提到弱口令,先想到的是123456这样的密码,大家觉得这个不可思议吧,但是实际上真实存在,在我来到公司的时候,第一次安全众测,发现数百个这样的弱密码。
本节我们来探讨企业安全中常发生的内部系统弱口令问题,以及如何整治。
1.弱口令会在什么地方发生
邮箱/OA,这是最易发生弱口令的地方
SSL VPN,这是进入公司内部网络的重要入口
运营类系统,这类系统在我们公司非常多
工程效率相关的平台,比如Redmine / Zabbix
企业使用的外部系统,如各应用市场/iOS开发者中心/微信开发平台/企业微博/域名服务/招聘网站/云服务系统等
2.弱口令的危害
如果这些系统都在内网,那么即使存在弱口令,危害相对较低,但我们公司由于业务的属性,上述的系统大多对外开放,使用对象主要是内部员工。
这边主要讲下邮箱和运营系统:
邮箱一旦有弱口令被攻破,里面的信息非常丰富:
如果你是财务人员,那有各种财务报表
如果你是HR,那就有员工的薪资资料,比如offer
如果你是运维人员,那你们公司服务器帐号密码就有了
所以邮箱是重要的入口,一旦被攻破,还能发生二次安全泄漏,比如一般人邮件都不删除的,会保留公司使用的外部系统的帐号密码,这样就又进入了其他系统。
还有运营系统,里面一般有大量的公司用户资料/项目资料,一旦泄漏出去,危害巨大,所以也是重点关注对象。
3.哪些弱口令会被攻破
从攻防角度来看,我们来看看哪些弱口令会被攻破,首先由于是内部系统,所以用户名很容易被枚举(如Top500中国姓名),主要的弱密码会有以下几种:
常见的若密码,如123456,123123,888888
公司相关的,比如abc123456
用户名相关的:比如zhangsan@2015
4.弱口令整治之治标
首先要能检测到,我们的做法是把AD中帐号拉出来,写密码字典爆破,刚开始就爆破比如123456常见密码,后来就爆破公司相关/姓名相关。
接下来就是推动整改,一种做法是发邮件通知,必须于一定时间修改完,或者给管理员直接重置密码,并发消息告知本人。
5.若口令整治之治本
以上只能治标,要想治本,需要解决两个问题:
统一登录入口,实现安全认证
统一密码重置入口和密码强度策略
基于以上,开发了统一认证平台,实现统一认证和登录,支持帐号密码+验证码、持钉钉认证或微信登录,即保障安全性,也提升了用户登录的便利(当然这个系统自身安全性要求很高,需要做好控制),如下:
这里要说明下,如果使用帐号密码登录,使用短信作为第二认证因子,以防爆破。
此外还将密码重置入口统一收归到这个平台,我们采用以下密码安全策略:
内部系统弱口令的整改是个漫长的过程,涉及老系统接入改造,前前后后经历了一年半时间才将这个问题彻底解决。
6.小结
弱口令在很多企业是普遍存在的,如果这个问题不解决,很多安全措施其实是无力的,比如你做了防SQL注入,人家直接就登录你系统了,后果很严重。
对于弱口令,思路是检测--->治标(修改或重置密码)--->建立机制(如统一认证平台)。
欢迎大家关注“企业安全最佳实践”
