漏洞科普:你对弱口令重视吗?
在当今很多地方以用户名和口令作为鉴权的世界,口令的重要性就可想而知了。口令就相当于进入家门的钥匙,当他人有一把可以进入你家的钥匙,想想你的安全、你的财物、你的隐私……害怕了吧。因为弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家门钥匙放在家门口的垫子下面,是非常危险的。
在前几天的时间里,我在漏洞平台连续提交了多个电信系统的弱口令,并在多个政府网站以及计费系统中发现存在特别低级的弱口令。现如今,不同的人对于弱口令有不同的认识,我们从以下几个角度(非用户角度)现一下对于弱口令的想法。
网站程序开发者:设置个简单点的密码让客户容易记,再把自己的网站弄成默认密码还有宣传作用。
网站程序使用者:看起来这个默认密码挺安全的,我就用这个密码了。
网站管理员A:密码复杂了太难记,记不住怎么办,还是简单点吧。
网站管理员B:这样的密码容易让别人知道,用什么好呢,又得是一个我能记住的,对了,就用我的QQ或者新浪等等密码吧。(此种情况往往会通过其他途径泄漏管理员的登录密码)
以上通过几个身份的不同角度来描述对弱口令的看法。在乌云漏洞平台的弱口令事件,我通过搜索“弱口令”发现:
有2714条记录(截止到2014年8月30日)
弱口令的危害极大,我们不能不重视。
弱口令TOP100:
123456789
a123456
123456
a123456789
1234567890
woaini1314
qq123456
abc123456
123456a
123456789a
147258369
zxcvbnm
987654321
12345678910
abc123
qq123456789
123456789.
7708801314520
woaini
5201314520
q123456
123456abc
1233211234567
123123123
123456.
0123456789
asd123456
aa123456
135792468
q123456789
abcd123456
12345678900
woaini520
woaini123
zxcvbnm123
1111111111111111
w123456
aini1314
abc123456789
111111
woaini521
qwertyuiop
1314520520
1234567891
qwe123456
asd123
000000
1472583690
1357924680
789456123
123456789abc
z123456
1234567899
aaa123456
abcd1234
www123456
123456789q
123abc
qwe123
w123456789
7894561230
123456qq
zxc123456
123456789qq
1111111111
111111111
0000000000000000
1234567891234567
qazwsxedc
qwerty
123456..
zxc123
asdfghjkl
0000000000
1234554321
123456q
123456aa
9876543210
110120119
qaz123456
qq5201314
123698745
5201314
000000000
as123456
123123
5841314520
z123456789
52013145201314
a123123
caonima
a5201314
wang123456
abcd123
123456789..
woaini1314520
123456asd
aa123456789
741852963
a12345678
弱口令能做什么?
- 进入后台修改资料,比如说考试成绩,电费水费。
- 财务报销,比如说某企业的财务申请,将现金打入你的卡中。
- 窃取企业内部资料。例如OA平台中的文件等等。
- 获取用户的信息。比如说通过后台登陆某个用户的账号,把里面的资金转出。
- 实时监控:监控别人的一举一动,甚至可以看到“潜规则”。
6. 其他等等
如何防范?
1.不使用空口令或系统缺省的口令,因为这些口令众所周之,为典型的弱口令。
2.口令长度不小于8个字符。
3.口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合。
4.口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个,那么该字符不应为首字符或尾字符。
5.口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。
6.口令不应该为用数字或符号代替某些字母的单词。
7.口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。
8.至少90天内更换一次口令,防止未被发现的入侵者继续使用该口令。
我该注意什么?
1.在笔记本或其它地方不要记录口令。
2.向他人透露口令,包括管理员和维护人员。
3.在e-mail或即时通讯工具中不透露口令。
4.离开电脑前,锁定电脑,设置密码。
5.在多个帐户之间使用不相同的口令。
6.在公共电脑不要选择程序中可保存口令的功能选项。
总结:弱口令的危害仍然存在,每天的安全事件中弱口令无处不在,通过弱口令进入后台,获取权限,财务转账,计费修改,实时监控,都是完全可以实现的。现如今中国独创的汉字密码在有些网站已经开始应用,汉字密码通常会比目前的密码规则安全,也期待更多的普及和应用。
FreeBuf推荐:如何设置安全的密码
根据使用场景 及重要程度
我们密码使用的场景大概分为以下几类:
财产类(重要)
这类直接关系到我们的金钱相关的账户,其中包括银行,支付宝,购物账户等。这些账户一旦被盗,将给我们直接造成经济损失。
通讯类(重要)
这类主要包括电子邮件,QQ、msn,这里主要包含我们经常联系的人。同时邮箱中还包含很多注册信息、以及其他密码信息。往来邮件等。
临时类(不重要)
一般是,我们在网络上搜索东西,需要注册才能够使用的,这种我们一般是临时内容。
工作类(重要)
一般是我们工作中需要用到的一些密码,包括服务器密码,ftp密码,网站后台密码,无线密码、路由密码,其他认证密码等。
常用类(中等)
这种一般的是我们常去的一些网站或论坛、社区等地方。这些不涉及财产,不涉及个人隐私等信息。
隐私类(重要)
对于在网络上,有些网站是需要提交个人信息、或者相关证件等信息的。还有上传照片的,网络硬盘等存在有我们私人的东西的地方。当然,对于这些也会根据我们在这些地方上传的内容有来定。
原创文章转载请注明:转载自 七行者博客
本文固定链接: https://www.qxzxp.com/5268.html