“兩高一弱”專項(xiàng)工作公安部去年在新聞發(fā)布會(huì)中做了強(qiáng)調(diào)，該工作自去年開展以來(lái)，許多網(wǎng)絡(luò)安全企業(yè)，都就“兩高一弱”給出了自己的解決方案，除了我們看到的常規(guī)的弱口令，其實(shí)有很多單位雖然也設(shè)置有：大寫字母、小寫字母、數(shù)字、特殊符號(hào)為特征的口令，但是有些單位在設(shè)置過(guò)程中存在極大的規(guī)律性，例如：Xx@ABC@123這一類的口令密碼，其實(shí)這類雖然看似滿足了強(qiáng)口令的要求，但是總體來(lái)說(shuō)只是比所謂的弱口令好一點(diǎn)，建議在設(shè)置密碼過(guò)程中盡量避免出現(xiàn)太強(qiáng)的規(guī)律性。

《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》關(guān)于安全計(jì)算環(huán)境的身份鑒別a)項(xiàng)，四個(gè)級(jí)別，都對(duì)身份鑒別信息的復(fù)雜度有要求，并要求定期更換?？诹钍巧矸蓁b別信息的最重要的部分，按照合規(guī)要求連說(shuō)，各單位都落實(shí)的等級(jí)保護(hù)工作，不應(yīng)該有那么多歷史遺留的“弱口令”了，事實(shí)上弱口令亦然是每年護(hù)網(wǎng)中被利用最多的安全風(fēng)險(xiǎn)隱患。而弱口令的整改，也是最經(jīng)濟(jì)、最簡(jiǎn)單、最有效的一種整改，但在實(shí)踐中卻有點(diǎn)令人失望。

其實(shí)包括消除“兩高”，也屬于等級(jí)保護(hù)落實(shí)要求項(xiàng)目。而年年合規(guī)中，卻成為最突出的安全隱患，這類偽合規(guī)、假合規(guī)何時(shí)是個(gè)頭？若各方都能做到真實(shí)合規(guī)，這類風(fēng)險(xiǎn)將大幅度降低。

今天我們結(jié)合維基百科弱口令TOP 100，和大家一起探討一二，希望個(gè)人能保護(hù)好自身數(shù)字財(cái)產(chǎn)安全，單位能夠及時(shí)緩解“兩高一弱”的弱口令方面的影響。

圖片

弱口令風(fēng)險(xiǎn)

未經(jīng)授權(quán)的訪問(wèn)

弱口令會(huì)為未經(jīng)授權(quán)的訪問(wèn)打開大門。包括有人進(jìn)入個(gè)人社交媒體賬戶，甚至入侵受保護(hù)的網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、商業(yè)數(shù)據(jù)庫(kù)等。一旦進(jìn)入，入侵者就可以提取敏感信息、冒充合法用戶或破壞操作。

賬戶接管

口令安全性薄弱的直接后果是賬戶被盜用。網(wǎng)絡(luò)犯罪分子獲得一個(gè)賬戶的訪問(wèn)權(quán)限后，通?？梢岳迷撡~戶的信息訪問(wèn)其他賬戶，尤其是當(dāng)重復(fù)使用相同口令時(shí)。這種多米諾骨牌效應(yīng)可能導(dǎo)致個(gè)人和專業(yè)數(shù)字?jǐn)?shù)據(jù)大范圍泄露。

數(shù)據(jù)泄露

一個(gè)弱口令就可能導(dǎo)致大規(guī)模數(shù)據(jù)泄露。當(dāng)攻擊者入侵一個(gè)賬戶時(shí)，通?？梢詾g覽整個(gè)網(wǎng)絡(luò)系統(tǒng)，訪問(wèn)大量機(jī)密數(shù)據(jù)，包括個(gè)人信息和商業(yè)機(jī)密。

身份盜竊

身份盜竊通常始于一個(gè)被盜用的口令。攻擊者可以使用被盜憑證冒充個(gè)人、申請(qǐng)信貸或從事欺詐活動(dòng)，所有這些都是以他人的名義進(jìn)行的。

財(cái)務(wù)損失

弱口令可能導(dǎo)致直接的經(jīng)濟(jì)損失。在商業(yè)環(huán)境中，賬戶被盜可能導(dǎo)致資金或知識(shí)產(chǎn)權(quán)被盜，給公司造成數(shù)百萬(wàn)美元的損失。對(duì)于個(gè)人而言，銀行或信用卡信息被盜可能會(huì)帶來(lái)直接且毀滅性的財(cái)務(wù)影響。

網(wǎng)站接管

對(duì)于網(wǎng)站管理員和所有者來(lái)說(shuō)，弱口令會(huì)帶來(lái)巨大風(fēng)險(xiǎn)。攻擊者獲得訪問(wèn)權(quán)限后可以破壞網(wǎng)站、竊取客戶數(shù)據(jù)，甚至將流量重定向到惡意網(wǎng)站，從而損害網(wǎng)站的完整性和企業(yè)聲譽(yù)。

名譽(yù)受損

弱口令造成的損害不僅限于直接的經(jīng)濟(jì)損失。對(duì)于企業(yè)而言，安全漏洞可能會(huì)損害其聲譽(yù)，導(dǎo)致失去客戶信任，并可能造成無(wú)法挽回的品牌損失。

法律后果

最后，弱口令可能會(huì)導(dǎo)致法律問(wèn)題。數(shù)據(jù)泄露通常會(huì)導(dǎo)致受影響方采取法律行動(dòng)，單位可能會(huì)因未能充分保護(hù)數(shù)據(jù)而面臨罰款。當(dāng)先，“兩高一弱”已經(jīng)成為專項(xiàng)，若在工作中發(fā)現(xiàn)弱口令，拒不整改將可能面臨行政處罰。

常見的密碼破解技術(shù)

暴力攻擊

暴力攻擊是黑客使用簡(jiǎn)單密碼進(jìn)入網(wǎng)站的一種反復(fù)試驗(yàn)的方法。這種方法需要系統(tǒng)地檢查所有可能的口令，直到找到正確的口令。雖然耗時(shí)，但它可以有效對(duì)抗弱口令，尤其是那些長(zhǎng)度短且復(fù)雜度低的口令。黑客經(jīng)常使用機(jī)器人來(lái)加速和自動(dòng)化這個(gè)過(guò)程。 

字典攻擊

字典攻擊涉及使用預(yù)先安排的可能口令密碼列表，例如字典中的單詞。與嘗試所有可能組合的暴力攻擊不同，字典攻擊更有針對(duì)性，測(cè)試常用單詞和短語(yǔ)。

彩虹表

彩虹表是用于口令密碼破解的復(fù)雜工具。是用于反轉(zhuǎn)加密哈希函數(shù)的預(yù)計(jì)算表，主要用于破解口令密碼哈希。通過(guò)彩虹表攻擊，黑客可以有效地將用戶口令密碼的哈希與表中的哈希進(jìn)行比較，從而大大減少破解所需的時(shí)間。

憑證填充

憑證填充是一種自動(dòng)化攻擊，利用竊取的賬戶憑證（通常是用戶名和電子郵件地址）通過(guò)大規(guī)模自動(dòng)登錄請(qǐng)求獲取對(duì)用戶賬戶的未經(jīng)授權(quán)的訪問(wèn)。這種方法利用了在多個(gè)站點(diǎn)之間重復(fù)使用密碼的常見做法。這點(diǎn)在等級(jí)保護(hù)基本要求中，屬于剩余信息保護(hù)范疇，所以等級(jí)保護(hù)要求項(xiàng)背后都有他的邏輯的。

社會(huì)工程學(xué)

社會(huì)工程學(xué)涉及操縱個(gè)人泄露機(jī)密信息。技術(shù)包括網(wǎng)絡(luò)釣魚，攻擊者在電子通信中偽裝成可信賴的實(shí)體，以及借口，攻擊者創(chuàng)建虛構(gòu)的場(chǎng)景來(lái)竊取個(gè)人信息。

密碼噴射

密碼噴射是指針對(duì)多個(gè)賬戶嘗試幾個(gè)常用口令密碼的技術(shù)。與針對(duì)一個(gè)賬戶嘗試多個(gè)口令密碼的暴力攻擊不同，密碼噴灑針對(duì)多個(gè)賬戶使用較少的口令，從而降低了觸發(fā)賬戶鎖定的可能性。 

這些技術(shù)強(qiáng)調(diào)了強(qiáng)大的密碼策略和先進(jìn)的安全解決方案的必要性，特別是對(duì)于網(wǎng)站管理員來(lái)說(shuō)，他們不僅要保護(hù)自己的數(shù)據(jù)，還要保護(hù)用戶的數(shù)據(jù)。

創(chuàng)建強(qiáng)密碼的最佳做法

1.開啟嚴(yán)格的密碼策略

在常見的操作系統(tǒng)中，如Windows、Linux等以及許多設(shè)備中，都有關(guān)于密碼（口令）強(qiáng)度的策略功能配置界面，檢查系統(tǒng)、設(shè)備是否具有密碼策略管理，并合理開啟密碼策略。

2.增加長(zhǎng)度和復(fù)雜性

在口令密碼安全領(lǐng)域，長(zhǎng)度和復(fù)雜性是關(guān)鍵。理想的密碼至少應(yīng)為 12 到 16 個(gè)字符。此長(zhǎng)度可確保字符組合廣泛，使自動(dòng)化工具難以破譯。 復(fù)雜性同樣重要。大小寫字母、數(shù)字和符號(hào)的混合會(huì)破壞可預(yù)測(cè)的模式，使黑客難以破解密碼。這不僅僅是在末尾添加大寫字母或數(shù)字；復(fù)雜性應(yīng)該貫穿整個(gè)密碼。

3. 使用短語(yǔ)設(shè)置密碼

密碼短語(yǔ)已成為一種用戶友好且安全的密碼策略。與傳統(tǒng)密碼不同，密碼短語(yǔ)是一串隨機(jī)單詞或句子。例如，“BlueDolphinSunsetDrive”比“B1u3D0lph!n”等隨機(jī)字符串更安全且更容易記住。 而我國(guó)的文化更適合這類密碼設(shè)置，比如利用古詩(shī)每句話中的某個(gè)字，比如春曉的韻腳：Xiao%Niao)Sheng%shao)，或者其他方式組合，這個(gè)組合是韻腳及這句詩(shī)第幾個(gè)字。

密碼短語(yǔ)的長(zhǎng)度本身就很強(qiáng)大，敘事性也更容易記住。但是，避免使用常用短語(yǔ)、名言或歌詞至關(guān)重要，因?yàn)檫@些很容易猜到。

4. 避免使用常見模式和字典單詞

常見模式，例如連續(xù)的鍵盤路徑（例如“qwerty”）或重復(fù)的字符（例如“aaa”），會(huì)大大削弱密碼安全性。同樣，使用字典單詞，即使使用巧妙的替換（例如“p@ssw0rd”），也不足以抵御復(fù)雜的破解算法。 

黑客經(jīng)常使用能夠輕松預(yù)測(cè)這些替換的高級(jí)工具。創(chuàng)建避免這些模式和字典單詞的密碼對(duì)于保持對(duì)各種網(wǎng)絡(luò)威脅的強(qiáng)大防御至關(guān)重要。

5. 不同賬戶使用不同的密碼

安全的基本規(guī)則之一是為每個(gè)賬戶使用不同的密碼。此策略可防止一個(gè)密碼被盜導(dǎo)致多個(gè)賬戶遭到未經(jīng)授權(quán)的訪問(wèn)。記住許多復(fù)雜的密碼可能很困難，密碼管理器是一種比較不錯(cuò)的選擇。

6. 實(shí)施多因素身份驗(yàn)證 (MFA)

多重身份驗(yàn)證 (MFA) 增加了一層重要的安全保障。MFA 要求用戶提供兩個(gè)或更多驗(yàn)證因素才能訪問(wèn)賬戶，而且需要其中一個(gè)因素利用密碼技術(shù)。 這種方法可以確保即使密碼被泄露，未經(jīng)授權(quán)的用戶仍然無(wú)法在沒(méi)有第二個(gè)組件的情況下獲得訪問(wèn)權(quán)限。這對(duì)于包含敏感個(gè)人或財(cái)務(wù)信息的賬戶尤其重要。

7. 充分利用密碼管理器及其優(yōu)勢(shì)

密碼管理器存儲(chǔ)和加密密碼，同時(shí)讓輕松安全地登錄賬戶。用戶只需記住一個(gè)主密碼。好處是巨大的——密碼管理器減輕了記住多個(gè)復(fù)雜密碼的負(fù)擔(dān)，降低了使用弱密碼或重復(fù)密碼的風(fēng)險(xiǎn)，并且通?？梢宰詣?dòng)更新密碼。它們還可以包括受感染網(wǎng)站的安全警報(bào)和安全共享密碼的能力等功能。

在網(wǎng)絡(luò)威脅不斷演變的環(huán)境中，遵守這些最佳實(shí)踐至關(guān)重要。通過(guò)實(shí)施強(qiáng)密碼以及這些策略，個(gè)人和組織可以顯著增強(qiáng)其數(shù)字安全態(tài)勢(shì)。

立即改善的可行步驟

對(duì)個(gè)人的建議

審核當(dāng)前的口令密碼。檢查所有密碼并評(píng)估其強(qiáng)度。遵循最佳實(shí)踐，用更強(qiáng)的密碼替換弱密碼。

啟用多因素身份驗(yàn)證。盡可能啟用多因素身份驗(yàn)證以增加一層安全性。

定期更新密碼。定期更新密碼，尤其是敏感賬戶的密碼。

警惕網(wǎng)絡(luò)釣魚攻擊。了解網(wǎng)絡(luò)釣魚攻擊，避免無(wú)意中泄露您的密碼。

使用密碼管理器。使用密碼管理器安全地跟蹤您的復(fù)雜密碼。

對(duì)單位的建議

實(shí)施強(qiáng)密碼策略。制定并執(zhí)行強(qiáng)制使用強(qiáng)密碼的策略。

定期進(jìn)行安全培訓(xùn)。定期舉辦培訓(xùn)課程，幫助員工識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，包括與密碼安全相關(guān)的威脅。

鼓勵(lì)使用密碼管理器。在組織內(nèi)推廣使用密碼管理器，幫助員工為每個(gè)賬戶維護(hù)安全、唯一的密碼。

安排例行安全審計(jì)。定期審計(jì)組織的安全實(shí)踐和政策，以識(shí)別和解決漏洞。

制定安全事件響應(yīng)計(jì)劃。制定并維護(hù)一個(gè)明確的計(jì)劃來(lái)應(yīng)對(duì)安全違規(guī)行為，包括因密碼泄露而導(dǎo)致的違規(guī)行為。通過(guò)實(shí)施這些步驟，個(gè)人和組織可以顯著加強(qiáng)對(duì)密碼相關(guān)安全威脅的防御，確保更安全的在線狀態(tài)。

如何維護(hù)強(qiáng)密碼習(xí)慣

定期更新口令密碼

定期更新密碼是強(qiáng)密碼保護(hù)的重要組成部分。這種主動(dòng)方法可確保即使密碼被泄露，其有效期也是有限的，從而減少潛在損失。最佳做法是每三到六個(gè)月更改一次密碼，尤其是保存敏感信息或個(gè)人信息的賬戶。但是，更新密碼時(shí)應(yīng)避免使用可預(yù)測(cè)的模式，例如簡(jiǎn)單地在現(xiàn)有密碼中添加數(shù)字或字母。每個(gè)新密碼都應(yīng)獨(dú)一無(wú)二，并遵守強(qiáng)密碼創(chuàng)建指南。

知道如何識(shí)別網(wǎng)絡(luò)釣魚企圖

網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)犯罪分子獲取密碼的常用方法。這些嘗試通常以電子郵件或消息的形式出現(xiàn)，模仿合法來(lái)源并索要敏感信息。識(shí)別網(wǎng)絡(luò)釣魚企圖需要對(duì)未經(jīng)請(qǐng)求的信息請(qǐng)求保持懷疑，尤其是當(dāng)它們傳達(dá)緊急性或承諾獎(jiǎng)勵(lì)時(shí)。在回復(fù)或點(diǎn)擊任何鏈接之前，請(qǐng)務(wù)必驗(yàn)證來(lái)源的真實(shí)性。了解最新的網(wǎng)絡(luò)釣魚技術(shù)和此類騙局的常見指標(biāo)對(duì)于個(gè)人和組織的網(wǎng)絡(luò)安全至關(guān)重要。

避免密碼共享

密碼共享（即使是與可信賴的人共享）也會(huì)大大增加安全漏洞的風(fēng)險(xiǎn)。每個(gè)共享密碼都是一個(gè)潛在的漏洞。為每個(gè)賬戶保留單獨(dú)的密碼至關(guān)重要，并且不鼓勵(lì)在個(gè)人和專業(yè)環(huán)境中共享密碼的做法。對(duì)于需要共享訪問(wèn)權(quán)限的情況（例如團(tuán)隊(duì)賬戶或家庭使用），請(qǐng)考慮使用允許訪問(wèn)而無(wú)需透露實(shí)際密碼的密碼管理工具。

監(jiān)控賬戶活動(dòng)

定期監(jiān)控賬戶活動(dòng)是檢測(cè)未經(jīng)授權(quán)訪問(wèn)的主動(dòng)方法。許多在線服務(wù)提供近期活動(dòng)日志，例如登錄時(shí)間和位置。定期檢查這些日志以確保所有活動(dòng)都是合法的。 發(fā)現(xiàn)異常，第一時(shí)間排查被侵入的可能性。

注:本文中“密碼”多為“口令”，請(qǐng)注意語(yǔ)境，與密碼技術(shù)、密碼算法之密碼做區(qū)分。