攻防演練開始之前，L公司信心滿滿。

他們早早地梳理好了內(nèi)網(wǎng)資產(chǎn)，關停了大量非必要的服務、端口，收斂了互聯(lián)網(wǎng)暴露面。他們掃描、修補了設備和應用的安全漏洞，進行了系統(tǒng)加固。他們部署了監(jiān)控和響應工具，做了詳盡的應急預案。他們做了好幾輪滲透測試，驗證工具鏈的兼容性和監(jiān)控有效性……

演練一開始，IT運維大佬、供應商技術大神、安全服務專家組成的“技術天團”嚴陣以待，隨時準備堵漏洞、審日志、封IP，甚至拔網(wǎng)線。

讓人無語的是，攻防演練開始不到24小時，紅隊（攻擊方）就擊穿了L公司的內(nèi)網(wǎng)。更讓人無語的是，紅方根本沒用什么高級的攻擊手段，只是掃描到了一臺堡壘機，直接猜出了用戶名是該單位名稱的縮寫，密碼是堡壘機默認的密碼，然后通過堡壘機接管了大量設備的運維權限。

面對這個結果，L公司的防守團隊大眼瞪小眼，每個人的臉上都寫著——這該死的弱口令，為什么就除不盡？

弱口令，人性的“0day漏洞”

弱口令，是網(wǎng)絡安全中的老大難問題，因為弱口令導致的重大網(wǎng)絡安全事件屢見不鮮。在攻防演練中，利用弱口令進行攻擊是紅隊最常用的攻擊手段之一，在所有攻擊中占比近30%，僅次于0day漏洞。

對于防守方而言，因為0day漏洞被攻破和因為弱口令被攻破是截然不同的體驗。因為0day漏洞被攻破后，防守方只會覺得不是我方不努力，奈何紅隊開高達。但是換成因弱口令失分，防守方則會覺得員工安全意識弱，設置密碼太隨意，一個密碼反復用，陰溝里翻船好無奈。

但是，弱口令能成為網(wǎng)絡安全的頑疾，絕不僅僅是因為員工安全意識弱這么簡單。想要根治弱口令，也絕非強迫所有員工改密碼就能成功。我們不妨試著還原弱口令誕生的過程，看看弱口令為何難以根治：

軟件開發(fā)商：軟件的初始密碼用我們品牌的全拼，反正客戶肯定會改。（默認密碼設置過于簡單。）

員工A：這是第多少個業(yè)務應用了？再單獨設一個密碼實在記不住，就和郵箱用同一個密碼吧。（為了便于記憶，同一密碼重復使用。）

員工B：不改，懶。（因為偷懶不愿更改初始密碼。）

員工C：改成名字的拼音+123，敲著方便。（為了便于記憶設置簡單的密碼。）

管理員A：密碼改不改無所謂，反正管理后臺只有我一個人登錄，密碼只有我一個人知道。（因為僥幸心理不修改密碼。）

毫不夸張的說，每一個弱口令背后，都是一個人性的漏洞。正因如此，各種消除弱口令的措施（如限制密碼長度，要求密碼包含多種字符，強制定期改密等）只能治標，不能治本。因為這些措施必然使員工的操作更加繁瑣，員工自然不愛買賬，弱口令也就如小強一般頑強，總能在攻防演練時給防守方帶來“驚喜”。

芯盾時代IAM，助力企業(yè)消滅弱口令

想要徹底消滅弱口令，先要堵上人性的漏洞，既要降低認證的復雜度和頻率，讓員工在登錄各種業(yè)務系統(tǒng)時少輸密碼，甚至不輸密碼，還要提升密碼的強度，讓黑客難以破解密碼。

想要實現(xiàn)這一目標，將用戶的“所知（我知道的你不知道）、所持（我持有的東西你沒有）、所有（我的特征你沒有）”作為認證因子，實施多因素認證，是最佳選擇。

芯盾時代用戶身份和訪問管理平臺（IAM），基于零信任理念打造，采用增強型身份認證技術、連續(xù)自適應風險信任評估等自主研發(fā)的技術，幫助企業(yè)構建新型身份信息管理體系，實現(xiàn)對身份信息、身份認證、訪問權限、訪問日志的統(tǒng)一管理，一站式實施全局多因素認證，讓身份認證更安全、更便捷，徹底消除弱口令。

借助芯盾時代IAM，企業(yè)能夠一站式實現(xiàn)以下功能：

1.創(chuàng)建唯一身份，權限、審計統(tǒng)一管理

整合企業(yè)零散的組織用戶數(shù)據(jù)，創(chuàng)建唯一用戶身份標記，形成權威的組織用戶體系，建立自動化流轉的用戶全生命周期管理機制，讓員工使用一個賬號登錄多個業(yè)務應用，減少需要記錄、使用的密碼數(shù)量，實現(xiàn)“一個身份，訪問全網(wǎng)”。

統(tǒng)一員工身份后，運維人員能夠統(tǒng)一設置多個應用的訪問權限，統(tǒng)一審計多個應用的訪問日志，大幅減少運維量，提升工作效率。

2.統(tǒng)一認證管理，安全與體驗雙優(yōu)

為企業(yè)建設應用門戶，統(tǒng)一業(yè)務應用的登錄入口，并借助單點登錄功能，讓員工只需認證一次，就能登錄所有權限內(nèi)的業(yè)務應用，減少員工認證的次數(shù)，實現(xiàn)“一次認證，全網(wǎng)通行”。

為企業(yè)建立移動認證App，結合員工所知、所持、所有進行多因素身份認證，提供密碼、App掃碼、短信驗證碼、動態(tài)口令、指紋識別、人臉識別等多種認證方式，讓員工在進行身份認證時少輸密碼、甚至不輸密碼，兼顧企業(yè)網(wǎng)絡安全與員工操作便利。

3.自研底層技術，保障認證安全

為了讓身份認證更加安全，芯盾時代自主研發(fā)了移動認證技術，通過對智能手機的唯一性識別，證書的安全生成、存儲、調(diào)用，以及手機安全環(huán)境的檢測，將智能手機打造成移動U盾，為身份認證營造安全的終端環(huán)境。

芯盾時代研發(fā)了智能終端密碼模塊，基于傳統(tǒng)證書認證方式，結合分割密鑰、設備指紋、白盒算法、環(huán)境清場等技術，為身份信息的安全存儲提供了底層支持，保證員工身份信息更安全地傳輸、存儲，即使員工信息被劫持、被泄露也難以被破譯和篡改。

有了芯盾時代用戶身份和訪問管理平臺（IAM），企業(yè)既能提升身份認證的安全性，又能簡化員工的操作體驗；既能簡化管理、運維工作，又能讓員工心甘情愿告別弱口令。在攻防演練中，再也不會在弱口令這條“陰溝”里翻船~