弱密碼的防禦與檢測

最新 05-09

弱密碼一直是廣大安全人員的痛。web管理頁面、公網服務連接密碼（如郵件、sql等）、內網終端、伺服器登錄等都是弱密碼的重災區。一旦被人利用成功，損失巨大。

不過弱密碼其實是一個雙面辭彙

入侵角度：黑客利用弱密碼去爆破系統，實現登錄終端或管理系統等

防禦角度：安全人員防止用戶設置弱密碼，阻止黑客利用弱密碼獲取系統許可權

但回想下弱密碼防禦思路，明顯會發現防禦和入侵的不對等性。

防禦角度，傳統意義的弱密碼是指密碼單一或過於短，例如：123456，admin,123456789，這些容易被爆破，或容易被猜測到的密碼。且可以用簡單的策略屏蔽此類弱密碼。

但黑客實際爆破的時候用這個密碼庫成功率很低，一般還需要結合泄漏的各種「褲子」，其實也就是用戶用過歷史密碼，此外為進一步提高破解率。還需要收集對方的社工信息，如

企業信息：

企業英文名、企業中文名拼音、企業域名、簡寫/縮寫、企業的各種品牌名、註冊日期、註冊地等等

個人信息：見下圖

所以廣義看弱密碼庫=黑客密碼庫=（簡單密碼+歷史密碼+社工密碼）

站在防禦的角度，我們的思路必須和黑客對其（盡量對其）才能形成有效的防禦措施，和黑客統一維度才能避免降維打擊，所以但防禦角度應該關注的弱密碼庫就是：

簡單密碼+歷史密碼+社工密碼。

有了這個共識，接下來我們聊聊企業安全的弱密碼安全實踐。其實就是以此為基礎阻止用戶設置弱密碼並發現黑客的弱密碼爆破行為。

根絕我們的分析，我們已經知道了防禦弱密碼庫的構建思路，防禦弱密碼庫= 1、簡單密碼 + 2、歷史密碼 +3、社工密碼，下面看下具體怎麼構建。

1、簡單密碼，這個可以參考圖2微軟的建議，反向構造即可，畢竟微軟有時還是比較靠譜的。此外還要加一些常規套路，如admin、qwerty、asdfg之類的。

2、歷史密碼，其實就是個人的習慣罷了，這個這裡有一些網上可以下到的褲子，如下，雖然都是老褲子，但有一定參考價值。

3、社工密碼，這個對於企業來說非常簡單，畢竟入職的時候hr要求填寫那麼多信息，可以參考圖3進行構建。但有一點需要注意，這個構建是by人的，即A的個人信息構建出A的弱密碼，而不是B的。信息間沒必要重疊，否則會增加密碼庫大小，且意義不大。

做了以上3點，我們就已經具備了一個強大的弱密碼庫，少則幾百萬，多則幾個億。接下來就是看怎麼用這份寶貴的數據了。

一般來說，企業檢測弱密碼的方法和黑客入侵沒有本質區別，都是嘗試不同密碼，直至成功。但這裡有幾個問題：

1、賬號密碼的驗證次數是有限制的，我們的弱密碼庫有幾個億，那根本無法在有生之年驗證完所有密碼

2、多數系統都有鎖定機制，當驗證次數過去會鎖定賬號，影響用戶，這也是安全的領導無法接受的

所以我們要換個思路。我們不做爆破，我們做對比！這樣就可以解決如上問題了。

密碼都是存儲在驗證伺服器的，無論是混淆還是加密，我們只需拿我們的弱密碼庫和密碼存儲文件對其即可。不過密碼一般都不是明文存儲的，MD5加鹽之類的是比較常規的存儲方法。想解決這個問題，我們就要利用我們防禦者的優勢了，畢竟密碼加密演算法我們知道嘛，我們只需要將弱密碼庫按照同樣方法轉換，然後拿轉換後的弱密碼庫進行對比即可。發現存儲密碼的文件存在同樣的字元，則可確定對應用戶設置了弱密碼。高效的檢測了全量的弱密碼，而且如果用戶設置了非弱密碼庫的密碼我們也無法獲知用戶的明文密碼（前提是單向加密），捎帶解決了隱私問題。

無論我們怎麼檢測，都無法阻止黑客進行弱密碼爆破行為。傳統的方案是給用戶驗證次數設定閾值，超過閾值則報警。但用戶也會輸錯密碼，且很多系統很殘，經常將同一個錯誤密碼驗證多次，如AD系統，這就產生很多誤報。為更精準的發現爆破行為，我們還是要繼續利用我們防禦者的優勢，我們檢測用戶發起的密碼是否在我們的弱密碼庫，如在弱密碼庫中的密碼>N，則可認定存在爆破行為。這樣可以精準發現爆破行為又可以規避系bug。

除了單一賬戶&多個弱密碼的爆破方式，還有單一弱密碼&多個賬戶的爆破形式，這種情況一般都是黑客認定一定存在一個這樣的密碼（黑客其他方式獲得或就是固執的認為有），這裡會出現兩種情況：

1、單一密碼在弱密碼錶中，這個我們需要在我們原有的模型上加上賬戶數據，將賬戶數*弱密碼在弱密碼錶的次數=閾值>M即可

2、單一密碼不在弱密碼錶中，這個就需要獨立分析了，統計使用同一密碼的使用賬戶數>M即可

綜上，我們說了弱密碼庫的思路，也討論了防禦角度弱密碼庫的構建、弱密碼的檢測、弱密碼攻擊的發現。雖然說了很多，但其實講的都比較概括，具體落地過程中必定會遇到各種問題，如windows的NTLM hash的密碼存儲方式等。

有興趣的同學，歡迎私信一起探討。

*本文原創作者：ChuanFile，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！