当我们谈论弱密码时,我们在谈论什么?
(时间:2017.12.14)
如果密码会说话,它肯定会说自己鸭梨山大。
密码:快被玩坏了
最近几年,国内就发生了多起令人震惊的安全事件。一面,我们不遗余力地用密码保护属于自己的领域,不让外人随意进入;另一面,在利益的驱动下,密码成为黑客绝不会放过的猎物:得到密码,往往也意味着得到了控制权和利益。密码,注定成为黑客和白帽子的必争之地。
当我们设置弱密码的时,我们在设置什么
互联网江湖虽然险恶,但我们并非只能坐等黑客上门。常在江湖漂,可以不挨刀,当然,前提是你得练好内功:提高自身的安全意识。
下面就以华为云帮助用户处理的各类弱密码事件为材料,来分析云上用户在设置弱密码时是在设置什么,避免重蹈弱密码的坑。每次扫描出的密码,云安全部都会通知对应的用户进行修改。
坑一:密码中包含常用词汇
有不少用户在设置密码时使用了时间年份、123456、123!、公司名称、admin、root等常用词汇,这些词汇要嘛是常用和简单到不知道怎么描述,要嘛是所在部门的简称。这其中使用最多的词汇是公司名,在545个弱密码中包含公司名的占了236个,看来用户们对工作真是爱得深沉啊。
坑二:使用具有键盘特征的词汇
所谓具有键盘特征,就是看着像手滑产生的词汇,比如1qaz、wsx、qwe这类,小手在键盘上45°或直线一扫就能产生。虽然看着是很“随机”,看着也不“弱”,但要知道,这类密码因为具有的特征太明显,一点也不比123、456之类的词汇更安全。
坑三:账号密码相同
这类弱密码很容易攻破,因为只要猜对账号密码中的任何一个,就获得了账号权限,相当于减轻了攻击者一半的猜解难度,如账号test,密码也是test;oracle oracle;nagios nagios;zabbix zabbix等等。
坑四:使用被黑客破解过的密码
被黑客破解过的密码实在是多不可数,很难有一个明确的界定,之所以把这类密码专门列一项,是因为这类密码是最容易被忽视的,因为它看起来根本一点都不“弱”,为什么安全用户还是把它列为弱密码?
比如有用户问,我的密码是“公司名@xxx”、“1qazxxx.”,明明要数字有数字,要字母有字母,要特殊符号有特殊符号,怎么看都是个“强”密码,符合安全原则,为什么还要我修改?
这类密码,从强度来说,是符合一般的密码要求的。但问题在于,这类密码被黑客破解过,形成了所谓的“破解库”。用这个库来猜解密码,就有较大的概率破解出来。就好比,小明收集了很多把钥匙,这些钥匙有一把曾经打开过小红的保险柜,韩梅梅使用的钥匙和小红的是一样的,请问小明打开韩梅梅的保险柜的概率大不大?当然大。
华为云安全作为华为云的安全部门,每月都检测到数以万计地针对华为云的扫描。在关注业界安全动态的过程中,如果收集到新的黑客破解的密码库,云安全扫描出云上用户使用的密码是否在库中,如扫出,无论这个密码看着是强还是弱,都应视作弱密码,因为它已经具有了潜在的安全隐患。此时云安全会通知用户进行密码修改。
拿什么拯救你,我的密码
如何保障云主机的账号密码安全?用华为云提供的“密钥对”方式登录,是个既好,又快的方法,这种登录方式,在亚马逊的AWS、微软的Azure上都是默认启用的。
1. 原理
一个密钥对,分为公钥和私钥。“密钥对登录”,就是在主机创建时或创建后,将密钥对的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求输入密码。
2. 优势
1) 安全,密码不通过网络传输,密钥对使用的加密算法安全性极高,可防止主机被暴力破解。
2) 方便,一次配置可以免去每次登录输密码的繁琐。
3. 操作指导
这里通过Xshell工具来进行演示密钥登录主机。(注:Xshell工具比较方便,可百度搜索下载。)
1) 创建密钥对:进入云服务器控制台的密钥对界面,创建一条密钥KeyPair-73b1,同时系统自动给你推送私钥(私钥需要保存好,不能丢失,否则主机就无法登录)。
2) 创建云弹性主机,设置密钥对登录。
3) 将生成的私钥,导入Xshell中
4) 检测创建好的弹性云主机的配置,如弹性IP地址、密钥对和安全组设置等。
l )检查云主机的EIP地址和密钥对。
2)检查云主机的安全组,这里采用了默认安全组,实际使用时,应该将安全组的权限控制最小化。
5) 通过xShell采用密钥登录主机
1)创建登录链接配置,输入云主机弹性IP地址,保存。
2)创建链接登录后,选择并登录,在弹出框中输入root账号
3) 配置密钥,并还可以在Xshell中加入密码设置,防止你电脑上Xshell中的这个登录链接被人利用,并勾上记住密码,这里密码可为空。
4)点击确定后,即可登录云主机。
总之
云主机被暴力破解是主机安全的头号敌人,通过秘钥对登录可以大大提高主机安全,防止被黑客利用。这里只讲了新建云主机通过密钥登录的场景,新建ECS的用户都可以借鉴采用。至于已经创建的云主机,用户也可以通过第3方工具创建密钥,再讲密钥上传主机并进行配置好,再通过Xshell等工具进行登录,原理一样,具体可以百度。下次再深度为大家讲解,敬请期待。
密码如此重要,怎么重视都不过分。希望大家对待工作密码比如邮箱密码、系统密码,也能像对待支付宝密码一样:想想如果这个密码作为你的支付宝密码,它够安全吗?如果不够,该怎么做?
- 点赞
- 收藏
- 关注作者
评论(0)