8位字符混排+大寫字母+數字并不能保證口令安全
責編:gltian |2018-09-05 13:52:34內部網絡安全審計結果幾乎不會公開到互聯網上,但如果確實公開了,讀來往往令人瞠目。
比如西澳大利亞審計長的2017年用戶賬戶安全狀態審計報告,覆蓋了17個州立機構23.4萬個活動目錄(AD)賬戶的那份。
事件本身更為深遠的寓意在于,這不僅僅是西澳大利亞州政府的問題,而是更為廣泛存在的問題。
不安全口令問題從來不過時,6萬個(26%)西澳洲AD口令極易猜解的事實毫不令人意外。
這些口令中,“Password123”被1,464個賬戶使用,“Project10”994個,“support”866個,“password1”813個,“October2017”226個,堪稱五大最流行糟糕口令。
一個尤其令人心驚的情況是,審計員能用“Summer123”遠程登錄該機構的Web系統測試環境。
我們在該環境中發現了大量生產數據。
這就已經很糟糕了,但更糟的是,分析弱口令常用模式時發現,季節和日期略有改變的弱口令出現了12,744次,其中“123”變種數量最為龐大,出現了6,827次;“password”變種5,182個;還有765個僅由數字組成。
人們很容易將這種情況歸咎于西澳洲政府沒有施行健全的口令策略,但事實上,西澳洲政府確實是有一套口令策略——現在來看是錯誤的策略。報告中指出:“很多口令都符合口令長度和復雜度的行業標準——至少8個字符。”
這就表明僅僅應用這些參數并不足以防止對網絡和系統的不當訪問。
錯誤 1:身份驗證去哪兒了?
表面上,該州管理員們沒做到的是禁止使用已知不良口令或要求用戶口令達到一定的復雜度。但真正的問題是,數千名政府雇員都可以登錄其網絡而不用正確驗證自身身份。
這一錯誤的最佳樣例,就是該州管理特權口令的方式。特權口令這種東西,任何網絡都不想落入黑客之手。
某機構在審計中被發現有250個特權口令是弱口令,而大多數機構并沒有采用身份管理系統來管理特權賬戶。有個機構甚至有2000個共享賬戶具備訪問特權。
這些賬戶基本上都有共享口令,且難以追蹤操作到個人身上,因而有著很高的未授權訪問風險。
錯誤 2:AD數據庫呢?
就在你以為該報告不會出現更糟糕的內容時,活動目錄(AD)安全問題出現了。某機構的可離線的AD數據庫被放在了支持用戶及承包商可以訪問的位置——攻擊者第一時間會查看的那類位置。另一個機構則是“無意中共享了其整個AD數據庫給某第三方,庫中包含所有用戶賬戶信息:員工姓名、用戶名和加密口令。”
所以,這不僅僅是機構存在不良口令的問題,而是整個機構安全防護糟糕的問題,口令策略及實現缺乏僅僅是反映出了這一戰略上的不足。
直到2018年底,西澳洲政府需實現徹底的安全改革,包括封禁不良口令,強制實施更好的特權賬戶口令管理,對遠程賬戶施行多因子身份驗證(MFA)。
大量的企業網絡或許并不像他們想象中的那么遠離賬戶安全問題。
至少,西澳洲政府干了件大多數企業網絡主管不會做的事兒——不僅撰寫一份供內部審閱的審計報告,還敢于公開,任人評說。
不良口令從未退出歷史舞臺,也不會從人們的習慣中消失,我們所有人都需要來自外部干預的觸動。
西澳大利亞州審計長2017年報告:Information Systems Audit Report 2018