弱口令漏洞

弱口令漏洞

漏洞介绍

弱口令也是安全漏洞的一种，是指系统登录口令的设置强度不高，容易被攻击者猜到或

破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形

式包括：系统出厂默认口令没有修改；密码设置过于简单，如口令长度不足，单一使用字母

或数字；使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口

令；设置的口令属于流行口令库中的流行口令。

防护方法

防御的主要思路是 加入人机识别或多因素认证。对频率做限制，失败多少次，锁帐号，或封 IP

    多因素认证 （影响用户体验，重要的系统可以采用）

    验证码 （主流，有时也会影响用户体验）小站用户至上可以

    频率限制（失败多少次，锁账号，或封 IP （有绕过的风险，但攻击者成本很高，也是可行的防御方法）

    安全加固及监控 或 IPS

    token 有时可以防御些重放类的暴力破解，还能有防御 CSRF 的效果。python 的爬虫库可以抓取到到token brupsuite也可以配置从响应中提取 token 有一定初级的防御效果但不做为主要。

不明确返回用户账号是否存在，或者密码错误等。用户 ID 和用户昵称最好分开。

禁常见的弱密码.设置密码定期修改策略

密码长度范围为8到26位。

密码至少包含以下4种字符中的3种：

大写字母

小写字母

数字

Windows操作系统云服务器特殊字符：包括“$”、“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“,”和“?”

Linux操作系统特云服务器特殊字符：包括“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“^”、“,”、“{”、“}”和“?”

密码不能包含用户名或用户名的逆序。

Windows操作系统的云服务器，不能包含用户名中超过两个连续字符的部分。