信息安全案例：不安全的“安全密碼”

2015-01-28 10:26:50 大云網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

2011年七月，處理了一起服務(wù)器入侵事件，這起事件可以說是非常普通的入侵案件，每年都會(huì)處理很多起，也沒有什么技術(shù)含量，只是這起案件帶來了一些對(duì)安全的思考。因?yàn)榍皫滋鞂懙囊粋€(gè)案例被楊泉老師說要作為案例在

2011年七月，處理了一起服務(wù)器入侵事件，這起事件可以說是非常普通的入侵案件，每年都會(huì)處理很多起，也沒有什么技術(shù)含量，只是這起案件帶來了一些對(duì)安全的思考。因?yàn)榍皫滋鞂懙囊粋€(gè)案例被楊泉老師說要作為案例在講課時(shí)候進(jìn)行介紹，為了給以后的各位老師們提供素材，所以準(zhǔn)備逐步把自己做這么多年安全中遇到過的案例逐步寫出了，給各位CISP老師和其他信息安全培訓(xùn)講師做參考。事件起因非常簡(jiǎn)單：管理員發(fā)現(xiàn)一臺(tái)服務(wù)器被入侵，但是不知道如何被入侵的，正好此單位信息化領(lǐng)導(dǎo)是朋友，請(qǐng)我去幫忙看看。簡(jiǎn)單了解了一下情況，服務(wù)器前有防火墻，只開放了80、3389端口，服務(wù)器補(bǔ)丁打全了。按照老習(xí)慣懷疑可能SQL注入，但是看web日志前，習(xí)慣性的先簡(jiǎn)單看了看服務(wù)器日志，發(fā)現(xiàn)服務(wù) 器安全日志中存在多個(gè)互聯(lián)網(wǎng)IP地址從遠(yuǎn)程終端登錄的記錄，甚至有在夜間的。于是問了一下管理員和開發(fā)商人員，在記錄的時(shí)間段內(nèi)是否進(jìn)行過登錄，回答均沒有在那個(gè)時(shí)間登錄過，初步判斷可能是密碼被猜出來，攻擊者直接從終端服務(wù)進(jìn)行了遠(yuǎn)程登錄，登錄到系統(tǒng)上進(jìn)行了操作。

問管理員密碼情況如何，管理員說我們密碼安全性應(yīng)該比較好，有字母、有特殊字符，而且12位長(zhǎng)，問之什么密碼，答約：zaq12wsxZAQ!@WSX。大家看起來應(yīng)該比較復(fù)雜，仔細(xì)看一下你的計(jì)算機(jī)鍵盤，其實(shí)就是最左邊的一排鍵，從下按到上，兜一圈按下來，然后按著shift鍵再重按一次。自認(rèn)為聰明的管理員啊，這種密碼的設(shè)置方式，攻擊者都知道了，不再是安全的密碼了，案例非常簡(jiǎn)單，似乎沒有什么參考價(jià)值，其實(shí)其中牽涉到了密碼設(shè)置的問題。

賬號(hào)密碼設(shè)置是信息安全中最基本的安全措施，盡管非常簡(jiǎn)單，但是任然有大量的安全事件與密碼有關(guān)，如何設(shè)置一個(gè)好的密碼，其實(shí)是一門學(xué)問。很多安全資料。都提到設(shè)置密碼，提到的都是多少位長(zhǎng)度、大寫字母、小寫字母、數(shù)字都有，但上面案例中管理員設(shè)置的密碼似乎都符合以上要求，長(zhǎng)度夠、復(fù)雜度夠。但仍然不是安全的密碼。因?yàn)檫@種密碼對(duì)于純粹窮舉的暴力破解是很好的，但是對(duì)結(jié)合了社會(huì)工程學(xué)的口令破解方式，這種密碼就屬于安全性不足的密碼了。好的密碼應(yīng)該包含兩個(gè)特點(diǎn)：自己很好記、別人不好猜。案例中的管理員設(shè)置的密碼符合了第一條，沒有符合第二條，所謂不好猜應(yīng)該指的是不好推理出來，使用電話號(hào)碼、生日作為密碼的就明顯不符合不好推理的情況，攻擊者可以通過收集目標(biāo)信息從而推理出來，還有就是必須無規(guī)律，案例中的管理員就是使用了規(guī)律的密碼，構(gòu)成密碼的字符在鍵盤上是順序排列的，也就意味著有規(guī)律可循、可以推理出來，因此不是好密碼。

還有些管理員設(shè)置了很復(fù)雜的口令，的確無規(guī)律，不可推理，能有效的應(yīng)對(duì)攻擊者的口令破解，但是大多很難記憶，不符合第一條要求。由于不好記憶，于是管理員會(huì)將口令保存在excel表中、存放在自己的個(gè)人電腦中，或者記在筆記本里面，這也為口令的保管帶來了另外的安全威脅（這種做法的風(fēng)險(xiǎn)下次通過另外一個(gè)案例進(jìn)行介紹)。但如果僅僅把密碼記憶在腦中，又存在由于時(shí)間長(zhǎng)而忘記口令的情況(我每年大約也處理2~3次因?yàn)榭诹钸^于復(fù)雜，忘記口令無法進(jìn)入系統(tǒng)，最后只能破解進(jìn)入系統(tǒng)的情況）。

如何設(shè)置一個(gè)好的口令的例子:記憶一句話，例如，我的生日是10月28日，由此生成密碼，取拼音的第一個(gè)字母：wdsrs10y28r，再做略微變形，如在最后加個(gè)感嘆號(hào)，第一個(gè)字母大寫等，最后密碼為：Wdsrs10y28r! 密碼具有足夠的安全性，并且也不容易忘記，只要你記住這句話，甚至你將這句話記在筆記本上也比你直接記密碼好。另外，推薦采取密碼信封的方式，在系統(tǒng)上設(shè)置一個(gè)非常復(fù)雜的用戶名和口令，無需記憶，將它寫在一張紙，封在信封中，保存在安全的地方，例如保險(xiǎn)柜中，當(dāng)系統(tǒng)發(fā)生問題時(shí)，或者緊急情況下，由相關(guān)人員授權(quán)開啟信封，獲得進(jìn)入系統(tǒng)的權(quán)限。

總之：密碼是信息系統(tǒng)的安全的根本，設(shè)置一個(gè)好的密碼能解決很多安全問題，請(qǐng)不要輕視密碼的設(shè)置，牢記好的密碼兩個(gè)特點(diǎn)，自己很好記、別人不好猜，兩者缺一不可。非常的期望今后再有人找我處理被入侵的服務(wù)器，不要再是密碼這種簡(jiǎn)單的原因所導(dǎo)致的。安全，業(yè)務(wù)并不復(fù)雜，從設(shè)置好你的密碼開始。

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊