奇虎360高级安全研究员李福:别让黑客毁掉运维
、常见的安全风险本文以攻击者的角度看,主要写一些可能因为运维的问题会导致攻击成功。比如说弱口令问题,听起来比较 low,但实际问题一直存在。1.1 弱口令危害安全的入口之一弱口令对于强密码,经常有人问我,怎样的密码才叫强? “密码要求8位以上,大小写加数字和字符,为什么还说这是弱口令”。针对键盘序列生成的密码有多少人在使用呢? 如下图所示,左边的密码规律很明显,对照右边的键盘来看,就是按照这个键盘区位产生的密码,同类型的组合还有很多。这个组合有限的,而且很多人也有这个习惯。攻击者在攻击企业的时候,重要的入口就是邮箱,OA 这些系统会使用这样的密码。那么弱口令的问题就是一个大问题了。常见的密码组合,这边有四个规则:第一种,修改密码的时候说不包含数字,不符合要求,后面加 123 或者 321 符合要求。第二种,有可能说前面的长度不够再加长一点,123456 都是有可能的。第三种,有可能运维提示,密码今年过期了,只能再修改一个,为了方便记忆修改加一个年份,如 2017 2016第四种,密码组合加公司域名,大家可以想像自己的密码是不是包含公司的域名。初始化的问题。大家看到图中,根据不同人员的类型设置测试密码。我们作为攻击者首先关注到了外包人员初始化密码的规则。密码最简单的就是出生年月,这个攻击实现起来很简单,暴露破解账号,加上有限的生日密码字典。太复杂了记不住啊
页:
[1]