、准确的发现存在的弱口令及并掌握其分布情况做到“早诊断、早发现、心中有数”；建立“服务侧+用户侧”多维度的弱口令防护体系，降低人为安全风险，避免安全损失，满足合规要求，保障企业效益。

请点击屏幕右上方“…”

关注绿盟科技公众号

NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP

本文为头条号作者发布，不代表今日头条立场。