淺談網際網路中弱口令的危害

wyzsk發表於2020-08-19
作者: 瞌睡龍 · 2013/07/12 17:07

0x00 什麼是弱口令


弱口令(weak password) 沒有嚴格和準確的定義,通常認為容易被別人(他們有可能對你很瞭解)猜測到或被破解工具破解的口令均為弱口令。

弱口令指的是僅包含簡單數字和字母的口令,例如“123”、“abc”等,因為這樣的口令很容易被別人破解,從而使使用者的網際網路賬號受到他人控制,因此不推薦使用者使用。

0x01 為什麼會產生弱口令


這個應該是與個人習慣相關與意識相關,為了避免忘記密碼,使用一個非常容易記住的密碼,或者是直接採用系統的預設密碼等。

相關的安全意識不夠,總認為不會有人會猜到我這個弱口令的。

0x02 弱口令的危害


在當今很多地方以使用者名稱(帳號)和口令作為鑑權的世界,口令的重要性就可想而知了。

口令就相當於進入家門的鑰匙,當他人有一把可以進入你家的鑰匙,想想你的安全、你的財物、你的隱私。

因為弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家門鑰匙放在家門口的墊子下面,是非常危險的。

那麼網際網路上到底存在多少弱口令或預設密碼呢?

截止到寫此文章開始,烏雲提交平臺上弱口令相關漏洞已經多達778個,除了洩露資料以外,其中不少可以利用弱口令而獲取伺服器許可權。

enter image description here

這裡上報的漏洞,大部分僅僅是後臺管理,運維伺服器等弱口令。

那麼網民的個人賬號呢?

從11年CSDN明文密碼洩露後,相繼幾個大網際網路企業使用者資料洩露。

由於非常多的網民網際網路上賬號密碼通用,導致一家資料洩露,網民在網際網路上的其他賬號也受到牽連。

作者認為你的密碼在表面上不是弱口令,但是已經被其他人獲知,也可歸屬為弱口令範圍了。

再看一下烏雲上的案例:

WooYun: 豆瓣網帳號暴力破解漏洞,測試1萬,成功391個

WooYun: 貓撲驗證碼設計缺陷,掃號10萬,成功破解782個

WooYun: 1號店暴力破解,測試1萬帳號,成功破解125個

看完你應該知道,事情過了這麼久,在多家網際網路廠商通知使用者修改密碼的情況下,仍然有很多使用者沒有修改常用密碼。

0x03 解決辦法


針對後臺或者網路管理員的弱口令比較好解決,強制對所有的管理系統賬號密碼強度必須達到一定的級別。

不可在使用簡單的admin、123456等弱密碼了。附贈一個常用密碼的列表,供各位自行搜尋自己常用的弱口令是否在裡面(禁止用作非法用途)。

弱口令top100:

123456789
a123456
123456
a123456789
1234567890
woaini1314
qq123456
abc123456
123456a
123456789a
147258369
zxcvbnm
987654321
12345678910
abc123
qq123456789
123456789.
7708801314520
woaini
5201314520
q123456
123456abc
1233211234567
123123123
123456.
0123456789
asd123456
aa123456
135792468
q123456789
abcd123456
12345678900
woaini520
woaini123
zxcvbnm123
1111111111111111
w123456
aini1314
abc123456789
111111
woaini521
qwertyuiop
1314520520
1234567891
qwe123456
asd123
000000
1472583690
1357924680
789456123
123456789abc
z123456
1234567899
aaa123456
abcd1234
www123456
123456789q
123abc
qwe123
w123456789
7894561230
123456qq
zxc123456
123456789qq
1111111111
111111111
0000000000000000
1234567891234567
qazwsxedc
qwerty
123456..
zxc123
asdfghjkl
0000000000
1234554321
123456q
123456aa
9876543210
110120119
qaz123456
qq5201314
123698745
5201314
000000000
as123456
123123
5841314520
z123456789
52013145201314
a123123
caonima
a5201314
wang123456
abcd123
123456789..
woaini1314520
123456asd
aa123456789
741852963
a12345678

而針對洩露的資料庫,導致網民通用的網際網路賬號都被盜的情況,除了教導網民修改常用密碼,網站密碼儘量不通用之外。

網際網路企業也可做一些技術上的限制,防止批次驗證賬號的行為。

例如統一登入介面,頻繁登陸錯誤觸發驗證碼,單位時間內驗證的過多封殺ip等等多個維度做限制。

相信很多網際網路企業安全人員已經與批次撞號來獲取使用者價值的人搏鬥很久了:) 加油~!

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章