账号密码作为信息安全的第一道屏障,验证码、密码加密等防御机制已成为大多数系统的标配,但仍有一些公司对此不够重视。轻者会导致非法登录,严重者可提权至管理员权限,甚至直接渗透内网,登录内网服务器。举例说明:
1、某公司的VPN系统,登录时无终端合法性验证、无加密、无验证码,话不多述,直接爆破;(截图居然没法上传)
2、用户名:中文姓名top500+常见若密码,扫描不久,便得到可登录账号;
3、利用账号密码,成功登录VPN,获取内网IP,进入内网后无任何权限控制,可在登录内网OA、邮箱、服务器
此漏洞虽由弱密码产生,但登陆后直接渗透至内网,可登陆办公OA、邮箱等系统,查看并导出办公文档、上万条人员通讯录等各类敏感信息。可在通过爆破获取内网服务器的登陆权限,在此不再深入。
干货在这:
账号密码配置安全要求
一、 密码复杂度要求
1) 密码由8-15个字符组成,区分大小写;
2) 密码必须包含(A-Z)、(a-z)、(0-9)、(特殊字符)三种组合;
3) 密码不包含姓名及账号名(不区分大小写);
4) 密码不包含4个重复的数字或字母;
5) 密码不包含4个连续的数字;
6) 不可以使用之前5次旧密码
7) 禁用弱密码组合:
n 规律字符组合:abcdef,abcabc,ABCdef,Vipshop123等
n 禁用邻近键盘字符组合:qwertyui、ZAQ!xsw2、3EDC4rfv、6yhn7UJM等
n 禁用公司关联字符组合
n 禁用账户姓、名字符组合:liwei@2017,liu1!@# 等
n 禁用特殊含义字符组合:password,passw0rd,p@ssw0rd,admin1234,等
二、 初始密码要求
1) 通过随机数工具生产、不同账号使用不同初始密码;
2) 配置弱密码黑名单,用户重置密码、修改密码时检查黑名单列表;
三、 双因数认证
1) 双因数方式:短信验证、邮箱验证码、令牌、证书等
2) 增加验证码策略
3) 重要系统必须设置访问控制,验证终端合法性
4) 密码传输必须加密