访问安全
上网行为管理AC SSL VPN 硬件VPN云安全
信服云盾 信服云眼 重构入云业务安全边界边界安全
下一代防火墙AF WAF终端安全
终端检测响应平台EDR 企业移动管理EMM身份安全
EasyConnct 行为感知系统BA威胁检测
安全感知平台SIP病毒防护
网络防病毒等级保护
等保2.0安全审计与运营
数据库安全审计DAS云服务
私有云 公有云 云杀毒 云监控 混合云 云搬迁微软云
微软云介绍 微软云优势 微软云解决方案 微软云案例阿里云
阿里云介绍 阿里云产品 阿里云解决方案 阿里云案例钉钉
钉钉简介 钉钉定制开发推荐视频
发布者:上海IT外包来源:http://www.lanmon.net点击数:2699
很显然,对付账号密码爆破最有效的方式是多因素认证或非密码认证,开启账户登录失败锁定策略,不大可能启用,如果这么操作互联网上的暴破酒直接变成拒绝服务了,对业务系统产生的危害会更加直接。在无法使用MFA(多因素认证)或证书认证的场合,我们能够坚持的最低的底线的还是设置复杂的密码,也就是强壮的密码,但是什么才算复杂强壮的密码呢?这个定义现在已经完全颠覆过去的认知。
传统的强壮密码只需要满足一定长度和复杂度的就算是可以,比如说大小写字母数字特殊符号并存,位数超过十位以上等等。而如今攻击者早已站在大数据的维度,即攻击者现在可以轻易获得各种社工库,拥有几十亿网名的常用密码,尽管你可以设置一个看上去有一定复杂度强壮性的密码,但只要这个密码在黑客的“字典”里,在攻击者的数据库中,那么它本质上还是一个“弱”密码。举个具体的例子,比如说“傻白甜国际贸易有限公司”某一台客户端电脑被攻破变为僵尸机,从客户端电脑可以轻易获得公司名称“傻白甜国际贸易有限公司”那么很容易可以根据名称,制定出相应的“弱密码”字典,比如说“sbtgjmyyxgs,SbTGj!m1YXgs!,ShaBa!GuoJ!m1yXgS”这种看起来很复杂,长度也足够的密码,因为完全是围绕公司名称定制,都属于弱密码的一种,很容易通过横向攻击攻破服务器。围绕着公司名称,地点,具体地址,特定年份,特定人员创造出来的密码,从现在的技术角度来说,都属于弱密码。
所以通过一些入侵事件的根因分析,往往安全人员觉得自己管理员密码比较长,所以就主观排除了口令爆破的可能性,但是在其他点上面上又找不到原因,最后只能顺着APT的方向去了,再然后就没有然后了……其实没想到就是“弱”密码导致的,有的时候最SB的漏洞,往往就是最致命的漏洞。站在攻击者的角度,安全人员主动破解自己系统的密码现在已经算不上是什么激进的手段了。作为甲方安全团队,平时也应该收集各种社工库,把公司内部研发测试运维常用的“弱”密码做成字典,周期性地更新这个字典并主动尝试破解公司内各个系统的账号,只要能被攻破的都视为弱密码,然后进行相应的整改。随着时代的发展,只是单纯的傻傻的地站在防御者角度做安全将会举步维艰,守方必须紧紧跟随攻方的脚步,安全攻防就是此消彼长的状态,必须时刻保持着博弈的心态,下硬功夫,苦功夫,才能练出真功夫。
分享到:
中文
电话咨询
微信咨询
公众号
