0X01 簡介
通常容易被別人猜測的口令或者使用工具能進行猜解出來的都可以算是弱口令。
0X02 復雜口令
一般復雜口令為特殊字符、大小寫字母和數字長度為8位數以上無邏輯的口令。滿足其中一條、兩條甚至三條的都有可能被認為是弱口令,攻擊者很可能會進行破解出來。
如:Abn!@% 為復雜口令
0X03 常見弱口令
1、弱口令相關信息
用戶個人信息相關:姓名、昵稱、ID、QQ、微信號
生日:男/女友生日,特殊紀念日、
手機號:自己手機號、妻子手機號、微信注冊手機號
父母親人相關信息
公司相關信息:域名、郵箱、公司電話、部門等
鍵盤分布:SHIFT+鍵盤
日期:特殊節日、紀念日、年份
組合:數字組合、字母組合、好記的特殊字符組合
2、實例
純數字、字母:12344243、qwerdfsd
大小寫:ASFDSSs、AS1234343
字符長度不夠:Asd3、fsdf34
姓名加字母組合:caolong123
邏輯組合:12345、qwerty
鍵盤第一前排數字:qwertyuiop、123456
0X04 弱口令分類
根據不同類型的服務、設備、系統需要使用針對性的弱口令密碼進行猜解。
系統服務:telnet、ftp、snmp
中間件: tomcat weblogic
設備:路由器、交換機、監控器、攝像頭、交換機
社工型弱口令:郵箱、銀行卡、手機等。
數據庫:mysql
弱口令用戶
弱口令密碼
0X05 弱口令字典收集
1、CSDN、百度、社區、論壇
https://so.csdn.net/so/search/s.do?q=%E5%BC%B1%E5%8F%A3%E4%BB%A4&t=doc&o=&s=all&l=&f=&viparticle=
2、通過日常發現弱口令自動添加積累。
3、字典生成器
白鹿社工字典生成器
https://github.com/HongLuDianXue/BaiLu-SED-Tool
Hydra(九頭蛇)
https://github.com/vanhauser-thc/thc-hydra
https://github.com/maaaaz/thc-hydra-windows/releases 帶windows版本
帶windows版本
超級弱口令檢查工具
https://github.com/shack2/SNETCracker
字典生成器查找
生活在數字化時代,網絡已成為日常工作學習生活中不可或缺的重要部分,我們在不同的網站注冊賬號、設置密碼,搭建虛擬世界中的私人空間。但如果密碼過于簡單,如連續數字、電話號碼、姓名生日等組合形成的“弱口令”,不僅極易被猜中或破解,還有可能遭到境外黑客攻擊,成為網絡安全防護中最薄弱的突破口。弱口令的風險不止是造成個人隱私的泄露,更有甚者,會給一些重點涉密部門帶來泄密風險。
現身境外論壇的內部數據
國家安全機關工作發現,在某境外論壇上出現我國某企業的內部數據,數據內容包含該企業多個合作客戶姓名、身份證號、家庭住址以及手機號碼等個人隱私信息,如落入不法分子手中將造成嚴重安全隱患。經核查,該數據之所以被竊取,是因為企業網絡管理員在開展運維測試后,未及時刪除測試賬號,而該賬號恰好具備管理員權限且口令極易猜解,為“admin+連續數字”,成為該企業信息安全維護的一大漏洞,一些客戶的數據由此泄露。
頻頻異地登錄的電子郵箱
某單位在其官方網站公布對外電子郵箱賬號用于聯絡收信,為方便查閱歷史郵件,該單位工作人員將所有郵件及附件長期存儲于郵箱云空間,未定期進行清理。近期頻繁出現異地登錄告警,該單位隨即向當地國家安全機關反映異常情況。
國家安全機關核查發現,該郵箱為單位公用郵箱,為方便工作人員使用,登錄密碼為單位對外辦公的固話號碼且長期未修改,導致郵箱密碼被境外黑客猜解,進而郵件數據被竊取。
自動切換視角的監控攝像
某跨境物流公司位于我沿海港口,園區內裝有大量攝像頭用于監控物流運轉情況。該公司員工小李發現,在午休及夜間,攝像頭時常自動旋轉,尋找并聚焦至停靠、出港的有關船只。小李立即向公司領導匯報,公司同時將此情況向當地國家安全機關報告。
國家安全機關上門查驗發現,該公司監控系統的管理員賬號密碼為出廠默認的弱口令密碼,數月前境外黑客開展密碼“撞庫”攻擊,成功登錄監控系統,獲取了監控系統操控攝像頭權限。境外黑客通過高清攝像頭監控目標海域情況,給我國家安全帶來風險隱患。
國家安全機關提示
數字化時代,有關單位和個人應提高信息安全意識,履行網絡安全義務,增強網絡防護,避免使用弱口令,防止數據被竊取、泄露,影響國家安全。
——使用復雜密碼。設置密碼長度至少為8位,宜同時包含大小寫字母、數字、特殊字符,提高密碼的復雜度,不使用設備或賬戶初始密碼及常見的弱口令密碼。
——定期更改密碼。設置復雜密碼后,并非一勞永逸,隨著時間的推移,密碼仍存在被破譯的可能性。重要網絡信息系統應定期(至少3個月內)進行密碼更改,同時要避免數套密碼輪換修改。
——避免密碼串用。在不同平臺及系統避免使用相同的密碼,防止一個密碼泄露后其他系統被“撞庫”攻擊連帶攻破,導致泄密面進一步擴大。
——定期檢查賬戶狀態。計算機系統及網絡賬戶通常具備安全審計功能,可查詢歷史異常記錄,定期檢查日志,及時發現賬戶異常行為,防止因密碼泄露導致內部數據、信息被持續竊取。
——加強技術防范措施。反間諜安全防范重點單位應當按照反間諜技術防范的要求和標準,采取相應的技術措施和其他必要措施,加強對要害部門部位、網絡設施、信息系統的反間諜技術防范。在信息系統維護過程中若發現可疑的網絡間諜線索,請及時通過12339國家安全機關舉報受理電話、網絡舉報平臺(www.12339.gov.cn)、國家安全部微信公眾號舉報受理渠道或直接向當地國家安全機關進行舉報。
(國家安全部)