“兩高一弱”專項工作公安部去年在新聞發(fā)布會中做了強調(diào)，該工作自去年開展以來，許多網(wǎng)絡安全企業(yè)，都就“兩高一弱”給出了自己的解決方案，除了我們看到的常規(guī)的弱口令，其實有很多單位雖然也設置有：大寫字母、小寫字母、數(shù)字、特殊符號為特征的口令，但是有些單位在設置過程中存在極大的規(guī)律性，例如：Xx@ABC@123這一類的口令密碼，其實這類雖然看似滿足了強口令的要求，但是總體來說只是比所謂的弱口令好一點，建議在設置密碼過程中盡量避免出現(xiàn)太強的規(guī)律性。

《網(wǎng)絡安全等級保護基本要求》關于安全計算環(huán)境的身份鑒別a)項，四個級別，都對身份鑒別信息的復雜度有要求，并要求定期更換。口令是身份鑒別信息的最重要的部分，按照合規(guī)要求連說，各單位都落實的等級保護工作，不應該有那么多歷史遺留的“弱口令”了，事實上弱口令亦然是每年護網(wǎng)中被利用最多的安全風險隱患。而弱口令的整改，也是最經(jīng)濟、最簡單、最有效的一種整改，但在實踐中卻有點令人失望。

其實包括消除“兩高”，也屬于等級保護落實要求項目。而年年合規(guī)中，卻成為最突出的安全隱患，這類偽合規(guī)、假合規(guī)何時是個頭？若各方都能做到真實合規(guī)，這類風險將大幅度降低。

今天我們結合維基百科弱口令TOP 100，和大家一起探討一二，希望個人能保護好自身數(shù)字財產(chǎn)安全，單位能夠及時緩解“兩高一弱”的弱口令方面的影響。

圖片

弱口令風險

未經(jīng)授權的訪問

弱口令會為未經(jīng)授權的訪問打開大門。包括有人進入個人社交媒體賬戶，甚至入侵受保護的網(wǎng)絡、應用系統(tǒng)、商業(yè)數(shù)據(jù)庫等。一旦進入，入侵者就可以提取敏感信息、冒充合法用戶或破壞操作。

賬戶接管

口令安全性薄弱的直接后果是賬戶被盜用。網(wǎng)絡犯罪分子獲得一個賬戶的訪問權限后，通?？梢岳迷撡~戶的信息訪問其他賬戶，尤其是當重復使用相同口令時。這種多米諾骨牌效應可能導致個人和專業(yè)數(shù)字數(shù)據(jù)大范圍泄露。

數(shù)據(jù)泄露

一個弱口令就可能導致大規(guī)模數(shù)據(jù)泄露。當攻擊者入侵一個賬戶時，通?？梢詾g覽整個網(wǎng)絡系統(tǒng)，訪問大量機密數(shù)據(jù)，包括個人信息和商業(yè)機密。

身份盜竊

身份盜竊通常始于一個被盜用的口令。攻擊者可以使用被盜憑證冒充個人、申請信貸或從事欺詐活動，所有這些都是以他人的名義進行的。

財務損失

弱口令可能導致直接的經(jīng)濟損失。在商業(yè)環(huán)境中，賬戶被盜可能導致資金或知識產(chǎn)權被盜，給公司造成數(shù)百萬美元的損失。對于個人而言，銀行或信用卡信息被盜可能會帶來直接且毀滅性的財務影響。

網(wǎng)站接管

對于網(wǎng)站管理員和所有者來說，弱口令會帶來巨大風險。攻擊者獲得訪問權限后可以破壞網(wǎng)站、竊取客戶數(shù)據(jù)，甚至將流量重定向到惡意網(wǎng)站，從而損害網(wǎng)站的完整性和企業(yè)聲譽。

名譽受損

弱口令造成的損害不僅限于直接的經(jīng)濟損失。對于企業(yè)而言，安全漏洞可能會損害其聲譽，導致失去客戶信任，并可能造成無法挽回的品牌損失。

法律后果

最后，弱口令可能會導致法律問題。數(shù)據(jù)泄露通常會導致受影響方采取法律行動，單位可能會因未能充分保護數(shù)據(jù)而面臨罰款。當先，“兩高一弱”已經(jīng)成為專項，若在工作中發(fā)現(xiàn)弱口令，拒不整改將可能面臨行政處罰。

常見的密碼破解技術

暴力攻擊

暴力攻擊是黑客使用簡單密碼進入網(wǎng)站的一種反復試驗的方法。這種方法需要系統(tǒng)地檢查所有可能的口令，直到找到正確的口令。雖然耗時，但它可以有效對抗弱口令，尤其是那些長度短且復雜度低的口令。黑客經(jīng)常使用機器人來加速和自動化這個過程。 

字典攻擊

字典攻擊涉及使用預先安排的可能口令密碼列表，例如字典中的單詞。與嘗試所有可能組合的暴力攻擊不同，字典攻擊更有針對性，測試常用單詞和短語。

彩虹表

彩虹表是用于口令密碼破解的復雜工具。是用于反轉加密哈希函數(shù)的預計算表，主要用于破解口令密碼哈希。通過彩虹表攻擊，黑客可以有效地將用戶口令密碼的哈希與表中的哈希進行比較，從而大大減少破解所需的時間。

憑證填充

憑證填充是一種自動化攻擊，利用竊取的賬戶憑證（通常是用戶名和電子郵件地址）通過大規(guī)模自動登錄請求獲取對用戶賬戶的未經(jīng)授權的訪問。這種方法利用了在多個站點之間重復使用密碼的常見做法。這點在等級保護基本要求中，屬于剩余信息保護范疇，所以等級保護要求項背后都有他的邏輯的。

社會工程學

社會工程學涉及操縱個人泄露機密信息。技術包括網(wǎng)絡釣魚，攻擊者在電子通信中偽裝成可信賴的實體，以及借口，攻擊者創(chuàng)建虛構的場景來竊取個人信息。

密碼噴射

密碼噴射是指針對多個賬戶嘗試幾個常用口令密碼的技術。與針對一個賬戶嘗試多個口令密碼的暴力攻擊不同，密碼噴灑針對多個賬戶使用較少的口令，從而降低了觸發(fā)賬戶鎖定的可能性。 

這些技術強調(diào)了強大的密碼策略和先進的安全解決方案的必要性，特別是對于網(wǎng)站管理員來說，他們不僅要保護自己的數(shù)據(jù)，還要保護用戶的數(shù)據(jù)。

創(chuàng)建強密碼的最佳做法

1.開啟嚴格的密碼策略

在常見的操作系統(tǒng)中，如Windows、Linux等以及許多設備中，都有關于密碼（口令）強度的策略功能配置界面，檢查系統(tǒng)、設備是否具有密碼策略管理，并合理開啟密碼策略。

2.增加長度和復雜性

在口令密碼安全領域，長度和復雜性是關鍵。理想的密碼至少應為 12 到 16 個字符。此長度可確保字符組合廣泛，使自動化工具難以破譯。 復雜性同樣重要。大小寫字母、數(shù)字和符號的混合會破壞可預測的模式，使黑客難以破解密碼。這不僅僅是在末尾添加大寫字母或數(shù)字；復雜性應該貫穿整個密碼。

3. 使用短語設置密碼

密碼短語已成為一種用戶友好且安全的密碼策略。與傳統(tǒng)密碼不同，密碼短語是一串隨機單詞或句子。例如，“BlueDolphinSunsetDrive”比“B1u3D0lph!n”等隨機字符串更安全且更容易記住。 而我國的文化更適合這類密碼設置，比如利用古詩每句話中的某個字，比如春曉的韻腳：Xiao%Niao)Sheng%shao)，或者其他方式組合，這個組合是韻腳及這句詩第幾個字。

密碼短語的長度本身就很強大，敘事性也更容易記住。但是，避免使用常用短語、名言或歌詞至關重要，因為這些很容易猜到。

4. 避免使用常見模式和字典單詞

常見模式，例如連續(xù)的鍵盤路徑（例如“qwerty”）或重復的字符（例如“aaa”），會大大削弱密碼安全性。同樣，使用字典單詞，即使使用巧妙的替換（例如“p@ssw0rd”），也不足以抵御復雜的破解算法。 

黑客經(jīng)常使用能夠輕松預測這些替換的高級工具。創(chuàng)建避免這些模式和字典單詞的密碼對于保持對各種網(wǎng)絡威脅的強大防御至關重要。

5. 不同賬戶使用不同的密碼

安全的基本規(guī)則之一是為每個賬戶使用不同的密碼。此策略可防止一個密碼被盜導致多個賬戶遭到未經(jīng)授權的訪問。記住許多復雜的密碼可能很困難，密碼管理器是一種比較不錯的選擇。

6. 實施多因素身份驗證 (MFA)

多重身份驗證 (MFA) 增加了一層重要的安全保障。MFA 要求用戶提供兩個或更多驗證因素才能訪問賬戶，而且需要其中一個因素利用密碼技術。 這種方法可以確保即使密碼被泄露，未經(jīng)授權的用戶仍然無法在沒有第二個組件的情況下獲得訪問權限。這對于包含敏感個人或財務信息的賬戶尤其重要。

7. 充分利用密碼管理器及其優(yōu)勢

密碼管理器存儲和加密密碼，同時讓輕松安全地登錄賬戶。用戶只需記住一個主密碼。好處是巨大的——密碼管理器減輕了記住多個復雜密碼的負擔，降低了使用弱密碼或重復密碼的風險，并且通?？梢宰詣痈旅艽a。它們還可以包括受感染網(wǎng)站的安全警報和安全共享密碼的能力等功能。

在網(wǎng)絡威脅不斷演變的環(huán)境中，遵守這些最佳實踐至關重要。通過實施強密碼以及這些策略，個人和組織可以顯著增強其數(shù)字安全態(tài)勢。

立即改善的可行步驟

對個人的建議

審核當前的口令密碼。檢查所有密碼并評估其強度。遵循最佳實踐，用更強的密碼替換弱密碼。

啟用多因素身份驗證。盡可能啟用多因素身份驗證以增加一層安全性。

定期更新密碼。定期更新密碼，尤其是敏感賬戶的密碼。

警惕網(wǎng)絡釣魚攻擊。了解網(wǎng)絡釣魚攻擊，避免無意中泄露您的密碼。

使用密碼管理器。使用密碼管理器安全地跟蹤您的復雜密碼。

對單位的建議

實施強密碼策略。制定并執(zhí)行強制使用強密碼的策略。

定期進行安全培訓。定期舉辦培訓課程，幫助員工識別和應對網(wǎng)絡安全威脅，包括與密碼安全相關的威脅。

鼓勵使用密碼管理器。在組織內(nèi)推廣使用密碼管理器，幫助員工為每個賬戶維護安全、唯一的密碼。

安排例行安全審計。定期審計組織的安全實踐和政策，以識別和解決漏洞。

制定安全事件響應計劃。制定并維護一個明確的計劃來應對安全違規(guī)行為，包括因密碼泄露而導致的違規(guī)行為。通過實施這些步驟，個人和組織可以顯著加強對密碼相關安全威脅的防御，確保更安全的在線狀態(tài)。

如何維護強密碼習慣

定期更新口令密碼

定期更新密碼是強密碼保護的重要組成部分。這種主動方法可確保即使密碼被泄露，其有效期也是有限的，從而減少潛在損失。最佳做法是每三到六個月更改一次密碼，尤其是保存敏感信息或個人信息的賬戶。但是，更新密碼時應避免使用可預測的模式，例如簡單地在現(xiàn)有密碼中添加數(shù)字或字母。每個新密碼都應獨一無二，并遵守強密碼創(chuàng)建指南。

知道如何識別網(wǎng)絡釣魚企圖

網(wǎng)絡釣魚是網(wǎng)絡犯罪分子獲取密碼的常用方法。這些嘗試通常以電子郵件或消息的形式出現(xiàn)，模仿合法來源并索要敏感信息。識別網(wǎng)絡釣魚企圖需要對未經(jīng)請求的信息請求保持懷疑，尤其是當它們傳達緊急性或承諾獎勵時。在回復或點擊任何鏈接之前，請務必驗證來源的真實性。了解最新的網(wǎng)絡釣魚技術和此類騙局的常見指標對于個人和組織的網(wǎng)絡安全至關重要。

避免密碼共享

密碼共享（即使是與可信賴的人共享）也會大大增加安全漏洞的風險。每個共享密碼都是一個潛在的漏洞。為每個賬戶保留單獨的密碼至關重要，并且不鼓勵在個人和專業(yè)環(huán)境中共享密碼的做法。對于需要共享訪問權限的情況（例如團隊賬戶或家庭使用），請考慮使用允許訪問而無需透露實際密碼的密碼管理工具。

監(jiān)控賬戶活動

定期監(jiān)控賬戶活動是檢測未經(jīng)授權訪問的主動方法。許多在線服務提供近期活動日志，例如登錄時間和位置。定期檢查這些日志以確保所有活動都是合法的。 發(fā)現(xiàn)異常，第一時間排查被侵入的可能性。

注:本文中“密碼”多為“口令”，請注意語境，與密碼技術、密碼算法之密碼做區(qū)分。