一些大写字母和数字组合不是一个好的密码

内部网络安全审计很少进入公共领域,但是当他们这样做时,通常会令人大笑。

以西澳大利亚州(WA)审计长2017年最近关于澳大利亚州用户帐户安全状况的报告为例,该州在17个州的代理机构中拥有庞大的234,000个Active Directory(AD)帐户。

我们在这里报道了这个消息,但更深层的含义是什么呢?嗯,这不是西澳大利亚州政府特有的问题。

错误的密码是永远不会过时的问题之一,当然,该州的AD密码中有60,000(26%)被发现介于容易猜到和彻头彻尾的可悲之间。

其中,'Password123'被1,464个账户使用,'Project10'被994使用,'支持'被866,'pa​​ssword1'被813,以及'October2017'被226,仅选择受欢迎的前五名最严重的违规者。

在一次特别严重的失败中,审计员表示他们能够使用密码“Summer123”远程访问该机构网络系统的测试环境。

“我们在这种环境中发现了大量的生产数据,”作者指出,值得称道的是轻描淡写。到目前为止一直如此糟糕,但在分析弱密码中的常见模式时会变得更糟,其中日期和季节的变化出现12,744次,超过6,827种“123”变种,5,182种“密码”变种,765只包含数字。

很容易责怪西澳大利亚州政府没有强加一个理智的密码政策,除了它确实有一个合理的密码政策 - 错误的。“这些密码中有许多符合密码复杂性的行业标准,长度至少为8个字符,”报告指出。

“这表明仅仅应用这些参数不足以防止对网络和系统的不当访问。”

失败#1 - 身份验证在哪里?

表面上看,该州的管理员没有做的是将已知的可怕密码列入黑名单,或要求他们达到给定的复杂程度。然而,可以说,真正的问题是,成千上万的政府雇员可以在没有正确认证自己的情况下登录网络。

这种概念性失败的一个完美例子是国家管理特权密码的方式,没有网络想要落入坏人手中的密码。

审计员表示,一家代理商在弱势状态下拥有250个特权密码,而大多数代理商并未使用身份管理系统管理特权帐户。发现一家代理商拥有2,000多个具有特权访问权限的共享帐户。

“这些帐户通常具有共享密码和跟踪个人操作的能力有限,因此存在未经授权访问的高风险。”

失败#2 - 什么是Active Directory数据库?

就在您认为报告不会变得更糟的时候,它就转移到了Active Directory安全性上。在这里发现,一个机构已经在位置支持用户和承包商能够访问的地方留下了一个旧的离线AD数据库 - 只是攻击者可能首先看到的那种地方。另一个人“无意中与第三方分享了整个AD数据库。该数据库包含所有用户帐户信息,包括员工姓名,用户名和加密密码。“

因此,这不仅仅是一个密码错误的组织,它是一个整体安全性差的组织,缺乏密码策略和执行只是反映了这种缺乏策略。

西澳大利亚州政府现在要到2018年底才能实施安全检查,其中包括将最差密码列入黑名单,强制对特权帐户进行更好的密码管理,以及 - 这不是火箭科学 - 远程帐户的多因素身份验证(MFA)。

在新粉刷的白色栅栏后面,大量的企业网络可能并没有像他们想象的那样远离账户安全的近乎失败。

至少西澳大利亚州政府在大多数企业网络负责人的世界中都缺少一件事 - 审计员不仅愿意写一个关闭闭门消费的诅咒报告,而且能够将其发布给所有人看。

由于不好的密码永远不会过时,看起来我们都需要外部干预。

  • 发表于:
  • 原文链接http://www.theregister.co.uk/2018/08/28/bad_passwords_never_go_out_of_fashion
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券