特权与用户口令管理PAM的业务应用场景
Posted 杨治中
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了特权与用户口令管理PAM的业务应用场景相关的知识,希望对你有一定的参考价值。
历年的3·15晚会,“个人隐私”、数据泄露都是热词,今年3·15也不例外。
软件捆绑、静默下载、广告弹窗,下载一个捆绑六个,打着“免费wifi”、“高速下载”的幌子,各种陷阱防不胜防;
手机访问一个网站,大数据就泄露个人电话,成为厂家营销工具,骚扰电话不厌其烦;
儿童手表过度索权,位置、视频、录音等个人隐私无法隐藏。
其实,还有一样东西,和用户数据安全和个人隐私更加息息相关,应该被重点“打假”。
它就是数据安全依赖的最基础的技术——密码。
谈到密码,真是让人爱恨交加,我打赌,你肯定有过这样的崩溃瞬间:
虽然密码给人增添了一些麻烦,但是,为了安全,舍弃便利也是必要的。
不过密码也有“真假”之分:“真密码”,极难破解,固若金汤;“假密码”,形同虚设,连三岁小孩都能轻松破解。我们就借3·15的机会,一起来揭穿哪些披着“安全”外衣、实则“门户洞开”的“假密码”。
又登热搜的“123456”
近日,受俄乌局势影响,一条2018年的“旧闻”,再次火了起来。
当时乌克兰记者AlexanderDubinsky披露,乌克兰武装部队的自动控制系统(ACS)“Dnipro”长期使用密码“admin”和“123456”访问服务器。
对此国内有网友评论:“即便是用于守护我两位数存款的六位银行卡密码,也也敢设置成123456,更不要说它是重要军事目标的访问凭证,而且拥有极高的权限。”
有分析称,利用该凭证可以自由地访问交换机、路由器、工作站、服务器、语音网关、打印机、扫描仪等,有可能在短短几天时间内,就可以建立所有网络的拓扑结构,并使用这个网络来入侵目标。
然而这份报道似乎并没有引起当局的重视,在四个月之后,密码依然可以使用。
这样的密码实在“太假了”
事实上,这并不是123456第一次被推上热搜!
根据密码管理器提供商NordPass每年发布的最常用密码Top榜单显示,123456已经连续N年“霸榜”!
有趣的是,这份榜单不仅仅揭晓了最常用的密码类型,还指出了一项非常关键的数据:位居榜单前列的密码,其破解时间小于1秒。
至于破解到底有多简单,看看这条新闻就知道了。
据光明网报道,2020年12月,李某在村里路上捡到一张银行卡,她想着自己同村人设置银行卡密码都比较简单,数字不是888888就是666666、或者123456,就抱着试一试的态度在附近的ATM机查了余额,没想到“一击即中”,只猜了一次就试对了密码,攻击取走了两万余元。
更何况,职业的黑客团伙往往会使用密码词典这种暴力破解工具,即在密码词典中添加常用的密码,然后利用计算机针对目标账户进行穷举,直到登录成功为止。基于当今的计算速度,破解这种弱密码简直不费吹灰之力。
众所周知,设置登录密码最重要的作用之一,就是针对访问者的身份进行初步判别。可如果过于简单,那么除了让用户每次登录之前花一秒钟输入这些数字,没有任何意义。
从这个角度上来看,我们可以大声的对123456这样的弱密码说,你实在是“太假了”,有密码之名,却没有密码之实。
所以,这样的“假密码”还是改改吧。
薛定谔的“密码”
为了帮助用户提升密码强度,很多产品可以说是操碎了心:密码设置长度必须达到12个字符及以上,而且必须包含大小写字母、数字甚至特殊符号组合。
原则上,这的确符合高强度密码的标准。
为了达到这个标准,用户们可以说是“八仙过海各显神通”。有姓名+生日/纪念日的,有姓名+身份证尾号/手机尾号的,还有用企业邮箱的……
这类密码长度足够,看起来也很复杂,如果对于用户本人比较陌生,想要破解出来还有一定的难度,在这个时候大可以认为密码是真的,能够起到保护系统的作用。
可如果碰到“熟人”的话,情况就未必如此了。
这里“熟人”分为两种情况:
第一种是本身和你很熟,他们熟知你的名字、手机号、生活习惯、兴趣爱好以及你爱人的名字、手机号甚至是恋爱/结婚纪念日等等信息。运气好的话,完全可以通过人工猜测来破解出你的账号密码。
第二种是可能压根和你就不认识,但是通过某些手段搜集到了你的相关信息,从而变得和你“熟悉”了,通常这些人来自职业黑客团伙。比如他们可以利用已经掌握的其他系统的账户信息,对目标系统进行撞库攻击,说不定就能获得部分账户的登录权限;即便不使用撞库攻击,当黑客团伙搜集到足够的员工信息后,也完全可以将可能的密码加入密码词典,对目标系统账户进行暴力破解。
所以,在面对熟人的时候,它依然有着强度不足的问题,被叫做“假密码”也不过分。
于是“薛定谔”的密码就出现了。这种和用户本人强相关的密码,在面对陌生人的时候是“真密码”,而在面对熟人的时候就很有可能是“假密码”,综合起来就是处于“真和假”的叠加状态。
“真密码”实在太难了
打完了假,总得给点真的。
想要被称为“真密码”,至少得符合三个条件:
第一,足够长,比如12位以上;第二,足够复杂,比如包含大小写字母、数字以及特殊符号;第三,没有特殊规律,让人难以琢磨。
比如Uds@dsfg#850,想要破解出来除非烧了高香。
然而,使用这样的密码也太难了,让人非常不情愿使用。否则也不会有不少安全从业者经常抱怨:“明明每次都在整改,怎么总会出现弱密码的风险。”
而且即便所有员工都使用“真密码”,风险也并不会远离,依然有可能泄露。更何况,弱密码也只是属于风险账号的一种,幽灵账号、僵尸账号、提权账号等,它们的隐蔽性更强,危害性同样也不小。
尤其是特权账号,由于权限高能访问很多重要数据,它的风险问题往往最容易被攻击者利用。
这些风险账号屡禁不止的背后,人性的弱点在其中起到了非常重要的作用。内鬼可能是为了经济利益,故意把密码泄露出去,也可能是无意间做了一些高风险的操作。
不过,道理大家都懂,想要真正解决这些风险就太难了。
其一,账号难以全面梳理,做不到心中有数;
其二,弱密码的使用的方便性、记忆的便捷性、管理的统一性说明了由人脑设置和管理密码必会导致弱密码的产生;
其三,特权账号使用流程难闭环、密码记不住,存储不安全;
其四,各个平台规则不一样,密码管理很难统一,实操过程中很容易费时费力没效果。
显然,解决上述四个挑战,做好账号的风险管理,不是靠人力和制度能做好的事情,这就需要奇安信特权账号管理系统(简称PAM)来露两手。
奇安信PAM能够:
结合企业自身组织架构和设备管理信息,提供在线+离线组合的账号扫描方案,找出风险点,让管理者做到心中有数,运筹帷幄;
基于账号台账和动态大屏进行可视化展示,发现风险后可以一键随机改密,让风险账号无所遁形;
基于国密加密存储+设备专属密钥,实现动态授权+全程使用审计+安全监控全流程闭环,做数据金库最安全的大门;
人机+机机账号统一管理,消除“硬编码”,让机器和机器对话。
所以,关于密码打假的事情,还是交给奇安信PAM吧。
作者简介
本期叨主:魏开元
安全圈“首席编剧”,写点小故事还原网络攻防一线的明枪暗箭
以上是关于特权与用户口令管理PAM的业务应用场景的主要内容,如果未能解决你的问题,请参考以下文章