当我们谈论弱密码时,我们在谈论什么?

举报
charles 发表于 2017/12/29 14:57:13 2017/12/29
【摘要】 (时间:2017.12.14) 如果密码会说话,它肯定会说自己鸭梨山大。 密码:快被玩坏了 最近几年,国内就发生了多起令人震惊的安全事件。一面,我们不遗余力地用密码保护属于自己的领域,不让外人随意进入;另一面,在利益的驱动下,密码成为黑客绝不会放过的猎物:得到密码,往往也意味着得到了控制权和利益。密码,注定成为黑客和白帽子的必争之地。 当我们设置弱密码的


(时间:2017.12.14)

如果密码会说话,它肯定会说自己鸭梨山大。

密码:快被玩坏了

最近几年,国内就发生了多起令人震惊的安全事件。一面,我们不遗余力地用密码保护属于自己的领域,不让外人随意进入;另一面,在利益的驱动下,密码成为黑客绝不会放过的猎物:得到密码,往往也意味着得到了控制权和利益。密码,注定成为黑客和白帽子的必争之地。

当我们设置弱密码的时,我们在设置什么

互联网江湖虽然险恶,但我们并非只能坐等黑客上门。常在江湖漂,可以不挨刀,当然,前提是你得练好内功:提高自身的安全意识。

下面就以华为云帮助用户处理的各类弱密码事件为材料,来分析云上用户在设置弱密码时是在设置什么,避免重蹈弱密码的坑。每次扫描出的密码,云安全部都会通知对应的用户进行修改。

坑一:密码中包含常用词汇

有不少用户在设置密码时使用了时间年份、123456、123!、公司名称、admin、root等常用词汇,这些词汇要嘛是常用和简单到不知道怎么描述,要嘛是所在部门的简称。这其中使用最多的词汇是公司名,在545个弱密码中包含公司名的占了236个,看来用户们对工作真是爱得深沉啊。

坑二:使用具有键盘特征的词汇

所谓具有键盘特征,就是看着像手滑产生的词汇,比如1qaz、wsx、qwe这类,小手在键盘上45°或直线一扫就能产生。虽然看着是很“随机”,看着也不“弱”,但要知道,这类密码因为具有的特征太明显,一点也不比123、456之类的词汇更安全。

坑三:账号密码相同

这类弱密码很容易攻破,因为只要猜对账号密码中的任何一个,就获得了账号权限,相当于减轻了攻击者一半的猜解难度,如账号test,密码也是test;oracle oracle;nagios nagios;zabbix zabbix等等。

坑四:使用被黑客破解过的密码

被黑客破解过的密码实在是多不可数,很难有一个明确的界定,之所以把这类密码专门列一项,是因为这类密码是最容易被忽视的,因为它看起来根本一点都不“弱”,为什么安全用户还是把它列为弱密码?

比如有用户问,我的密码是“公司名@xxx”、“1qazxxx.”,明明要数字有数字,要字母有字母,要特殊符号有特殊符号,怎么看都是个“强”密码,符合安全原则,为什么还要我修改?

这类密码,从强度来说,是符合一般的密码要求的。但问题在于,这类密码被黑客破解过,形成了所谓的“破解库”。用这个库来猜解密码,就有较大的概率破解出来。就好比,小明收集了很多把钥匙,这些钥匙有一把曾经打开过小红的保险柜,韩梅梅使用的钥匙和小红的是一样的,请问小明打开韩梅梅的保险柜的概率大不大?当然大。

华为云安全作为华为云的安全部门,每月都检测到数以万计地针对华为云的扫描。在关注业界安全动态的过程中,如果收集到新的黑客破解的密码库,云安全扫描出云上用户使用的密码是否在库中,如扫出,无论这个密码看着是强还是弱,都应视作弱密码,因为它已经具有了潜在的安全隐患。此时云安全会通知用户进行密码修改。

拿什么拯救你,我的密码

如何保障云主机的账号密码安全?用华为云提供的“密钥对”方式登录,是个既好,又快的方法,这种登录方式,在亚马逊的AWS、微软的Azure上都是默认启用的。

1. 原理

一个密钥对,分为公钥和私钥。“密钥对登录”,就是在主机创建时或创建后,将密钥对的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求输入密码。

2. 优势

1)   安全,密码不通过网络传输,密钥对使用的加密算法安全性极高,可防止主机被暴力破解

2)   方便,一次配置可以免去每次登录输密码的繁琐。

3. 操作指导

这里通过Xshell工具来进行演示密钥登录主机。(注:Xshell工具比较方便,可百度搜索下载。)

1)   创建密钥对:进入云服务器控制台的密钥对界面,创建一条密钥KeyPair-73b1,同时系统自动给你推送私钥(私钥需要保存好,不能丢失,否则主机就无法登录)。

2)   创建云弹性主机,设置密钥对登录。


3)
   将生成的私钥,导入Xshell中



4)   检测创建好的弹性云主机的配置,如弹性IP地址、密钥对和安全组设置等。

l  )检查云主机的EIP地址和密钥对。

2)检查云主机的安全组,这里采用了默认安全组,实际使用时,应该将安全组的权限控制最小化。

5)   通过xShell采用密钥登录主机

1)创建登录链接配置,输入云主机弹性IP地址,保存。

2)创建链接登录后,选择并登录,在弹出框中输入root账号

3) 配置密钥,并还可以在Xshell中加入密码设置,防止你电脑上Xshell中的这个登录链接被人利用,并勾上记住密码,这里密码可为空。

 4)点击确定后,即可登录云主机。

总之

云主机被暴力破解是主机安全的头号敌人,通过秘钥对登录可以大大提高主机安全,防止被黑客利用。这里只讲了新建云主机通过密钥登录的场景,新建ECS的用户都可以借鉴采用。至于已经创建的云主机,用户也可以通过第3方工具创建密钥,再讲密钥上传主机并进行配置好,再通过Xshell等工具进行登录,原理一样,具体可以百度。下次再深度为大家讲解,敬请期待。

密码如此重要,怎么重视都不过分。希望大家对待工作密码比如邮箱密码、系统密码,也能像对待支付宝密码一样:想想如果这个密码作为你的支付宝密码,它够安全吗?如果不够,该怎么做?

 

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。