弱口令漏洞
漏洞介绍
弱口令也是安全漏洞的一种,是指系统登录口令的设置强度不高,容易被攻击者猜到或
破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形
式包括:系统出厂默认口令没有修改;密码设置过于简单,如口令长度不足,单一使用字母
或数字;使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口
令;设置的口令属于流行口令库中的流行口令。
防护方法
防御的主要思路是 加入人机识别或多因素认证。对频率做限制,失败多少次,锁帐号,或封 IP
多因素认证 (影响用户体验,重要的系统可以采用)
验证码 (主流,有时也会影响用户体验)小站用户至上可以
频率限制(失败多少次,锁账号,或封 IP (有绕过的风险,但攻击者成本很高,也是可行的防御方法)
安全加固及监控 或 IPS
token 有时可以防御些重放类的暴力破解,还能有防御 CSRF 的效果。python 的爬虫库可以抓取到到token brupsuite也可以配置从响应中提取 token 有一定初级的防御效果但不做为主要。
不明确返回用户账号是否存在,或者密码错误等。用户 ID 和用户昵称最好分开。
禁常见的弱密码.设置密码定期修改策略
密码长度范围为8到26位。
密码至少包含以下4种字符中的3种:
大写字母
小写字母
数字
Windows操作系统云服务器特殊字符:包括“$”、“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“,”和“?”
Linux操作系统特云服务器特殊字符:包括“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“^”、“,”、“{”、“}”和“?”
密码不能包含用户名或用户名的逆序。
Windows操作系统的云服务器,不能包含用户名中超过两个连续字符的部分。