弱密码的危害及账号密码配置要求

       账号密码作为信息安全的第一道屏障，验证码、密码加密等防御机制已成为大多数系统的标配，但仍有一些公司对此不够重视。轻者会导致非法登录，严重者可提权至管理员权限，甚至直接渗透内网，登录内网服务器。举例说明：

1、某公司的VPN系统，登录时无终端合法性验证、无加密、无验证码，话不多述，直接爆破；（截图居然没法上传）

2、用户名：中文姓名top500+常见若密码，扫描不久，便得到可登录账号；

3、利用账号密码，成功登录VPN，获取内网IP，进入内网后无任何权限控制，可在登录内网OA、邮箱、服务器

此漏洞虽由弱密码产生，但登陆后直接渗透至内网，可登陆办公OA、邮箱等系统，查看并导出办公文档、上万条人员通讯录等各类敏感信息。可在通过爆破获取内网服务器的登陆权限，在此不再深入。

干货在这：

账号密码配置安全要求

一、            密码复杂度要求

1)        密码由8-15个字符组成，区分大小写；

2)        密码必须包含(A-Z)、(a-z)、(0-9)、(特殊字符)三种组合；

3)        密码不包含姓名及账号名（不区分大小写）；

4)        密码不包含4个重复的数字或字母；

5)        密码不包含4个连续的数字；

6)        不可以使用之前5次旧密码

7)        禁用弱密码组合：

n  规律字符组合：abcdef，abcabc，ABCdef，Vipshop123等

n  禁用邻近键盘字符组合：qwertyui、ZAQ!xsw2、3EDC4rfv、6yhn7UJM等

n  禁用公司关联字符组合

n  禁用账户姓、名字符组合：liwei@2017,liu1!@# 等

n  禁用特殊含义字符组合：password，passw0rd，p@ssw0rd，admin1234，等

二、            初始密码要求

1)        通过随机数工具生产、不同账号使用不同初始密码；

2)        配置弱密码黑名单，用户重置密码、修改密码时检查黑名单列表；

三、            双因数认证

1)        双因数方式：短信验证、邮箱验证码、令牌、证书等

2)    增加验证码策略

3)    重要系统必须设置访问控制，验证终端合法性

4)    密码传输必须加密