发现：弱密码策略 - 黑山信息安全公司

弱密码策略的发现

弱密码策略的发现通常在测试中指示以下两种条件之一：

密码强度在我们测试的大多数组织中都是一个严重争议的话题。信息安全人员希望保护组织，而必须开展业务以维持组织运营的人员之间存在着持续的斗争。

作为IT和安全人员，当我们要求员工创建复杂密码时，通常最终会得到类似以下的结果。正如预期的那样，我们也会得到类似的回应。

制定这样的密码策略很少会奏效，因为用户会找到创建符合策略的弱密码的方法。例如，一个要求大写字符、小写字符、数字和符号，且长度必须为八个字符的密码策略。我们常见的一些弱密码包括：

这远非详尽无遗，因为我们经常发现公司名称、口号和其他地区特定的根词表现出相同的模式。

用户选择这些密码是因为它们易于记忆、易于创建，并且符合策略。下面的XKCD漫画说明了这个问题。

攻击者经常进行密码猜测攻击，如密码喷洒，以试图扩大他们对环境中其他用户的访问权限。拥有易猜测的密码使这种扩展成为可能。

除了猜测密码的能力外，攻击者通常还有机会破解环境中的密码。当攻击者进行密码破解时，他们通常需要密码哈希来破解。

通常，哈希可以在没有任何特殊权限的情况下在环境中获取。滥用Kerberos、链路本地多播名称解析和NetBIOS名称服务等协议是典型的攻击向量。然而，它们并非唯一。共享权限的粗心应用也可能暴露包含哈希的备份文件。

如果密码很短，那么攻击者通常具有优势。例如，BHIS专用的密码破解器可以在几小时内穷尽整个8字符密码密钥空间，破解NTLM哈希。

因此，BHIS敦促客户考虑一个专注于长度而非字符集复杂性的密码策略。我们建议以下内容：

密码的长度对攻击者在合理时间内（在您下次更改密码之前）使用暴力技术破解该密码的能力有更大的影响。另一幅XKCD漫画说明了这一概念。

拥有强密码策略可以防止攻击者猜测弱密码和破解通过各种方式收集的哈希。除了加强密码策略外，还应采取措施最小化或消除帮助攻击者收集哈希的机会。

此外，应鼓励用户不要跨多个账户重复使用密码。当这些账户在不同权限级别运行时尤其如此。获得单个账户访问权限的攻击者可能会突然发现对许多资源的即时访问。如果用户维护大量密码并且难以记住它们，组织应考虑使用信誉良好的密码管理器应用程序。

应仔细设计提升权限凭据的使用位置和方式。使用Mimikatz等工具进行内存分析可以揭示某些系统上任何复杂度的明文凭据。如果可能，应对这些系统采取保护措施（如凭据保护）以防止泄露。为了最终保护，管理员应在仅用于管理的工作站上操作，这些工作站缺乏互联网浏览和电子邮件功能。

最后，对于特别敏感的系统（如域控制器）和授予对内部资源（如电子邮件和VPN）访问权限的面向互联网的登录界面，应实施多因素认证。在内部系统上，该技术应可用于交互式（控制台登录、远程桌面协议等）和非交互式会话（enter-pssession、psexec等）。

强密码策略应成为您安全计划的基石之一。用户不断受到社会工程、网络钓鱼和路过式下载等向量的攻击。没有强密码策略，仅其中一次攻击的成功就可能导致环境的系统性妥协。