企业安全最佳实践之 内部系统弱口令整治

提到弱口令,先想到的是123456这样的密码,大家觉得这个不可思议吧,但是实际上真实存在,在我来到公司的时候,第一次安全众测,发现数百个这样的弱密码。

本节我们来探讨企业安全中常发生的内部系统弱口令问题,以及如何整治。

1.弱口令会在什么地方发生

邮箱/OA,这是最易发生弱口令的地方

SSL VPN,这是进入公司内部网络的重要入口

运营类系统,这类系统在我们公司非常多

工程效率相关的平台,比如Redmine / Zabbix

企业使用的外部系统,如各应用市场/iOS开发者中心/微信开发平台/企业微博/域名服务/招聘网站/云服务系统等

2.弱口令的危害

如果这些系统都在内网,那么即使存在弱口令,危害相对较低,但我们公司由于业务的属性,上述的系统大多对外开放,使用对象主要是内部员工。

这边主要讲下邮箱和运营系统:

邮箱一旦有弱口令被攻破,里面的信息非常丰富:

如果你是财务人员,那有各种财务报表

如果你是HR,那就有员工的薪资资料,比如offer

如果你是运维人员,那你们公司服务器帐号密码就有了

所以邮箱是重要的入口,一旦被攻破,还能发生二次安全泄漏,比如一般人邮件都不删除的,会保留公司使用的外部系统的帐号密码,这样就又进入了其他系统。

还有运营系统,里面一般有大量的公司用户资料/项目资料,一旦泄漏出去,危害巨大,所以也是重点关注对象。

3.哪些弱口令会被攻破

从攻防角度来看,我们来看看哪些弱口令会被攻破,首先由于是内部系统,所以用户名很容易被枚举(如Top500中国姓名),主要的弱密码会有以下几种:

常见的若密码,如123456,123123,888888

公司相关的,比如abc123456

用户名相关的:比如zhangsan@2015

4.弱口令整治之治标

首先要能检测到,我们的做法是把AD中帐号拉出来,写密码字典爆破,刚开始就爆破比如123456常见密码,后来就爆破公司相关/姓名相关。

接下来就是推动整改,一种做法是发邮件通知,必须于一定时间修改完,或者给管理员直接重置密码,并发消息告知本人。

5.若口令整治之治本

以上只能治标,要想治本,需要解决两个问题:

统一登录入口,实现安全认证

统一密码重置入口和密码强度策略

基于以上,开发了统一认证平台,实现统一认证和登录,支持帐号密码+验证码、持钉钉认证或微信登录,即保障安全性,也提升了用户登录的便利(当然这个系统自身安全性要求很高,需要做好控制),如下:

这里要说明下,如果使用帐号密码登录,使用短信作为第二认证因子,以防爆破。

此外还将密码重置入口统一收归到这个平台,我们采用以下密码安全策略:

内部系统弱口令的整改是个漫长的过程,涉及老系统接入改造,前前后后经历了一年半时间才将这个问题彻底解决。

6.小结

弱口令在很多企业是普遍存在的,如果这个问题不解决,很多安全措施其实是无力的,比如你做了防SQL注入,人家直接就登录你系统了,后果很严重。

对于弱口令,思路是检测--->治标(修改或重置密码)--->建立机制(如统一认证平台)

欢迎大家关注“企业安全最佳实践”

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,294评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,493评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,790评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,595评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,718评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,906评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,053评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,797评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,250评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,570评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,711评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,388评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,018评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,796评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,023评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,461评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,595评论 2 350

推荐阅读更多精彩内容