弱口令是对易被猜测或破解的计算机信息系统口令(密码)的统称,这样的口令往往由简单字符组合而成,自身复杂度、长度不足。弱口令的长期使用,存在被别有用心之人非法或违规利用的突出风险,被用于窥探甚至窃取计算机信息系统内的重要、敏感数据或获取系统管理权限,对计算机信息系统的正常运行实施破坏。弱口令问题的长期存在,成为大量境内外网络安全案事件的重要导火索之一,对此类问题的排查整改工作刻不容缓。国家网络与信息安全信息通报中心梳理总结了5类工作中发现的常见、风险突出的弱口令类型,提示广大网络用户尽快全面清除弱口令,构建并使用强口令,提升系统和数据的安全防护水平。
01
类型一:简单数字组合
02
类型二:顺序字符组合
03
类型三:键位临近字符组合
04
类型四:网络设备、应用系统等默认口令
示例:root、password、pass、admin、admin@XXX、calvin、bane@7766、talent、shell、system、private、netscreen、cisco、administor、admin_default、ruijie、sangfor、sangfor@2018、dlanrecover、venus60、leadsec.waf、administrator、h3c、firewall、ftppwd、venus.fw、weboper、safetybase、空字符等。
05
类型五:特殊含义组合
安全防护提示
弱口令问题既是管理问题,也是技术问题。一方面,加强对广大师生进行弱口令问题相关培训;另一方面,通过系统功能的设计,可强制用户使用强口令、定期更换口令,避免口令被轻易猜测破解。广大网络用户可通过以下方式防范弱口令问题风险:
1、设定密码长度不得少于10位,必须包含大小写字母、数字和特殊字符,最好包含汉字,且不能与最近使用的密码相同。
2、每隔一段时间更换一次密码,避免长时间不更改密码。
3、避免将密码设置为常见词汇、用户名、生日等易于猜测的内容。
4、不同的系统和应用设置不同的密码,避免所有系统和应用使用相同密码。
5、设置多因素认证措施,启用验证码、限制IP登录频次等防御暴力破解机制。
6、设置尝试登录失败的次数限制,超过限制后暂时锁定账户或延长下次尝试的时间。
7、定期审计账户的密码使用情况,及时发现并强制纠正可能涉及弱口令的行为。监控异常登录活动,如异地登录、非常规时间登录等,发出可疑行为、异常行为告警并及时响应等。
8、做好密码管理工作,在记不起来时候能够及时查到。
网络安全无小事,密码防线需筑牢。弱口令问题的整改不仅是技术升级,更是一场全民安全意识觉醒的行动。通过规范密码管理、强化技术防御、培养安全习惯,我们方能有效抵御黑客攻击,守护数据与系统的安全。希望各网络用户立即行动,参照上述建议构建强口令体系,并持续关注密码安全动态,共同织密网络空间的防护网。唯有防患于未然,才能在数字时代的风险浪潮中立于不败之地。
来源 | 国家网络安全通报中心 返回搜狐,查看更多