信息安全案例:不安全的“安全密碼”
2011年七月,處理了一起服務器入侵事件,這起事件可以說是非常普通的入侵案件,每年都會處理很多起,也沒有什么技術含量,只是這起案件帶來了一些對安全的思考。因為前幾天寫的一個案例被楊泉老師說要作為案例在
2011年七月,處理了一起服務器入侵事件,這起事件可以說是非常普通的入侵案件,每年都會處理很多起,也沒有什么技術含量,只是這起案件帶來了一些對安全的思考。因為前幾天寫的一個案例被楊泉老師說要作為案例在講課時候進行介紹,為了給以后的各位老師們提供素材,所以準備逐步把自己做這么多年安全中遇到過的案例逐步寫出了,給各位CISP老師和其他信息安全培訓講師做參考。 事件起因非常簡單:管理員發現一臺服務器被入侵,但是不知道如何被入侵的,正好此單位信息化領導是朋友,請我去幫忙看看。簡單了解了一下情況,服務器前有 防火墻,只開放了80、3389端口,服務器補丁打全了。按照老習慣懷疑可能SQL注入,但是看web日志前,習慣性的先簡單看了看服務器日志,發現服務 器安全日志中存在多個互聯網IP地址從遠程終端登錄的記錄,甚至有在夜間的。于是問了一下管理員和開發商人員,在記錄的時間段內是否進行過登錄,回答均沒 有在那個時間登錄過,初步判斷可能是密碼被猜出來,攻擊者直接從終端服務進行了遠程登錄,登錄到系統上進行了操作。
問管理員密碼情況如何,管理員說我們密碼安全性應該比較好,有字母、有特殊字符,而且12位長,問之什么密碼,答約:zaq12wsxZAQ!@WSX。 大家看起來應該比較復雜,仔細看一下你的計算機鍵盤,其實就是最左邊的一排鍵,從下按到上,兜一圈按下來,然后按著shift鍵再重按一次。自認為聰明的 管理員啊,這種密碼的設置方式,攻擊者都知道了,不再是安全的密碼了,案例非常簡單,似乎沒有什么參考價值,其實其中牽涉到了密碼設置的問題。
賬號密碼設置是信息安全中最基本的安全措施,盡管非常簡單,但是任然有大量的安全事件與密碼有關,如何設置一個好的密碼,其實是一門學問。很多安全資料。 都提到設置密碼,提到的都是多少位長度、大寫字母、小寫字母、數字都有,但上面案例中管理員設置的密碼似乎都符合以上要求,長度夠、復雜度夠。但仍然不是 安全的密碼。因為這種密碼對于純粹窮舉的暴力破解是很好的,但是對結合了社會工程學的口令破解方式,這種密碼就屬于安全性不足的密碼了。 好的密碼應該包含兩個特點:自己很好記、別人不好猜。 案例中的管理員設置的密碼符合了第一條,沒有符合第二條,所謂不好猜應該指的是不好推理出來,使用電話號碼、生日作為密碼的就明顯不符合不好推理的情況, 攻擊者可以通過收集目標信息從而推理出來,還有就是必須無規律,案例中的管理員就是使用了規律的密碼,構成密碼的字符在鍵盤上是順序排列的,也就意味著有 規律可循、可以推理出來,因此不是好密碼。
還有些管理員設置了很復雜的口令,的確無規律,不可推理,能有效的應對攻擊者的口令破解,但是大多很難記憶,不符合第一條要求。由于不好記憶,于是管理員 會將口令保存在excel表中、存放在自己的個人電腦中,或者記在筆記本里面,這也為口令的保管帶來了另外的安全威脅(這種做法的風險下次通過另外一個案 例進行介紹)。但如果僅僅把密碼記憶在腦中,又存在由于時間長而忘記口令的情況(我每年大約也處理2~3次因為口令過于復雜,忘記口令無法進入系統,最后 只能破解進入系統的情況)。
如何設置一個好的口令的例子:記憶一句話,例如,我的生日是10月28日,由此生成密碼,取拼音的第一個字母:wdsrs10y28r,再做略微變形,如在最后加個感嘆號,第一個字母大寫等,最后密碼為:Wdsrs10y28r! 密碼具有足夠的安全性,并且也不容易忘記,只要你記住這句話,甚至你將這句話記在筆記本上也比你直接記密碼好。 另外,推薦采取密碼信封的方式,在系統上設置一個非常復雜的用戶名和口令,無需記憶,將它寫在一張紙,封在信封中,保存在安全的地方,例如保險柜中,當系統發生問題時,或者緊急情況下,由相關人員授權開啟信封,獲得進入系統的權限。
總之:密碼是信息系統的安全的根本,設置一個好的密碼能解決很多安全問題,請不要輕視密碼的設置,牢記好的密碼兩個特點,自己很好記、別人不好猜,兩者缺 一不可。非常的期望今后再有人找我處理被入侵的服務器,不要再是密碼這種簡單的原因所導致的。安全,業務并不復雜,從設置好你的密碼開始。
問管理員密碼情況如何,管理員說我們密碼安全性應該比較好,有字母、有特殊字符,而且12位長,問之什么密碼,答約:zaq12wsxZAQ!@WSX。 大家看起來應該比較復雜,仔細看一下你的計算機鍵盤,其實就是最左邊的一排鍵,從下按到上,兜一圈按下來,然后按著shift鍵再重按一次。自認為聰明的 管理員啊,這種密碼的設置方式,攻擊者都知道了,不再是安全的密碼了,案例非常簡單,似乎沒有什么參考價值,其實其中牽涉到了密碼設置的問題。
賬號密碼設置是信息安全中最基本的安全措施,盡管非常簡單,但是任然有大量的安全事件與密碼有關,如何設置一個好的密碼,其實是一門學問。很多安全資料。 都提到設置密碼,提到的都是多少位長度、大寫字母、小寫字母、數字都有,但上面案例中管理員設置的密碼似乎都符合以上要求,長度夠、復雜度夠。但仍然不是 安全的密碼。因為這種密碼對于純粹窮舉的暴力破解是很好的,但是對結合了社會工程學的口令破解方式,這種密碼就屬于安全性不足的密碼了。 好的密碼應該包含兩個特點:自己很好記、別人不好猜。 案例中的管理員設置的密碼符合了第一條,沒有符合第二條,所謂不好猜應該指的是不好推理出來,使用電話號碼、生日作為密碼的就明顯不符合不好推理的情況, 攻擊者可以通過收集目標信息從而推理出來,還有就是必須無規律,案例中的管理員就是使用了規律的密碼,構成密碼的字符在鍵盤上是順序排列的,也就意味著有 規律可循、可以推理出來,因此不是好密碼。
還有些管理員設置了很復雜的口令,的確無規律,不可推理,能有效的應對攻擊者的口令破解,但是大多很難記憶,不符合第一條要求。由于不好記憶,于是管理員 會將口令保存在excel表中、存放在自己的個人電腦中,或者記在筆記本里面,這也為口令的保管帶來了另外的安全威脅(這種做法的風險下次通過另外一個案 例進行介紹)。但如果僅僅把密碼記憶在腦中,又存在由于時間長而忘記口令的情況(我每年大約也處理2~3次因為口令過于復雜,忘記口令無法進入系統,最后 只能破解進入系統的情況)。
如何設置一個好的口令的例子:記憶一句話,例如,我的生日是10月28日,由此生成密碼,取拼音的第一個字母:wdsrs10y28r,再做略微變形,如在最后加個感嘆號,第一個字母大寫等,最后密碼為:Wdsrs10y28r! 密碼具有足夠的安全性,并且也不容易忘記,只要你記住這句話,甚至你將這句話記在筆記本上也比你直接記密碼好。 另外,推薦采取密碼信封的方式,在系統上設置一個非常復雜的用戶名和口令,無需記憶,將它寫在一張紙,封在信封中,保存在安全的地方,例如保險柜中,當系統發生問題時,或者緊急情況下,由相關人員授權開啟信封,獲得進入系統的權限。
總之:密碼是信息系統的安全的根本,設置一個好的密碼能解決很多安全問題,請不要輕視密碼的設置,牢記好的密碼兩個特點,自己很好記、別人不好猜,兩者缺 一不可。非常的期望今后再有人找我處理被入侵的服務器,不要再是密碼這種簡單的原因所導致的。安全,業務并不復雜,從設置好你的密碼開始。
責任編輯:葉雨田
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
發電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡
