文档首页 > > 最佳实践> 检测企业弱密码

检测企业弱密码

分享
更新时间: 2019/08/27 09:36

什么是弱密码

弱密码(弱口令),指比较容易被人猜解或破解的密码,例如“123456”、“abc123”、“Huawei@123”等。

弱密码的危害

弱密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言。

  • 案例一:

    2015年12月份,某省大量政府官网,因网站系统管理员未修改缺省密码“admin88”,导致近一半的网站被黑客入侵,管理员头像遭篡改,并以管理员身份发表测试文章。

  • 案例二:

    2016年1月份,某省省级管理网站,因某管理员使用了弱密码“123456”,导致该管理人员所在组织内部人员的个人信息全部泄露。一旦黑客利用网站其他漏洞,将导致全网站组织成员的身份证号、联系方式、家庭住址等信息全部泄露。

如何检测弱密码

华为云提供的漏洞扫描服务(Vulnerability Scan Service,简称VSS)支持高危端口和弱密码扫描功能,可以针对常见开放的端口进行扫描,并识别出端口上运行的服务,对这些服务进行弱密码检测。

  1. 购买漏洞扫描服务
  2. 创建扫描任务。

    1. 登录管理控制台。
    2. 选择安全 > 漏洞扫描服务 > 资产列表,进入“资产列表”界面。
    3. 在目标域名所在行的操作列,单击“扫描”,进入“创建任务”界面。
    4. 配置网站基本信息,在“扫描项设置”栏目下,确保“端口扫描”“弱密码扫描”的开关为打开状态,如图1所示。
      图1 扫描设置
      说明:
      漏洞扫描服务提供以下三种 “扫描模式”
      • 快速扫描:扫描耗时最少,能检测到的漏洞相对较少。
      • 标准扫描:扫描耗时适中,能检测到的漏洞相对较多。
      • 深度扫描:扫描耗时最长,能检测到最深处的漏洞。
    5. 单击“开始扫描”

  3. 查看扫描结果。

    1. 当扫描任务的状态为“已完成”时,在目标域名所在行的“上一次扫描结果”列,单击分数或者“查看详情”,进入“任务详情”界面。
    2. 在任务详情的“漏洞列表”中可以看到发现的弱密码。
      图2 漏洞列表
    3. 单击漏洞ID,可以查看该弱密码详情。

      用户可以根据扫描结果,对服务的密码进行修改,增强密码安全强度。修改完成后可以再次进行弱密码扫描来验证修改效果。

      图3 漏洞详情

密码设置建议

  • 使用复杂度高的密码。

    建议密码复杂度至少满足如下要求:

    1. 密码长度至少8个字符。
    2. 包含如下至少三种组合:
      1. 大写字母(A~Z)
      2. 小写字母(a~z)
      3. 数字(0~9)
      4. 特殊字符(`~!@#$%^&*()-_=+\|[{}];:'",<.>/?和空格)
    3. 密码不为用户名或用户名的倒序
  • 不使用如下常见弱口令:
    • 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份
    • 数字或字母连排或混排,键盘字母连排(如:123456,abcdef,123abc,qwerty,1qaz2wsx等)
    • 短语密码(如:5201314,woaini1314等)
    • 公司名称、admin、root等常用词汇
  • 不使用空密码或系统的缺省密码
  • 不同网站/账号使用不同的密码
  • 定期修改密码
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区