近日在美國猶他州發(fā)生的數(shù)據(jù)泄露事故暴露了超過25.5萬人的社會安全號碼，這個事故再次突出了一個長期存在，但常常被企業(yè)低估風(fēng)險的問題：使用弱密碼和默認(rèn)密碼。

據(jù)調(diào)查，猶他州衛(wèi)生署的這次泄露事故源自服務(wù)器身份驗證層的配置錯誤，很多安全分析家認(rèn)為這次事故是因為被泄露的服務(wù)器使用了默認(rèn)的管理密碼或者容易被猜到的密碼。通過利用這個錯誤，攻擊者能夠繞過IT管理員部署的用于保護(hù)服務(wù)器上數(shù)據(jù)的外圍、網(wǎng)絡(luò)和應(yīng)用程序級的安全控制。

這樣的錯誤雖然容易避免，但是卻非常常見。在今年三月，美國能源部總檢察長發(fā)布了邦納維爾電力管理局(主要負(fù)責(zé)西北太平洋區(qū)域的公用事業(yè)提供30%的電力資源)的信息安全審計結(jié)果，根據(jù)這個審計結(jié)果顯示，對用于支持邦納維爾電力局關(guān)鍵財務(wù)、人力資源和安全管理職能的九個應(yīng)用程序的漏洞掃描發(fā)現(xiàn)，11臺服務(wù)器使用了容易被猜出的密碼。

利用這些漏洞的攻擊者能夠獲取對該系統(tǒng)的完整訪問權(quán)。其中四臺服務(wù)器被配置為允許任何遠(yuǎn)程用戶訪問和修改共享文件，一臺管理員賬戶的服務(wù)器竟然只使用了默認(rèn)密碼保護(hù)。

本月早些時候，支付處理公司Global Payments遭遇了數(shù)據(jù)泄露事故，事故導(dǎo)致150萬人的信用卡信息和借記卡信息被泄露，分析公司Gartner認(rèn)為這次事故的發(fā)生是弱身份驗證機(jī)制所致，讓攻擊者獲取了管理員賬戶。而去年開源WineHQ數(shù)據(jù)庫的泄露事故同樣也被認(rèn)為是因為管理員賬戶使用了較弱密碼所致。

企業(yè)可能擁有數(shù)百到數(shù)千個賬戶名和密碼。這些賬戶中很多具有對應(yīng)用程序、數(shù)據(jù)庫、網(wǎng)絡(luò)和操作系統(tǒng)的優(yōu)先訪問權(quán)限。雖然對于企業(yè)而言，并不是所有賬戶都是很關(guān)鍵的，但是有很多賬戶如果遭遇泄露的話，可能對企業(yè)造成嚴(yán)重影響。

之前的研究數(shù)據(jù)表明，因為維護(hù)目的或者修復(fù)和升級工作需要對系統(tǒng)的管理訪問權(quán)限的人要比管理人員知道或者跟蹤的數(shù)量要多得多。然而，很多公司允許用戶或者管理員使用較簡單的密碼，或者甚至使用默認(rèn)密碼來保護(hù)對這些賬戶的訪問。

當(dāng)使用多因素身份驗證時，這些措施往往涉及相對容易攻破的基于知識的身份驗證(KBA)機(jī)制，用戶會被要求回答一個安全問題，例如第一只寵物的名字或者最喜愛的電影的名字等。

Verizon公司上個月發(fā)布的一份報告顯示，在零售業(yè)和餐飲行業(yè)，利用弱密碼的攻擊仍然非常普遍。攻擊者仍然可以訪問供應(yīng)商的網(wǎng)站，獲取客戶名單，然后簡單地選擇那些使用默認(rèn)密碼或者容易被猜到的用戶名-密碼組合的用戶，就可以成功發(fā)起攻擊。Verizon在其報告中指出，“這些都是相對容易的攻擊，只需要一點(diǎn)知識或者創(chuàng)造力即可。”

Gartner分析師John Pescatore表示，另外一個常見問題就是，很多人往往會為自己的不同賬戶使用相同的密碼。

“Anonymous黑客組織的很多成功攻擊都源自于在獲取用戶的外部服務(wù)密碼后，發(fā)現(xiàn)用戶的機(jī)密內(nèi)部應(yīng)用程序或者電子郵件系統(tǒng)使用了相同的密碼，”Pescatore表示，“我們將這種現(xiàn)象稱之為‘重復(fù)使用密碼的詛咒’。”

為提高安全性，企業(yè)可以采取的最重要的措施之一是提高密碼和身份驗證機(jī)制的“門檻”。他表示：“這就好比開汽車時，如果你不將腳放在剎車上的話，就無法從‘停車狀態(tài)’變?yōu)?lsquo;開動狀態(tài)’，在任何軟件中都會有“安全聯(lián)鎖”，如果不修改默認(rèn)密碼的話，將很難啟動。”

密碼管理軟件供應(yīng)商Cyber-Ark公司企業(yè)發(fā)展執(zhí)行副總裁Adam Bosnian表示，企業(yè)面臨的問題非常復(fù)雜。要求管理員使用復(fù)雜的密碼是一回事，而管理這些復(fù)雜的密碼又是另一回事了。經(jīng)常發(fā)生的情況是，多個管理員可能需要訪問同一個系統(tǒng)，往往大家傾向于使用默認(rèn)密碼或者容易記住的密碼來控制對系統(tǒng)的訪問。

當(dāng)使用復(fù)雜密碼時，管理員需要部署三個程序：一用于安全地共享彼此的密碼;另一個用于在需要時修改密碼，第三個用于通知大家修改密碼的情況。這些程序在較大型企業(yè)特別難以執(zhí)行，因為優(yōu)先訪問權(quán)限賬戶的數(shù)量非常驚人。

“事實是，任何試圖保護(hù)重要資產(chǎn)的人都應(yīng)該使用多因素身份驗證和/或互補(bǔ)控制來保護(hù)自己，”Spire Security公司分析師Peter Lindstrom表示，“密碼存在太多缺陷，包括人自身的問題。”

大多數(shù)沒有受到另一種身份驗證形式或鎖定控制保護(hù)的密碼機(jī)制都很容易受到攻擊者的暴力破解，他們會使用自動化工具來猜測密碼，“在IT的現(xiàn)階段來看，實在是找不到理由來使用默認(rèn)密碼了。”