每年HVV大戰(zhàn)中，“弱密碼”成必備扣分項(xiàng)？

每年HVV行動(dòng)中，弱密碼、默認(rèn)密碼、通用密碼、已泄露密碼等通常是每個(gè)紅隊(duì)人關(guān)注的重點(diǎn)；是紅隊(duì)成員最希望找到、也是最容易找到的漏洞之一。實(shí)際HVV行動(dòng)中，通過弱密碼獲得權(quán)限的情況占據(jù)90%以上。

一直以來，身份與訪問控制管理（IAM）就是企業(yè)數(shù)據(jù)安全的重災(zāi)區(qū)，而“弱密碼”更是震中。NordPass最新公布的 2024 年最常用的 200 個(gè)密碼中，不出所料，“123456”再度領(lǐng)跑年度“最弱密碼”榜首！

早在2011年，NordPass就開始統(tǒng)計(jì)年度“最弱密碼”榜單，“123456”就是其中的“老主顧”，且一直位列“前茅”。而這樣的弱密碼只需要使用簡單的暴力破解工具在1秒內(nèi)即可破解。

這也讓弱密碼成為每年HVV大戰(zhàn)中扣分項(xiàng)的“老主顧”。

01

弱密碼屢禁不止？企業(yè)面臨三大困局

人的惰性一直是企業(yè)弱密碼屢禁不止的關(guān)鍵要素：“密碼太多記不住，干脆全部設(shè)置統(tǒng)一密碼”、“密碼太復(fù)雜記不住”、“換密碼太麻煩”......

其次，企業(yè)默認(rèn)密碼管理混亂：新系統(tǒng)上線未及時(shí)修改默認(rèn)密碼；供應(yīng)商賬號(hào)權(quán)限未回收，埋下隱形炸彈......

最后，缺乏動(dòng)態(tài)管控機(jī)制：密碼策略仍停留在“8位以上+字母數(shù)字”，無實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)測(cè)，無法阻斷撞庫攻擊......

02

HVV大戰(zhàn)，派拉助你守住“密碼防線”

針對(duì)弱密碼頑疾，派拉軟件基于零信任安全架構(gòu)，推出“系列智能密碼安全閉環(huán)方案”。

方案1：單點(diǎn)登錄，密碼賬號(hào)從N到1

然而，無論安全人員如何減少員工記憶賬號(hào)密碼的數(shù)量，設(shè)置安全的密碼規(guī)則，甚至強(qiáng)制要求 90 天更換密碼。員工依然有對(duì)策應(yīng)對(duì)。

例如，采取"規(guī)律性遞增"（如 身份年月日+01→身份年月日+02）。這樣的“偽強(qiáng)密碼”反而降低了賬戶安全性。

據(jù) Verizon 數(shù)據(jù)報(bào)告，此類"偽強(qiáng)密碼"在泄露事件中的占比從 2019 年的 17% 升至 2023 年的 29%。

這時(shí)候，就需要采取派拉軟件升級(jí)版方案2！

方案2：多種便捷認(rèn)證方式，快速消除密碼

● 賬號(hào)登錄

支持用戶名+密碼、郵箱+密碼、手機(jī)號(hào)+密碼、自定義屬性+密碼，記住密碼；

● 驗(yàn)證碼登錄

支持手機(jī)短信、釘釘消息、企業(yè)微信消息、微信公眾號(hào)消息驗(yàn)證碼登錄系統(tǒng)；可以設(shè)置發(fā)送策略，支持圖形驗(yàn)證碼和滑塊驗(yàn)證碼進(jìn)行消息接口保護(hù)；

● 動(dòng)態(tài)口令登錄

支持在線OTP ，離線OTP；支持標(biāo)準(zhǔn) radius 協(xié)議 OTP 認(rèn)證；

● 生物識(shí)別

支持人臉識(shí)別、指紋識(shí)別、聲紋識(shí)別方式登錄系統(tǒng)；

● APP掃碼登錄

支持安卓 APP、iOSAPP ，小程序掃碼登錄；

● 互聯(lián)網(wǎng)登錄

微信登錄、企業(yè)微信登錄、QQ 登錄、釘釘?shù)卿洝⒐娞?hào)關(guān)注登錄、飛書登錄、抖音登錄、微博登錄、淘寶登錄、支付寶登錄，通過規(guī)范文檔開發(fā)，自定義集成第三方登錄。

......

這些認(rèn)證方式不僅加強(qiáng)了安全能力，還提升了員工的登錄體驗(yàn)，同時(shí)還可以直接消除密碼。沒有了密碼，自然也就沒有所謂的弱密碼！

如果覺得一種認(rèn)證方式不安全，企業(yè)也可以采取派拉軟件多因素認(rèn)證（MFA）方式，即用以上任意2種或多種認(rèn)證方式，加強(qiáng)身份安全驗(yàn)證。

方案3：弱密碼一鍵掃描，在線全景式監(jiān)控

然而，企業(yè)弱密碼的來源除了人，還有各種網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等。這些設(shè)備的賬號(hào)密碼往往又具備共享屬性。

此時(shí)賬號(hào)密碼的管理方式往往是最佳選擇。換句話說，我們不可能完全消滅企業(yè)中賬號(hào)密碼這一選項(xiàng)。

這時(shí)候，就可以試試方案3：派拉軟件自主研發(fā)的弱密碼檢測(cè)系統(tǒng)，幫助企業(yè)實(shí)現(xiàn)從弱密碼發(fā)現(xiàn)、審計(jì)，再到治理全流程一體化管理。

也就是說，企業(yè)利用弱密碼檢測(cè)系統(tǒng)，可以根據(jù)企業(yè)自身特征進(jìn)行弱密碼規(guī)則定義，在系統(tǒng)原有的弱密碼庫（200 萬明文密碼庫、200 萬 Hash 弱密碼庫等，并根據(jù)互聯(lián)網(wǎng)爬蟲將互聯(lián)網(wǎng)常用語義錄入系統(tǒng)弱密碼庫）基礎(chǔ)上進(jìn)行補(bǔ)充，然后一鍵快速掃描與弱密碼庫相符的企業(yè)所有應(yīng)用系統(tǒng)弱密碼賬號(hào)。

掃描過程，系統(tǒng)支持AD、LDAP、Radius、DB、Linux等多種掃描方式，可對(duì)現(xiàn)有資產(chǎn)已經(jīng)存在的密碼進(jìn)行密文掃描，無需解密，從而保證企業(yè)賬號(hào)密碼數(shù)據(jù)的安全性。

掃描出的弱密碼數(shù)據(jù)，系統(tǒng)可以在線靈活開啟通知策略，管理員可根據(jù)人員、系統(tǒng)、賬號(hào)重要等級(jí)等各要素的不同，靈活設(shè)定并開啟賬號(hào)處理策略(如強(qiáng)制改密)。

后續(xù)新建的或賬號(hào)新增的其他應(yīng)用系統(tǒng)改密操作，可以通過派拉軟件弱密碼檢測(cè)系統(tǒng)提供的Open API進(jìn)行調(diào)用，對(duì)密碼進(jìn)行弱密碼校驗(yàn)，從而及時(shí)消除企業(yè)弱密碼、初始密碼管理不完善等問題。

方案4：動(dòng)態(tài)密碼實(shí)時(shí)防御，訪問過程更安全

除上述外，派拉軟件還為企業(yè)提供了訪問全過程中動(dòng)態(tài)密碼實(shí)時(shí)防御。結(jié)合AI大模型對(duì)歷史數(shù)據(jù)、行業(yè)威脅情報(bào)、審計(jì)日志等學(xué)習(xí)，自動(dòng)識(shí)別“易破解”密碼；

訪問過程中，還能實(shí)時(shí)比對(duì)身份賬號(hào)的登錄地點(diǎn)、設(shè)備屬性和操作習(xí)慣，為每一個(gè)訪問行為打上“風(fēng)險(xiǎn)標(biāo)簽”：如行為地理位置是否異常？登錄時(shí)間段是否可疑？與歷史模式是否大相徑庭......從而動(dòng)態(tài)提升密碼復(fù)雜度與認(rèn)證要求，甚至直接自動(dòng)觸發(fā)賬號(hào)鎖定。

03

實(shí)戰(zhàn)驗(yàn)證，某客戶HVV成績提升50%

2025年HVV號(hào)角已經(jīng)吹響，別再讓你的企業(yè)密碼管理存在明顯的"二八悖論"——80% 的防御預(yù)算投入在高級(jí)威脅的應(yīng)對(duì)，卻放任 20% 的基礎(chǔ)安全漏洞持續(xù)存在。

結(jié)果往往是堆砌了諸多昂貴的安全設(shè)備，卻因一個(gè)弱密碼漏洞全盤皆輸！

立即行動(dòng)，讓弱密碼不再成企業(yè)“年度頭號(hào)扣分項(xiàng)”！