科普：浅谈互联网中弱口令的危害

注：91ri.org的原则是：你可以不喜欢，但你必须尊重。本文旨在科普，不喜勿喷。

0×00 什么是弱口令

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。

弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的互联网账号受到他人控制，因此不推荐用户使用。

0×01 为什么会产生弱口令

这个应该是与个人习惯相关与意识相关，为了避免忘记密码，使用一个非常容易记住的密码，或者是直接采用系统的默认密码等。

相关的安全意识不够，总认为不会有人会猜到我这个弱口令的。

0×02 弱口令的危害

在当今很多地方以用户名(帐号)和口令作为鉴权的世界，口令的重要性就可想而知了。

口令就相当于进入家门的钥匙，当他人有一把可以进入你家的钥匙，想想你的安全、你的财物、你的隐私。

因为弱口令很容易被他人猜到或破解，所以如果你使用弱口令，就像把家门钥匙放在家门口的垫子下面，是非常危险的。

那么互联网上到底存在多少弱口令或默认密码呢？

截止到写此文章开始，乌云提交平台上弱口令相关漏洞已经多达778个，除了泄露数据以外，其中不少可以利用弱口令而获取服务器权限。

这里上报的漏洞，大部分仅仅是后台管理，运维服务器等弱口令。

那么网民的个人账号呢？

从11年CSDN明文密码泄露后，相继几个大互联网企业用户数据泄露。

由于非常多的网民互联网上账号密码通用，导致一家数据泄露，网民在互联网上的其他账号也受到牵连。

作者认为你的密码在表面上不是弱口令，但是已经被其他人获知，也可归属为弱口令范围了。

再看一下乌云上的案例：

WooYun: 豆瓣网帐号暴力破解漏洞，测试1万，成功391个

WooYun: 猫扑验证码设计缺陷，扫号10万，成功破解782个

WooYun: 1号店暴力破解，测试1万帐号，成功破解125个

看完你应该知道，事情过了这么久，在多家互联网厂商通知用户修改密码的情况下，仍然有很多用户没有修改常用密码。

0×03 解决办法

针对后台或者网络管理员的弱口令比较好解决，强制对所有的管理系统账号密码强度必须达到一定的级别。

不可在使用简单的admin、123456等弱密码了。附赠一个常用密码的列表，供各位自行搜索自己常用的弱口令是否在里面（禁止用作非法用途）。

弱口令top100：

而针对泄露的数据库，导致网民通用的互联网账号都被盗的情况，除了教导网民修改常用密码，网站密码尽量不通用之外。

互联网企业也可做一些技术上的限制，防止批量验证账号的行为。

例如统一登录接口，频繁登陆错误触发验证码，单位时间内验证的过多封杀ip等等多个维度做限制。

相信很多互联网企业安全人员已经与批量撞号来获取用户价值的人搏斗很久了:) 加油~！

91ri.org：其实很多的CMS，若不是开源的，黑客想要攻击它就不是一件容易的事情。虽说因着工具遍地导致入侵一个网站没有想象中的那么复杂，但也是需要一定的技术，特别是一个不存在较低级的漏洞的网站。此时就需要一个强壮的口令来帮助站长保证网站的安全运转。反过来说，即使存在较低级的漏洞（例如sql注入等），有一个强壮的口令也可以给黑客破解你的密码带来一定的阻碍。所以，密码安全也是值得重视的，在文中作者给大家列出了弱口令top100，大家可以找找自己的密码是否在此列，如果在的话速速修改吧。（旁白：搞安全的还用弱口令，你当读者们都是白痴吗？:D ）

原文link:http://drops.wooyun.org/papers/234

本文由网络安全攻防研究室（www.91ri.org）信息安全小组收集整理，转载请注明出处。