互联网时代,离不开APP和网站,工作中也应用着不同的办公系统、财务系统、邮件系统等。随着账号的增多,造成了密码单一、重复的现象,这样极其不安全,很容易受到黑客的撞库、弱口令攻击。

近期,英国国家网络安全中心(NCSC)发布了一份列表,列出了数据泄露中出现的 100000 个最常见的密码。在列表数据中,显示最常用密码是 “123456”,有 2320 万个帐户使用此密码,另外,全世界有 770 万用户选择使用 “123456789” 作为密码。

这还是在泄露的数据中提取的账户信息,在实际中,使用这些密码的人还会更多,也意味着还有很多账户存在数据泄露的风险。

此外,调查显示,超过70%的人经常在智能手机和平板电脑上使用PIN码和密码。如果用户密码很弱,黑客可以暴力破解密码,进入用户的账户。

英国国家网络安全中心公布被黑客入侵次数最多的密码列表:

https://www.ncsc.gov.uk/static-assets/documents/PwnedPasswordTop100k.txt

20个最常用的弱密码

123456 (2320万次)

123456789 (770万次)

qwerty (380万次)

password (360万次)

1111111 (310万次)

12345678 (290万次)

abc123 (280万次)

1234567 (250万次)

password1 (240万次)

12345 (230万次)

1234567890 (220万次)

123123 (220万次)

000000 (190万次)

Iloveyou (160万次)

1234 (130万次)

1q2w3e4r5t (120万次)

Qwertyuiop (110万次)

123 (102万次)

Monkey (98万次)

Dragon (96万次)

弱口令威胁

所谓弱口令就是非常简单的密码,比如"admin、123456、888888"等等。这类密码因为很方便记忆,所以被大量使用,但是也经常容易让他人猜测到,更容易被黑客暴力破解。口令就相当于进入家门的钥匙,当他人有一把可以进入你家的钥匙,想想你的安全、你的财物、你的隐私......害怕了吧。因为弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家门钥匙放在家门口的垫子下面,是非常危险的。

弱口令是如何形成的?

弱口令的成因无非就是源于人类的情性。每个企业的工作人员都在负责不同的业务,无论从什么角度来看,忘记密码造成的麻烦甚至是损失都是不小的,因此许多用户会选择便用简单好记的密码或总是让浏览器记住密码。有时候甚至可能是身份的相关信息,这里就涉及到了用户的信息安全。如果要保护口令的安全,就需保护用户的信息安全。这里波及的面更广,拿到了用户信息就可能拿到用户的财务信息,包括银行卡密码。

传统解决方案

传统上,规避弱口令问题,企业需从管理和技术两方面看手。通常情况下,大部分企业会选择这些做法:

一、进行员工培训,提高员工的网络安全意识;

二、在制度上严格规定,规范账号密码使用方法弱口令不是简单的管理问题,每个人都有使用固定的密码的习惯。培训和制度的约束很难改变一个人的行为习惯,况且培训和制度的约束效果无法量化,实施起来收效甚慢;

三、实施技术措施,通过技术手段强制要求密码的复杂策略,但是防不住员工把密码贴在显示器上,这也是弱口令导致泄露事件频发的原因之一。

奥联基于国密算法的身份认证解决方案——密九令

该方案基于标识密码技术和IBC-CHAP挑战应答、OpenID等技术实现统一的安全身份认证和访问控制,使用手机号码、邮箱地址作为用户标识公钥,无需管理维护复杂的密钥基础设施。用户使用扫码认证客户端,一次扫描二维码可安全登录多个应用系统,无需使用账号密码登陆,通过随机数的签名/验签方式实现高强度身份认证,杜绝弱口令猜测、字典攻击、撞库攻击等风险问题。方案支持密钥分片、联合签名的密码技术,实现无证书无介质增强认证。为用户等提供了基于智能手机的统一安全认证服务。

方案优势

安全性:

SM9算法结合挑战应答机制实现用户强身份认证,认证过程无口令交互,可避免弱口令、撞库攻击等安全风险。

保密性:

手机端只存储客户端分片密钥,并采用增强加密技术进行存储保护,能有效防止对手机端密钥的暴力破解;即使手机遗失后丢失了客户端的分片密钥,服务端的分片密钥由于不存在遗失的问题,可以全面保障整体的安全性;整个系统具有较强的抗攻击能力,有效解决了手机端环境不可信的问题。

易用性:

扫码即可完成用户身份确认,无需账号口令,无需安装控件,一次认证可安全登录多个业务系统,无需记忆多套账号口令。

功能完整性:

采用Https加密传输协议保证传输过程安全,采用SM3/SM4算法对平台存储的数据进行加密保护,实现身份认证、传输保护、存储保护、日志审计全方位的安全设计。

易扩展、易安装:

支持快速构建B/S应用和APP的单点登录,支持已建设的B/S业务系统零改动集成单点登录功能。

先进性:

采用国际、国内信息安全最新研究成果,如标识密码、密钥分片等技术,能够适应未来的技术发展趋势。