张碧晨 下载
弱密码一直是广大安全人员的痛点。Web管理页面、公网服务连接密码(如邮件、SQL等)、内网终端、服务器登录等都是弱密码的重灾区。一旦被人利用成功,损失巨大。
弱密码其实是一个双面词汇
入侵角度:黑客利用弱密码去爆破系统,实现登录终端或管理系统等;
但回想下弱密码防御思路,明显会发现防御和入侵的不对等性。
防御角度,传统意义的弱密码是指密码单一或过于短,例如:123456,admin,123456789,这些容易被爆破,或容易被猜测到的密码。且可以用简单的策略屏蔽此类弱密码。
但黑客实际爆破的时候用这个密码库成功率很低,一般还需要结合泄漏的各种“裤子”,其实也就是用户用过历史密码,此外为进一步提高破解率。还需要收集对方的社工信息,例如:
企业信息包含企业英文名、企业中文名拼音、企业域名、简写/缩写、企业的各种品牌名、注册日期、注册地等等。
还有一些个人信息。
所以广义看弱密码库=黑客密码库=(简单密码+历史密码+社工密码)。
站在防御的角度,我们的思路必须和黑客对齐(尽量对齐)才能形成有效的防御措施,和黑客统一维度才能避免降维打击,所以但防御角度应该关注的弱密码库就是:
简单密码+历史密码+社工密码。
有了这个共识,接下来我们聊聊企业安全的弱密码安全实践。其实就是以此为基础阻止用户设置弱密码并发现黑客的弱密码爆破行为。
弱密码库的构建
根据我们的分析,我们已经知道了防御弱密码库的构建思路,防御弱密码库=简单密码+历史密码+社工密码,下面看下具体怎么构建。
1.简单密码,这个可以参考微软的建议,反向构造即可,毕竟微软有时还是比较靠谱的。此外还要加一些常规套路,如admin、qwerty、asdfg之类的。
2.历史密码,其实就是个人的习惯罢了,这个这里有一些网上可以下到的“裤子”,如下,虽然都是老“裤子”,但有一定参考价值。
3.社工密码,这个对于企业来说非常简单,毕竟入职的时候HR要求填写那么多信息,可以用来进行构建。但有一点需要注意,这个构建是与个人相关的,即A的个人信息构建出A 的弱密码,而不是B的。信息间没必要重叠,否则会增加密码库大小,且意义不大。
做了以上3点,我们就已经具备了一个强大的弱密码库,少则几百万,多则几个亿。接下来就是看怎么用这份宝贵的数据了。
弱密码的检测
一般来说,企业检测弱密码的方法和黑客入侵没有本质区别,都是尝试不同密码,直至成功。不过:
1.账号密码的验证次数是有限制的,我们的弱密码库有几个亿,那根本无法在有生之年验证完所有密码;山本未来
2.多数系统都有锁定机制,当验证次数过去会锁定账号,影响用户,这也是安全的领导无法接受的。
所以我们要换个思路。我们不做爆破,我们做对比,这样就可以解决如上问题了。
密码都是存储在验证服务器的,无论是混淆还是加密,我们只需拿我们的弱密码库和密码存储文件对其即可。不过密码一般都不是明文存储的,MD5加盐之类的是比较常规的存储方法。想解决这个问题,我们就要利用我们防御者的优势了,毕竟密码加密算法我们知道,我们只需要将弱密码库按照同样方法转换,然后拿转换后的弱密码库进行对比即可。发现存储密码的文件存在同样的字符,则可确定对应用户设置了弱
弱密码的防御与检测
■杨浩
密码。不但高效的检测了全量的弱密码,而且如果用户设置了非弱密码库的密码我们也无法获知用户的明文密码(前提是单向加密),捎带解决了隐私问题。
弱密码爆破攻击发现
无论我们怎么检测,都无法阻止黑客进行弱密码爆破行为。传统的方案是给用户验证次数设定阈值,超过阈值则报警。但用户也会输错密码,且很多系统很残,经常将同一个错误密码验证多次,如AD 系统,这就产生很多误报。为更精准的发现爆破行为,我们还是要继续利用我们防御者的优势,我们
包包批发检测用户发起的密码是否在我们的弱密码库,如在弱密码库中的密码>N,则可认定存在爆破行为。这样可以精准发现爆破行为又可以规避系bug。
除了单一账户&多个弱密码的爆破方式,还有单一弱密码&多个账户的爆破形式,这种情况一般都是黑客认定一定存在一个这样的密码(黑客其他方式获得或就是固执的认为有),这里会出现两种情况:
1.单一密码在弱密码表中,这个我们需要在我们原有的
模型上加上账户数据,将账户数×弱密码在弱密码表的次数=阈值>M 即可。
2.单一密码不在弱密码表中,这个就需要独立分析了,统计使用同一密码的使用账户数>M 即可。
综上,我们说了弱密码库的思路,也讨论了防御角度弱密码库的构建、弱密码的检测、弱密码攻击的发现。虽然说了很多,但其实讲的都比较概括,具体落地过程中必定会遇到各种问题,如Windows 的NTLM hash 的密码存储方式等。
欧美明星夏季街拍英特尔近日在RSA 2018安全会议上发布了几项新技术,其中一项功能是把病毒扫描嵌入了一些英特尔CPU 的集成图形处理器上。
这项新技术的名称是英特尔加速内存扫描(Intel Acceler-ated Memory Scanning )。英特尔表示,这
项新功能让杀毒引擎减少CPU 利用率,为其他应用程序腾出资源,同时,使用嵌入式GPU 还会节省电池寿命。
目前,所有安全软件都使用计算机的CPU 来扫描本地文件系统中的恶意软件,但往往对系统资源消耗极大。
“英特尔测试系统跑分显示,CPU 利用率从20%下降到仅2%。”英特尔副总裁Rick Echevarria 在新闻稿中提到。
Windows Defender 的商业版本Microsoft Windows De-fender Advanced Threat Protection (ATP ),已经使用该功能。
除了加速内存扫描外,英特尔还在RSA 活动上推出了另外两项新技术。
一是英特尔高级平台遥测技术,这是一种将平台遥测与机器学习相结合的工具,可加快威胁检测。思科Tetration 平台将部署这项新技术,该平台为全球数据中心提供安全保护。
二是Intel Security Essentials,它是一系列可信根硬件安全功能的集合,将部署在英特尔的Core、Xeon 和Atom 处理器系列中。
“这些功能是用于安全启动、硬件保护(
用于数据、密钥和
其他数字资产)、加速加密和开辟可信执行区的平台完整性技术,以在运行时保护应用程序。”Echevarria 说。
蔡健雅老公尽管没有透露任何其他细节,英特尔表示,Security Essen-tials 功能都是基于硬件的硅级安全功能,旨在让应用程序开发人员构建专注于安全的应用程序,以安全方式处理敏感数据。
英特尔发布新技术
利用内置GPU 扫描恶意程序
■王晓丽
发布评论