賬號密碼作爲信息安全的第一道屏障,驗證碼、密碼加密等防禦機制已成爲大多數系統的標配,但仍有一些公司對此不夠重視。輕者會導致非法登錄,嚴重者可提權至管理員權限,甚至直接滲透內網,登錄內網服務器。舉例說明:
1、某公司的VPN系統,登錄時無終端合法性驗證、無加密、無驗證碼,話不多述,直接爆破;(截圖居然沒法上傳)
2、用戶名:中文姓名top500+常見若密碼,掃描不久,便得到可登錄賬號;
3、利用賬號密碼,成功登錄VPN,獲取內網IP,進入內網後無任何權限控制,可在登錄內網OA、郵箱、服務器
此漏洞雖由弱密碼產生,但登陸後直接滲透至內網,可登陸辦公OA、郵箱等系統,查看並導出辦公文檔、上萬條人員通訊錄等各類敏感信息。可在通過爆破獲取內網服務器的登陸權限,在此不再深入。
乾貨在這:
賬號密碼配置安全要求
一、 密碼複雜度要求
1) 密碼由8-15個字符組成,區分大小寫;
2) 密碼必須包含(A-Z)、(a-z)、(0-9)、(特殊字符)三種組合;
3) 密碼不包含姓名及賬號名(不區分大小寫);
4) 密碼不包含4個重複的數字或字母;
5) 密碼不包含4個連續的數字;
6) 不可以使用之前5次舊密碼
7) 禁用弱密碼組合:
n 規律字符組合:abcdef,abcabc,ABCdef,Vipshop123等
n 禁用鄰近鍵盤字符組合:qwertyui、ZAQ!xsw2、3EDC4rfv、6yhn7UJM等
n 禁用公司關聯字符組合
n 禁用賬戶姓、名字符組合:liwei@2017,liu1!@# 等
n 禁用特殊含義字符組合:password,passw0rd,p@ssw0rd,admin1234,等
二、 初始密碼要求
1) 通過隨機數工具生產、不同賬號使用不同初始密碼;
2) 配置弱密碼黑名單,用戶重置密碼、修改密碼時檢查黑名單列表;
三、 雙因數認證
1) 雙因數方式:短信驗證、郵箱驗證碼、令牌、證書等
2) 增加驗證碼策略
3) 重要系統必須設置訪問控制,驗證終端合法性
4) 密碼傳輸必須加密