更新时间:2025-07-10 GMT+08:00
使用HSS防御弱口令风险
应用场景
弱口令是指密码强度低,或广泛被使用,容易被攻击者破解的口令。常见的弱口令包括但不限于如下几种:
- 常见的系统默认口令,例如admin、root、tomcat、manager等。
- 纯数字、纯字母或简单的数字和字母组合,例如admin123、123456、abcde等。
- 具有特殊含义,容易被别人猜测到的口令,例如生日、姓名、手机号等。
- 多个系统账号使用同一个口令。
在服务器系统中使用弱口令,存在的风险包括但不限于以下几个方面:
- 信息泄露:攻击者通过猜测或暴力破解弱口令,可以入侵账户,获取用户的个人隐私信息和财务数据。
- 破坏系统:攻击者破解弱口令入侵系统,可以对系统进行恶意攻击,如删除重要数据、植入恶意软件、恶意修改程序等,导致系统瘫痪或无法正常运行。
HSS提供了经典弱口令检测,可以检测出主机系统和关键软件中设置的弱口令,包括Linux系统的MySQL、FTP、Redis及系统账号弱口令,Windows系统的系统账号弱口令等;建议您使用HSS检测服务器系统中的弱口令,并及时提升口令安全强度,定期更换口令,从而规避弱口令带来的安全风险。
前提条件
服务器已开启HSS专业版/企业版/旗舰版/网页防篡改版/容器版防护。详细操作请参见HSS接入概述。
如何规避弱口令风险
- 检测是否存在弱口令。
服务器开启企业主机安全防护后,企业主机安全默认每日凌晨04:00左右自动执行一次经典弱口令检测。如果您修改了默认策略的检测时间或者为服务器创建了自定义检测策略,企业主机安全将按照您设定的检测时间执行弱口令检测。
您可以参考以下操作查看弱口令检查结果:- 登录管理控制台。
- 在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入企业主机安全界面。 - 在左侧导航栏,选择“风险预防 > 基线检查”,进入“基线检查”界面。
- 在界面下方,选择“经典弱口令风险”,在列表中,查看服务器存在的弱口令。
- 修改弱口令,提升口令安全强度。
根据1中检测出的经典弱口令的“服务器名称”、“IP地址”、“账号名称”、“账号类型”以及“建议”等,登录待修改弱口令的主机,修改弱口令。更多信息,请参见如何设置安全的口令。
- 定期修改口令。
建议每隔90天修改一次口令。
如何设置安全的口令
- 建议设置的口令复杂度
为保证口令的安全,建议您按下述规则设置口令:
- 密码长度范围为8到26位。
- 密码至少包含以下4种字符中的3种:
- 大写字母
- 小写字母
- 数字
- Windows操作系统云服务器特殊字符:包括“!”、“@”、“$”、“%”、“^”、“-”、“_”、“=”、“+”、“[”、“{”、“(”、“)”、“}”、“]”、“:”、“,”、“.”、“/”、“?”、“~”“#”和“*”
- Linux操作系统云服务器特殊字符:包括“!”、“@”、“$”、“%”、“^”、“-”、“_”、“=”、“+”、“[”、“{”、“}”、“]”、“:”、“,”、“.”、“/”、“?”、“~”“#”和“*”
- 密码不能包含用户名或用户名的逆序。
- Windows操作系统的云服务器,不能包含用户名中超过两个连续字符的部分。
- 常见系统的口令修改方法
系统名称
修改登录口令
说明
Windows系统
以Windows 10为例说明。
- 登录Windows主机系统。
- 单击左下角的
,然后单击
,弹出“Windows设置”窗口。 - 在“Windows设置”窗口中,单击“账户”。
- 在左侧导航栏中,单击登录选项。
- 在“登录选项”页面,请根据页面提示信息修改服务器密码。
无
Linux系统
登录Linux服务器,执行以下命令,修改用户登录口令。
passwd [<user>]
“user”为登录用户名。如果不输入登录用户名,则修改的是当前用户的口令。
命令执行完成后,请根据提示输入新的口令。
MySQL数据库
无
Redis数据库
“password”为登录口令。
- 如果已存在登录口令,则将其修改为复杂口令。
- 如果不存在登录口令,则添加为新口令。
Tomcat
- 打开Tomcat根目录下的配置文件“conf/tomcat-user.xml”。
- 修改user节点的password属性值为复杂口令。
无
