快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

马老师聊安全 | 弱暗码的防御与检测

*

弱暗码始终是泛博安全人员的痛。web治理页面、公网服务连接暗码(如邮件、sql等)、内网终端、服务器登录等都是弱暗码的重灾区。一旦被人行使成功,丧失巨大。

无非弱暗码实际上是一个双面词汇

入侵角度:黑客行使弱暗码去爆破体系,完成登录终端或治理体系等

防御角度:安全人员防止用户配置弱暗码,阻止黑客行使弱暗码获取体系权限

但归想下弱暗码防御思路,显然会发现防御以及入侵的纰谬等性。

 防御角度,传统意义的弱暗码是指暗码单一或过于短,例如:123456,admin,123456789,这些容易被爆破,或容易被猜测到的暗码。且可以用简单的策略屏蔽此类弱暗码。

Clipboard Image.png

Clipboard Image.png

但黑客实际爆破的时辰用这个暗码库成功率很低,一般还需要结合泄漏的种种“裤子”,实在也就是用户用过历史暗码,此外为进一步提高破解率。还需要网络对方的社工信息,如

企业信息:

企业英文名、企业中文名拼音、企业域名、简写/缩写、企业的种种品牌名、注册日期、注册地等等

小我私人信息:见下图

Clipboard Image.png 

所以广义看弱暗码库=黑客暗码库=(简单暗码+历史暗码+社工暗码)

站在防御的角度,我们的思路必须以及黑客对其(绝量对其)才能形成有用的防御措施,以及黑客统一维度才能避免降维袭击,所以但防御角度应该关注的弱暗码库就是:

简单暗码+历史暗码+社工暗码。

有了这个共识,接下来我们聊聊企业安全的弱暗码安全实践。实在就是以此为基础阻止用户配置弱暗码并发现黑客的弱暗码爆破举动。

弱暗码库的构建

根尽我们的阐发,我们已经知道了防御弱暗码库的构建思路,防御弱暗码库= 一、简单暗码 + 2、历史暗码 +三、社工暗码,下面看下详细怎么构建。

一、简单暗码,这个可以参考图2微软的建议,反向组织即可,毕竟微软无意照样比较靠谱的。此外还要加一些常规套路,如admin、qwerty、asdfg之类的。

2、历史暗码,实在就是小我私人的习性罢了,这个这里有一些网上可下列到的裤子,以下,虽然都是老裤子,但有一定参考价值。

Clipboard Image.png 

三、社工暗码,这个对于企业来说无比简单,毕竟入职的时辰hr请求填写那么多信息,可以参考图3进行构建。但有一点需要注意,这个构建是by人的,即A的小我私人信息构建出A的弱暗码,而不是B的。信息间没必要重叠,否则会增添暗码库大小,且意义不大。

做了以上3点,我们就已经具备了一个强盛的弱暗码库,少则几百万,多则几个亿。接下来就是看怎么用这份宝贵的数据了。

弱暗码的检测

一般来说,企业检测弱暗码的要领以及黑客入侵没有本质区分,都是尝试不同暗码,直至成功。但这里有几个问题:

一、账号暗码的验证次数是有制约的,我们的弱暗码库有几个亿,那根本没法在有生之年验证完所有暗码

2、多数体系都有锁定机制,当验证次数过去会锁定账号,影响用户,这也是安全的领导没法接受的

所以我们要换个思路。我们不做爆破,我们做对比!如许就可以解决如上问题了。

暗码都是存储在验证服务器的,无论是混淆照样加密,我们只要拿我们的弱暗码库以及暗码存储文件对其即可。无非暗码一般都不是明文存储的,MD5加盐之类的是比较常规的存储要领。想解决这个问题,我们就要行使我们防御者的优势了,毕竟暗码加密算法我们知道嘛,我们只要要将弱暗码库按照一样要领转换,然后拿转换后的弱暗码库进行对比即可。发现存储暗码的文件存在一样的字符,则可确定对应用户配置了弱暗码。高效的检测了全量的弱暗码,而且要是用户配置了非弱暗码库的暗码我们也没法获知用户的明文暗码(条件是单向加密),捎带解决了隐衷问题。

弱暗码爆破攻击发现

无论我们怎么检测,都没法阻止黑客进行弱暗码爆破举动。传统的方案是给用户验证次数设定阈值,超过阈值则报警。但用户也会输错暗码,且很多体系很残,经常将同一个错误暗码验证多次,如AD体系,这就产生很多误报。为更精准的发现爆破举动,数据库黑客,我们照样要继续行使我们防御者的优势,我们检测用户提议的暗码是否在我们的弱暗码库,如在弱暗码库中的暗码>N,则可认定存在爆破举动。如许可以精准发现爆破举动又可以规避系bug。

除了单一账户&多个弱暗码的爆破方式,还有单一弱暗码&多个账户的爆破情势,这类情形一般都是黑客认定一定存在一个如许的暗码(黑客其他方式获得或就是执拗的认为有),这里会出现两种情形:

一、单一暗码在弱暗码表中,这个我们需要在我们原本的模型上加上账户数据,将账户数*弱暗码在弱暗码表的次数=阈值>M即可

2、单一暗码不在弱暗码表中,这个就需要自力阐发了,统计使用同一暗码的使用账户数>M即可

综上,我们说了弱暗码库的思路,也讨论了防御角度弱暗码库的构建、弱暗码的检测、弱暗码攻击的发现。虽说了很多,但实在讲的都比较概括,详细落地过程中必定会遇到种种问题,如windows的NTLM hash的暗码存储方式等。

有兴致的同砚,欢迎私信一块儿探讨。

*

您可能还会对下面的文章感兴趣: