1 什么是弱口令
弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。
弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的互联网账号受到他人控制,因此不推荐用户使用。
2 为什么会产生弱口令
这个应该是与个人习惯相关与意识相关,为了避免忘记密码,使用一个非常容易记住的密码,或者是直接采用系统的默认密码等。
相关的安全意识不够,总认为不会有人会猜到我这个弱口令的。
3 弱口令的危害
在当今很多地方以用户名(帐号)和口令作为鉴权的世界,口令的重要性就可想而知了。
口令就相当于进入家门的钥匙,当他人有一把可以进入你家的钥匙,想想你的安全、你的财物、你的隐私。
因为弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家门钥匙放在家门口的垫子下面,是非常危险的。
4 解决办法
针对后台或者网络管理员的弱口令比较好解决,强制对所有的管理系统账号密码强度必须达到一定的级别。
账号密码配置安全要求
密码复杂度要求
1) 密码由8-15个字符组成,区分大小写;
2) 密码必须包含(A-Z)、(a-z)、(0-9)、(特殊字符)三种组合;
3) 密码不包含姓名及账号名(不区分大小写);
4) 密码不包含4个重复的数字或字母;
5) 密码不包含4个连续的数字;
6) 不可以使用之前5次旧密码
7) 禁用弱密码组合:
- 规律字符组合:abcdef,abcabc,ABCdef,Vipshop123等
- 禁用邻近键盘字符组合:qwertyui、ZAQ!xsw2、3EDC4rfv、6yhn7UJM等
- 禁用公司关联字符组合
- 禁用账户姓、名字符组合:liwei@2017,liu1!@# 等
- 禁用特殊含义字符组合:password,passw0rd,p@ssw0rd,admin1234,等
初始密码要求
1) 通过随机数工具生产、不同账号使用不同初始密码;
2) 配置弱密码黑名单,用户重置密码、修改密码时检查黑名单列表;