首页 > 安全 > 网络安全 >

漏洞科普:你对弱口令重视吗

2014-09-02

在当今很多地方以用户名和口令作为鉴权的世界,口令的重要性就可想 而知了。口令就相当于进入家门的钥匙,当他人有一把可以进入你家的钥匙,想想你的安全、你的财物、你的隐私……害怕了吧。因为弱口令很容易被

在当今很多地方以用户名和口令作为鉴权的世界,口令的重要性就可想 而知了。口令就相当于进入家门的钥匙,当他人有一把可以进入你家的钥匙,想想你的安全、你的财物、你的隐私……害怕了吧。因为弱口令很容易被他人猜到或破 解,所以如果你使用弱口令,就像把家门钥匙放在家门口的垫子下面,是非常危险的。

在前几天的时间里,我在漏洞平台连续提交了多个电信系统的弱口令,并在多个政府网站以及计费系统中发现存在特别低级的弱口令。现如今,不同的人对于弱口令有不同的认识,我们从以下几个角度(非用户角度)现一下对于弱口令的想法。

网站程序开发者:设置个简单点的密码让客户容易记,再把自己的网站弄成默认密码还有宣传作用。

网站程序使用者:看起来这个默认密码挺安全的,我就用这个密码了。

网站管理员A:密码复杂了太难记,记不住怎么办,还是简单点吧。

网站管理员B:这样的密码容易让别人知道,用什么好呢,又得是一个我能记住的,对了,就用我的QQ或者新浪等等密码吧。(此种情况往往会通过其他途径泄漏管理员的登录密码)

以上通过几个身份的不同角度来描述对弱口令的看法。在乌云漏洞平台的弱口令事件,我通过搜索“弱口令”发现:

有2714条记录(截止到2014年8月30日)

弱口令的危害极大,我们不能不重视。

弱口令TOP100:

 123456789  a123456  123456  a123456789  1234567890  woaini1314  qq123456  abc123456  123456a  123456789a  147258369  zxcvbnm  987654321  12345678910  abc123  qq123456789  123456789.  7708801314520  woaini  5201314520  q123456  123456abc  1233211234567  123123123  123456.  0123456789  asd123456  aa123456  135792468  q123456789  abcd123456  12345678900  woaini520  woaini123  zxcvbnm123  1111111111111111  w123456  aini1314  abc123456789  111111  woaini521  qwertyuiop  1314520520  1234567891  qwe123456  asd123  000000  1472583690  1357924680  789456123  123456789abc  z123456  1234567899  aaa123456  abcd1234  www123456  123456789q  123abc  qwe123  w123456789  7894561230  123456qq  zxc123456  123456789qq  1111111111  111111111  0000000000000000  1234567891234567  qazwsxedc  qwerty  123456..  zxc123  asdfghjkl  0000000000  1234554321  123456q  123456aa  9876543210  110120119  qaz123456  qq5201314  123698745  5201314  000000000  as123456  123123  5841314520  z123456789  52013145201314  a123123  caonima  a5201314  wang123456  abcd123  123456789..  woaini1314520  123456asd  aa123456789  741852963  a12345678

弱口令能做什么?

  1. 进入后台修改资料,比如说考试成绩,电费水费。

  2. 财务报销,比如说某企业的财务申请,将现金打入你的卡中。

  3. 窃取企业内部资料。例如OA平台中的文件等等。

  4. 获取用户的信息。比如说通过后台登陆某个用户的账号,把里面的资金转出。

  5. 实时监控:监控别人的一举一动,甚至可以看到“潜规则”。

    6. 其他等等

    如何防范?

    1.不使用空口令或系统缺省的口令,因为这些口令众所周之,为典型的弱口令。

    2.口令长度不小于8个字符。

    3.口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合。

    4.口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个,那么该字符不应为首字符或尾字符。

    5.口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。

    6.口令不应该为用数字或符号代替某些字母的单词。

    7.口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。

    8.至少90天内更换一次口令,防止未被发现的入侵者继续使用该口令。

    我该注意什么?

    1.在笔记本或其它地方不要记录口令。

    2.向他人透露口令,包括管理员和维护人员。

    3.在e-mail或即时通讯工具中不透露口令。

    4.离开电脑前,锁定电脑,设置密码。

    5.在多个帐户之间使用不相同的口令。

    6.在公共电脑不要选择程序中可保存口令的功能选项。

    总结:弱口令的危害仍然存在,每天的安全事件中弱口令无处不在,通过弱口令进入后台,获取权限,财务转账,计费修改,实时监控,都是完全可以实现的。现如今中国独创的汉字密码在有些网站已经开始应用,汉字密码通常会比目前的密码规则安全,也期待更多的普及和应用。

    FreeBuf推荐:如何设置安全的密码

    根据使用场景 及重要程度
    我们密码使用的场景大概分为以下几类:
    财产类(重要)
    这类直接关系到我们的金钱相关的账户,其中包括银行,支付宝,购物账户等。这些账户一旦被盗,将给我们直接造成经济损失。
    通讯类(重要)
    这类主要包括电子邮件,QQ、msn,这里主要包含我们经常联系的人。同时邮箱中还包含很多注册信息、以及其他密码信息。往来邮件等。
    临时类(不重要)
    一般是,我们在网络上搜索东西,需要注册才能够使用的,这种我们一般是临时内容。
    工作类(重要)
    一般是我们工作中需要用到的一些密码,包括服务器密码,ftp密码,网站后台密码,无线密码、路由密码,其他认证密码等。
    常用类(中等)
    这种一般的是我们常去的一些网站或论坛、社区等地方。这些不涉及财产,不涉及个人隐私等信息。
    隐私类(重要)
    对于在网络上,有些网站是需要提交个人信息、或者相关证件等信息的。还有上传照片的,网络硬盘等存在有我们私人的东西的地方。当然,对于这些也会根据我们在这些地方上传的内容有来定。

相关文章
最新文章
热点推荐