弱密碼的防御與檢測

■楊浩

弱密碼一直是廣大安全人員的痛點。Web管理頁面、公網服務連接密碼（如郵件、SQL等）、內網終端、服務器登錄等都是弱密碼的重災區。一旦被人利用成功，損失巨大。

弱密碼其實是一個雙面詞匯

入侵角度：黑客利用弱密碼去爆破系統，實現登錄終端或管理系統等；

防御角度：安全人員防止用戶設置弱密碼，阻止黑客利用弱密碼獲取系統權限；

但回想下弱密碼防御思路，明顯會發現防御和入侵的不對等性。

防御角度，傳統意義的弱密碼是指密碼單一或過于短，例如：123456，admin，123456789，這些容易被爆破，或容易被猜測到的密碼。且可以用簡單的策略屏蔽此類弱密碼。

但黑客實際爆破的時候用這個密碼庫成功率很低，一般還需要結合泄漏的各種“褲子”，其實也就是用戶用過歷史密碼，此外為進一步提高破解率。還需要收集對方的社工信息，例如：

企業信息包含企業英文名、企業中文名拼音、企業域名、簡寫/縮寫、企業的各種品牌名、注冊日期、注冊地等等。

還有一些個人信息。

所以廣義看弱密碼庫=黑客密碼庫=（簡單密碼+歷史密碼+社工密碼）。

站在防御的角度，我們的思路必須和黑客對齊（盡量對齊）才能形成有效的防御措施，和黑客統一維度才能避免降維打擊，所以但防御角度應該關注的弱密碼庫就是：

簡單密碼+歷史密碼+社工密碼。

有了這個共識，接下來我們聊聊企業安全的弱密碼安全實踐。其實就是以此為基礎阻止用戶設置弱密碼并發現黑客的弱密碼爆破行為。

弱密碼庫的構建

根據我們的分析，我們已經知道了防御弱密碼庫的構建思路，防御弱密碼庫=簡單密碼+歷史密碼+社工密碼，下面看下具體怎么構建。

1.簡單密碼，這個可以參考微軟的建議，反向構造即可，畢竟微軟有時還是比較靠譜的。此外還要加一些常規套路，如admin、qwerty、asdfg 之類的。

2.歷史密碼，其實就是個人的習慣罷了，這個這里有一些網上可以下到的“褲子”，如下，雖然都是老“褲子”，但有一定參考價值。

3.社工密碼，這個對于企業來說非常簡單，畢竟入職的時候HR要求填寫那么多信息，可以用來進行構建。但有一點需要注意，這個構建是與個人相關的，即A的個人信息構建出A的弱密碼，而不是B的。信息間沒必要重疊，否則會增加密碼庫大小，且意義不大。

做了以上3點，我們就已經具備了一個強大的弱密碼庫，少則幾百萬，多則幾個億。接下來就是看怎么用這份寶貴的數據了。

弱密碼的檢測

一般來說，企業檢測弱密碼的方法和黑客入侵沒有本質區別，都是嘗試不同密碼，直至成功。不過：

1.賬號密碼的驗證次數是有限制的，我們的弱密碼庫有幾個億，那根本無法在有生之年驗證完所有密碼；

2.多數系統都有鎖定機制，當驗證次數過去會鎖定賬號，影響用戶，這也是安全的領導無法接受的。

所以我們要換個思路。我們不做爆破，我們做對比，這樣就可以解決如上問題了。

密碼都是存儲在驗證服務器的，無論是混淆還是加密，我們只需拿我們的弱密碼庫和密碼存儲文件對其即可。不過密碼一般都不是明文存儲的，MD5加鹽之類的是比較常規的存儲方法。想解決這個問題，我們就要利用我們防御者的優勢了，畢竟密碼加密算法我們知道，我們只需要將弱密碼庫按照同樣方法轉換，然后拿轉換后的弱密碼庫進行對比即可。發現存儲密碼的文件存在同樣的字符，則可確定對應用戶設置了弱密碼。不但高效的檢測了全量的弱密碼，而且如果用戶設置了非弱密碼庫的密碼我們也無法獲知用戶的明文密碼（前提是單向加密），捎帶解決了隱私問題。

弱密碼爆破攻擊發現

無論我們怎么檢測，都無法阻止黑客進行弱密碼爆破行為。傳統的方案是給用戶驗證次數設定閾值，超過閾值則報警。但用戶也會輸錯密碼，且很多系統很殘，經常將同一個錯誤密碼驗證多次，如AD系統，這就產生很多誤報。為更精準的發現爆破行為，我們還是要繼續利用我們防御者的優勢，我們檢測用戶發起的密碼是否在我們的弱密碼庫，如在弱密碼庫中的密碼＞N，則可認定存在爆破行為。這樣可以精準發現爆破行為又可以規避系bug。

除了單一賬戶&多個弱密碼的爆破方式，還有單一弱密碼&多個賬戶的爆破形式，這種情況一般都是黑客認定一定存在一個這樣的密碼（黑客其他方式獲得或就是固執的認為有），這里會出現兩種情況：

1.單一密碼在弱密碼表中，這個我們需要在我們原有的模型上加上賬戶數據，將賬戶數×弱密碼在弱密碼表的次數=閾值＞M即可。

2.單一密碼不在弱密碼表中，這個就需要獨立分析了，統計使用同一密碼的使用賬戶數＞M即可。

綜上，我們說了弱密碼庫的思路，也討論了防御角度弱密碼庫的構建、弱密碼的檢測、弱密碼攻擊的發現。雖然說了很多，但其實講的都比較概括，具體落地過程中必定會遇到各種問題，如Windows的NTLM hash的密碼存儲方式等。