攻防演練開(kāi)始之前，L公司信心滿滿。

他們?cè)缭绲厥崂砗昧藘?nèi)網(wǎng)資產(chǎn)，關(guān)停了大量非必要的服務(wù)、端口，收斂了互聯(lián)網(wǎng)暴露面。他們掃描、修補(bǔ)了設(shè)備和應(yīng)用的安全漏洞，進(jìn)行了系統(tǒng)加固。他們部署了監(jiān)控和響應(yīng)工具，做了詳盡的應(yīng)急預(yù)案。他們做了好幾輪滲透測(cè)試，驗(yàn)證工具鏈的兼容性和監(jiān)控有效性……

演練一開(kāi)始，IT運(yùn)維大佬、供應(yīng)商技術(shù)大神、安全服務(wù)專家組成的“技術(shù)天團(tuán)”嚴(yán)陣以待，隨時(shí)準(zhǔn)備堵漏洞、審日志、封IP，甚至拔網(wǎng)線。

讓人無(wú)語(yǔ)的是，攻防演練開(kāi)始不到24小時(shí)，紅隊(duì)（攻擊方）就擊穿了L公司的內(nèi)網(wǎng)。更讓人無(wú)語(yǔ)的是，紅方根本沒(méi)用什么高級(jí)的攻擊手段，只是掃描到了一臺(tái)堡壘機(jī)，直接猜出了用戶名是該單位名稱的縮寫(xiě)，密碼是堡壘機(jī)默認(rèn)的密碼，然后通過(guò)堡壘機(jī)接管了大量設(shè)備的運(yùn)維權(quán)限。

面對(duì)這個(gè)結(jié)果，L公司的防守團(tuán)隊(duì)大眼瞪小眼，每個(gè)人的臉上都寫(xiě)著——這該死的弱口令，為什么就除不盡？

弱口令，人性的“0day漏洞”

弱口令，是網(wǎng)絡(luò)安全中的老大難問(wèn)題，因?yàn)槿蹩诹顚?dǎo)致的重大網(wǎng)絡(luò)安全事件屢見(jiàn)不鮮。在攻防演練中，利用弱口令進(jìn)行攻擊是紅隊(duì)最常用的攻擊手段之一，在所有攻擊中占比近30%，僅次于0day漏洞。

對(duì)于防守方而言，因?yàn)?day漏洞被攻破和因?yàn)槿蹩诹畋还テ剖墙厝徊煌捏w驗(yàn)。因?yàn)?day漏洞被攻破后，防守方只會(huì)覺(jué)得不是我方不努力，奈何紅隊(duì)開(kāi)高達(dá)。但是換成因弱口令失分，防守方則會(huì)覺(jué)得員工安全意識(shí)弱，設(shè)置密碼太隨意，一個(gè)密碼反復(fù)用，陰溝里翻船好無(wú)奈。

但是，弱口令能成為網(wǎng)絡(luò)安全的頑疾，絕不僅僅是因?yàn)閱T工安全意識(shí)弱這么簡(jiǎn)單。想要根治弱口令，也絕非強(qiáng)迫所有員工改密碼就能成功。我們不妨試著還原弱口令誕生的過(guò)程，看看弱口令為何難以根治：

軟件開(kāi)發(fā)商：軟件的初始密碼用我們品牌的全拼，反正客戶肯定會(huì)改。（默認(rèn)密碼設(shè)置過(guò)于簡(jiǎn)單。）

員工A：這是第多少個(gè)業(yè)務(wù)應(yīng)用了？再單獨(dú)設(shè)一個(gè)密碼實(shí)在記不住，就和郵箱用同一個(gè)密碼吧。（為了便于記憶，同一密碼重復(fù)使用。）

員工B：不改，懶。（因?yàn)橥祽胁辉父某跏济艽a。）

員工C：改成名字的拼音+123，敲著方便。（為了便于記憶設(shè)置簡(jiǎn)單的密碼。）

管理員A：密碼改不改無(wú)所謂，反正管理后臺(tái)只有我一個(gè)人登錄，密碼只有我一個(gè)人知道。（因?yàn)閮e幸心理不修改密碼。）

毫不夸張的說(shuō)，每一個(gè)弱口令背后，都是一個(gè)人性的漏洞。正因如此，各種消除弱口令的措施（如限制密碼長(zhǎng)度，要求密碼包含多種字符，強(qiáng)制定期改密等）只能治標(biāo)，不能治本。因?yàn)檫@些措施必然使員工的操作更加繁瑣，員工自然不愛(ài)買賬，弱口令也就如小強(qiáng)一般頑強(qiáng)，總能在攻防演練時(shí)給防守方帶來(lái)“驚喜”。

芯盾時(shí)代IAM，助力企業(yè)消滅弱口令

想要徹底消滅弱口令，先要堵上人性的漏洞，既要降低認(rèn)證的復(fù)雜度和頻率，讓員工在登錄各種業(yè)務(wù)系統(tǒng)時(shí)少輸密碼，甚至不輸密碼，還要提升密碼的強(qiáng)度，讓黑客難以破解密碼。

想要實(shí)現(xiàn)這一目標(biāo)，將用戶的“所知（我知道的你不知道）、所持（我持有的東西你沒(méi)有）、所有（我的特征你沒(méi)有）”作為認(rèn)證因子，實(shí)施多因素認(rèn)證，是最佳選擇。

芯盾時(shí)代用戶身份和訪問(wèn)管理平臺(tái)（IAM），基于零信任理念打造，采用增強(qiáng)型身份認(rèn)證技術(shù)、連續(xù)自適應(yīng)風(fēng)險(xiǎn)信任評(píng)估等自主研發(fā)的技術(shù)，幫助企業(yè)構(gòu)建新型身份信息管理體系，實(shí)現(xiàn)對(duì)身份信息、身份認(rèn)證、訪問(wèn)權(quán)限、訪問(wèn)日志的統(tǒng)一管理，一站式實(shí)施全局多因素認(rèn)證，讓身份認(rèn)證更安全、更便捷，徹底消除弱口令。

借助芯盾時(shí)代IAM，企業(yè)能夠一站式實(shí)現(xiàn)以下功能：

1.創(chuàng)建唯一身份，權(quán)限、審計(jì)統(tǒng)一管理

整合企業(yè)零散的組織用戶數(shù)據(jù)，創(chuàng)建唯一用戶身份標(biāo)記，形成權(quán)威的組織用戶體系，建立自動(dòng)化流轉(zhuǎn)的用戶全生命周期管理機(jī)制，讓員工使用一個(gè)賬號(hào)登錄多個(gè)業(yè)務(wù)應(yīng)用，減少需要記錄、使用的密碼數(shù)量，實(shí)現(xiàn)“一個(gè)身份，訪問(wèn)全網(wǎng)”。

統(tǒng)一員工身份后，運(yùn)維人員能夠統(tǒng)一設(shè)置多個(gè)應(yīng)用的訪問(wèn)權(quán)限，統(tǒng)一審計(jì)多個(gè)應(yīng)用的訪問(wèn)日志，大幅減少運(yùn)維量，提升工作效率。

2.統(tǒng)一認(rèn)證管理，安全與體驗(yàn)雙優(yōu)

為企業(yè)建設(shè)應(yīng)用門戶，統(tǒng)一業(yè)務(wù)應(yīng)用的登錄入口，并借助單點(diǎn)登錄功能，讓員工只需認(rèn)證一次，就能登錄所有權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用，減少員工認(rèn)證的次數(shù)，實(shí)現(xiàn)“一次認(rèn)證，全網(wǎng)通行”。

為企業(yè)建立移動(dòng)認(rèn)證App，結(jié)合員工所知、所持、所有進(jìn)行多因素身份認(rèn)證，提供密碼、App掃碼、短信驗(yàn)證碼、動(dòng)態(tài)口令、指紋識(shí)別、人臉識(shí)別等多種認(rèn)證方式，讓員工在進(jìn)行身份認(rèn)證時(shí)少輸密碼、甚至不輸密碼，兼顧企業(yè)網(wǎng)絡(luò)安全與員工操作便利。

3.自研底層技術(shù)，保障認(rèn)證安全

為了讓身份認(rèn)證更加安全，芯盾時(shí)代自主研發(fā)了移動(dòng)認(rèn)證技術(shù)，通過(guò)對(duì)智能手機(jī)的唯一性識(shí)別，證書(shū)的安全生成、存儲(chǔ)、調(diào)用，以及手機(jī)安全環(huán)境的檢測(cè)，將智能手機(jī)打造成移動(dòng)U盾，為身份認(rèn)證營(yíng)造安全的終端環(huán)境。

芯盾時(shí)代研發(fā)了智能終端密碼模塊，基于傳統(tǒng)證書(shū)認(rèn)證方式，結(jié)合分割密鑰、設(shè)備指紋、白盒算法、環(huán)境清場(chǎng)等技術(shù)，為身份信息的安全存儲(chǔ)提供了底層支持，保證員工身份信息更安全地傳輸、存儲(chǔ)，即使員工信息被劫持、被泄露也難以被破譯和篡改。

有了芯盾時(shí)代用戶身份和訪問(wèn)管理平臺(tái)（IAM），企業(yè)既能提升身份認(rèn)證的安全性，又能簡(jiǎn)化員工的操作體驗(yàn)；既能簡(jiǎn)化管理、運(yùn)維工作，又能讓員工心甘情愿告別弱口令。在攻防演練中，再也不會(huì)在弱口令這條“陰溝”里翻船~