特权与用户口令管理PAM的业务应用场景

Posted 杨治中

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了特权与用户口令管理PAM的业务应用场景相关的知识,希望对你有一定的参考价值。

历年的3·15晚会,“个人隐私”、数据泄露都是热词,今年3·15也不例外。

    软件捆绑、静默下载、广告弹窗,下载一个捆绑六个,打着“免费wifi”、“高速下载”的幌子,各种陷阱防不胜防;

    手机访问一个网站,大数据就泄露个人电话,成为厂家营销工具,骚扰电话不厌其烦;

    儿童手表过度索权,位置、视频、录音等个人隐私无法隐藏。

    其实,还有一样东西,和用户数据安全和个人隐私更加息息相关,应该被重点“打假”。

    它就是数据安全依赖的最基础的技术——密码。

    谈到密码,真是让人爱恨交加,我打赌,你肯定有过这样的崩溃瞬间:

    虽然密码给人增添了一些麻烦,但是,为了安全,舍弃便利也是必要的。

    不过密码也有“真假”之分:“真密码”,极难破解,固若金汤;“假密码”,形同虚设,连三岁小孩都能轻松破解。我们就借3·15的机会,一起来揭穿哪些披着“安全”外衣、实则“门户洞开”的“假密码”。

    又登热搜的“123456”

    近日,受俄乌局势影响,一条2018年的“旧闻”,再次火了起来。

    当时乌克兰记者AlexanderDubinsky披露,乌克兰武装部队的自动控制系统(ACS)“Dnipro”长期使用密码“admin”和“123456”访问服务器。

    对此国内有网友评论:“即便是用于守护我两位数存款的六位银行卡密码,也也敢设置成123456,更不要说它是重要军事目标的访问凭证,而且拥有极高的权限。”

    有分析称,利用该凭证可以自由地访问交换机、路由器、工作站、服务器、语音网关、打印机、扫描仪等,有可能在短短几天时间内,就可以建立所有网络的拓扑结构,并使用这个网络来入侵目标。

    然而这份报道似乎并没有引起当局的重视,在四个月之后,密码依然可以使用。

    这样的密码实在“太假了”

    事实上,这并不是123456第一次被推上热搜!

    根据密码管理器提供商NordPass每年发布的最常用密码Top榜单显示,123456已经连续N年“霸榜”!

    有趣的是,这份榜单不仅仅揭晓了最常用的密码类型,还指出了一项非常关键的数据:位居榜单前列的密码,其破解时间小于1秒。

    至于破解到底有多简单,看看这条新闻就知道了。

    据光明网报道,2020年12月,李某在村里路上捡到一张银行卡,她想着自己同村人设置银行卡密码都比较简单,数字不是888888就是666666、或者123456,就抱着试一试的态度在附近的ATM机查了余额,没想到“一击即中”,只猜了一次就试对了密码,攻击取走了两万余元。

    更何况,职业的黑客团伙往往会使用密码词典这种暴力破解工具,即在密码词典中添加常用的密码,然后利用计算机针对目标账户进行穷举,直到登录成功为止。基于当今的计算速度,破解这种弱密码简直不费吹灰之力。

    众所周知,设置登录密码最重要的作用之一,就是针对访问者的身份进行初步判别。可如果过于简单,那么除了让用户每次登录之前花一秒钟输入这些数字,没有任何意义。

    从这个角度上来看,我们可以大声的对123456这样的弱密码说,你实在是“太假了”,有密码之名,却没有密码之实。

    所以,这样的“假密码”还是改改吧。

    薛定谔的“密码”

    为了帮助用户提升密码强度,很多产品可以说是操碎了心:密码设置长度必须达到12个字符及以上,而且必须包含大小写字母、数字甚至特殊符号组合。

    原则上,这的确符合高强度密码的标准。

    为了达到这个标准,用户们可以说是“八仙过海各显神通”。有姓名+生日/纪念日的,有姓名+身份证尾号/手机尾号的,还有用企业邮箱的……

    这类密码长度足够,看起来也很复杂,如果对于用户本人比较陌生,想要破解出来还有一定的难度,在这个时候大可以认为密码是真的,能够起到保护系统的作用。

    可如果碰到“熟人”的话,情况就未必如此了。

    这里“熟人”分为两种情况:

    第一种是本身和你很熟,他们熟知你的名字、手机号、生活习惯、兴趣爱好以及你爱人的名字、手机号甚至是恋爱/结婚纪念日等等信息。运气好的话,完全可以通过人工猜测来破解出你的账号密码。

    第二种是可能压根和你就不认识,但是通过某些手段搜集到了你的相关信息,从而变得和你“熟悉”了,通常这些人来自职业黑客团伙。比如他们可以利用已经掌握的其他系统的账户信息,对目标系统进行撞库攻击,说不定就能获得部分账户的登录权限;即便不使用撞库攻击,当黑客团伙搜集到足够的员工信息后,也完全可以将可能的密码加入密码词典,对目标系统账户进行暴力破解。

    所以,在面对熟人的时候,它依然有着强度不足的问题,被叫做“假密码”也不过分。

    于是“薛定谔”的密码就出现了。这种和用户本人强相关的密码,在面对陌生人的时候是“真密码”,而在面对熟人的时候就很有可能是“假密码”,综合起来就是处于“真和假”的叠加状态。

    “真密码”实在太难了

    打完了假,总得给点真的。

    想要被称为“真密码”,至少得符合三个条件:

    第一,足够长,比如12位以上;第二,足够复杂,比如包含大小写字母、数字以及特殊符号;第三,没有特殊规律,让人难以琢磨。

    比如Uds@dsfg#850,想要破解出来除非烧了高香。

    然而,使用这样的密码也太难了,让人非常不情愿使用。否则也不会有不少安全从业者经常抱怨:“明明每次都在整改,怎么总会出现弱密码的风险。”

    而且即便所有员工都使用“真密码”,风险也并不会远离,依然有可能泄露。更何况,弱密码也只是属于风险账号的一种,幽灵账号、僵尸账号、提权账号等,它们的隐蔽性更强,危害性同样也不小。

    尤其是特权账号,由于权限高能访问很多重要数据,它的风险问题往往最容易被攻击者利用。

    这些风险账号屡禁不止的背后,人性的弱点在其中起到了非常重要的作用。内鬼可能是为了经济利益,故意把密码泄露出去,也可能是无意间做了一些高风险的操作。

    不过,道理大家都懂,想要真正解决这些风险就太难了。

    其一,账号难以全面梳理,做不到心中有数;

    其二,弱密码的使用的方便性、记忆的便捷性、管理的统一性说明了由人脑设置和管理密码必会导致弱密码的产生;

    其三,特权账号使用流程难闭环、密码记不住,存储不安全;

    其四,各个平台规则不一样,密码管理很难统一,实操过程中很容易费时费力没效果。

    显然,解决上述四个挑战,做好账号的风险管理,不是靠人力和制度能做好的事情,这就需要奇安信特权账号管理系统(简称PAM)来露两手。

    奇安信PAM能够:

    结合企业自身组织架构和设备管理信息,提供在线+离线组合的账号扫描方案,找出风险点,让管理者做到心中有数,运筹帷幄;

    基于账号台账和动态大屏进行可视化展示,发现风险后可以一键随机改密,让风险账号无所遁形;

    基于国密加密存储+设备专属密钥,实现动态授权+全程使用审计+安全监控全流程闭环,做数据金库最安全的大门;

    人机+机机账号统一管理,消除“硬编码”,让机器和机器对话。

    所以,关于密码打假的事情,还是交给奇安信PAM吧。

    作者简介

    本期叨主:魏开元

    安全圈“首席编剧”,写点小故事还原网络攻防一线的明枪暗箭

以上是关于特权与用户口令管理PAM的业务应用场景的主要内容,如果未能解决你的问题,请参考以下文章

系统安全及应用

M25-10

保护特权用户帐户的九个最佳实践

Linux-- Centos7用户切换,PAM和提权

Oracle操作系统认证方式

Linux用户切换与提权