企业动态

    历年的3·15晚会，“个人隐私”、数据泄露都是热词，今年3·15也不例外。

    软件捆绑、静默下载、广告弹窗，下载一个捆绑六个，打着“免费wifi”、“高速下载”的幌子，各种陷阱防不胜防；

    手机访问一个网站，大数据就泄露个人电话，成为厂家营销工具，骚扰电话不厌其烦；

    儿童手表过度索权，位置、视频、录音等个人隐私无法隐藏。

    其实，还有一样东西，和用户数据安全和个人隐私更加息息相关，应该被重点“打假”。

    它就是数据安全依赖的最基础的技术——密码。

    谈到密码，真是让人爱恨交加，我打赌，你肯定有过这样的崩溃瞬间：

    虽然密码给人增添了一些麻烦，但是，为了安全，舍弃便利也是必要的。

    不过密码也有“真假”之分：“真密码”，极难破解，固若金汤；“假密码”，形同虚设，连三岁小孩都能轻松破解。我们就借3·15的机会，一起来揭穿哪些披着“安全”外衣、实则“门户洞开”的“假密码”。

    又登热搜的“123456”

    近日，受俄乌局势影响，一条2018年的“旧闻”，再次火了起来。

    当时乌克兰记者AlexanderDubinsky披露，乌克兰武装部队的自动控制系统（ACS）“Dnipro”长期使用密码“admin”和“123456”访问服务器。

    对此国内有网友评论：“即便是用于守护我两位数存款的六位银行卡密码，也也敢设置成123456，更不要说它是重要军事目标的访问凭证，而且拥有极高的权限。”

    有分析称，利用该凭证可以自由地访问交换机、路由器、工作站、服务器、语音网关、打印机、扫描仪等，有可能在短短几天时间内，就可以建立所有网络的拓扑结构，并使用这个网络来入侵目标。

    然而这份报道似乎并没有引起当局的重视，在四个月之后，密码依然可以使用。

    这样的密码实在“太假了”

    事实上，这并不是123456第一次被推上热搜！

    根据密码管理器提供商NordPass每年发布的最常用密码Top榜单显示，123456已经连续N年“霸榜”！

    有趣的是，这份榜单不仅仅揭晓了最常用的密码类型，还指出了一项非常关键的数据：位居榜单前列的密码，其破解时间小于1秒。

    至于破解到底有多简单，看看这条新闻就知道了。

    据光明网报道，2020年12月，李某在村里路上捡到一张银行卡，她想着自己同村人设置银行卡密码都比较简单，数字不是888888就是666666、或者123456，就抱着试一试的态度在附近的ATM机查了余额，没想到“一击即中”，只猜了一次就试对了密码，攻击取走了两万余元。

    更何况，职业的黑客团伙往往会使用密码词典这种暴力破解工具，即在密码词典中添加常用的密码，然后利用计算机针对目标账户进行穷举，直到登录成功为止。基于当今的计算速度，破解这种弱密码简直不费吹灰之力。

    众所周知，设置登录密码最重要的作用之一，就是针对访问者的身份进行初步判别。可如果过于简单，那么除了让用户每次登录之前花一秒钟输入这些数字，没有任何意义。

    从这个角度上来看，我们可以大声的对123456这样的弱密码说，你实在是“太假了”，有密码之名，却没有密码之实。

    所以，这样的“假密码”还是改改吧。

    薛定谔的“密码”

    为了帮助用户提升密码强度，很多产品可以说是操碎了心：密码设置长度必须达到12个字符及以上，而且必须包含大小写字母、数字甚至特殊符号组合。

    原则上，这的确符合高强度密码的标准。

    为了达到这个标准，用户们可以说是“八仙过海各显神通”。有姓名+生日/纪念日的，有姓名+身份证尾号/手机尾号的，还有用企业邮箱的……

    这类密码长度足够，看起来也很复杂，如果对于用户本人比较陌生，想要破解出来还有一定的难度，在这个时候大可以认为密码是真的，能够起到保护系统的作用。

    可如果碰到“熟人”的话，情况就未必如此了。

    这里“熟人”分为两种情况：

    第一种是本身和你很熟，他们熟知你的名字、手机号、生活习惯、兴趣爱好以及你爱人的名字、手机号甚至是恋爱/结婚纪念日等等信息。运气好的话，完全可以通过人工猜测来破解出你的账号密码。

    第二种是可能压根和你就不认识，但是通过某些手段搜集到了你的相关信息，从而变得和你“熟悉”了，通常这些人来自职业黑客团伙。比如他们可以利用已经掌握的其他系统的账户信息，对目标系统进行撞库攻击，说不定就能获得部分账户的登录权限；即便不使用撞库攻击，当黑客团伙搜集到足够的员工信息后，也完全可以将可能的密码加入密码词典，对目标系统账户进行暴力破解。

    所以，在面对熟人的时候，它依然有着强度不足的问题，被叫做“假密码”也不过分。

    于是“薛定谔”的密码就出现了。这种和用户本人强相关的密码，在面对陌生人的时候是“真密码”，而在面对熟人的时候就很有可能是“假密码”，综合起来就是处于“真和假”的叠加状态。

    “真密码”实在太难了

    打完了假，总得给点真的。

    想要被称为“真密码”，至少得符合三个条件：

    第一，足够长，比如12位以上；第二，足够复杂，比如包含大小写字母、数字以及特殊符号；第三，没有特殊规律，让人难以琢磨。

    比如Uds@dsfg#850，想要破解出来除非烧了高香。

    然而，使用这样的密码也太难了，让人非常不情愿使用。否则也不会有不少安全从业者经常抱怨：“明明每次都在整改，怎么总会出现弱密码的风险。”

    而且即便所有员工都使用“真密码”，风险也并不会远离，依然有可能泄露。更何况，弱密码也只是属于风险账号的一种，幽灵账号、僵尸账号、提权账号等，它们的隐蔽性更强，危害性同样也不小。

    尤其是特权账号，由于权限高能访问很多重要数据，它的风险问题往往最容易被攻击者利用。

    这些风险账号屡禁不止的背后，人性的弱点在其中起到了非常重要的作用。内鬼可能是为了经济利益，故意把密码泄露出去，也可能是无意间做了一些高风险的操作。

    不过，道理大家都懂，想要真正解决这些风险就太难了。

    其一，账号难以全面梳理，做不到心中有数；

    其二，弱密码的使用的方便性、记忆的便捷性、管理的统一性说明了由人脑设置和管理密码必会导致弱密码的产生；

    其三，特权账号使用流程难闭环、密码记不住，存储不安全；

    其四，各个平台规则不一样，密码管理很难统一，实操过程中很容易费时费力没效果。

    显然，解决上述四个挑战，做好账号的风险管理，不是靠人力和制度能做好的事情，这就需要奇安信特权账号管理系统（简称PAM）来露两手。

    奇安信PAM能够：

    结合企业自身组织架构和设备管理信息，提供在线+离线组合的账号扫描方案，找出风险点，让管理者做到心中有数，运筹帷幄；

    基于账号台账和动态大屏进行可视化展示，发现风险后可以一键随机改密，让风险账号无所遁形；

    基于国密加密存储+设备专属密钥，实现动态授权+全程使用审计+安全监控全流程闭环，做数据金库最安全的大门；

    人机+机机账号统一管理，消除“硬编码”，让机器和机器对话。

    所以，关于密码打假的事情，还是交给奇安信PAM吧。

    作者简介

    本期叨主：魏开元

    安全圈“首席编剧”，写点小故事还原网络攻防一线的明枪暗箭