发现：弱密码策略 - Black Hills Information Security, Inc.

作者：David Fletcher
分类：发现，信息类
关键词：弱密码、密码、密码策略、密码强度

弱密码策略的发现

弱密码策略的发现通常在测试中指示以下两种情形之一：

密码强度在我们测试的大多数组织中是一个争议激烈的话题。信息安全人员希望保护组织，而业务人员则需要维持业务运转，这两者之间存在持续的斗争。

作为IT和安全人员，当我们要求员工创建复杂密码时，通常最终会得到类似以下的结果。不出所料，我们也会收到类似的回应。

制定这样的密码策略很少会奏效，因为用户会找出创建符合策略的弱密码的方法。例如，一个要求大写字母、小写字母、数字和符号，且长度必须为八位的密码策略。我们常见的一些弱密码包括：

这还远非全部，因为我们经常发现公司名称、口号和其他地区特定的根词也呈现相同的模式。

用户选择这些密码是因为它们易于记忆、易于创建，并且符合策略。下面的XKCD漫画说明了这个问题。

攻击者经常进行密码猜解攻击，如密码喷洒，以试图扩大他们对环境中其他用户的访问权限。拥有易于猜解的密码使得这种扩展成为可能。

除了猜解密码的能力外，攻击者通常还有机会破解环境中的密码。当攻击者进行密码破解时，他们通常需要密码哈希来破解。

通常，哈希可以在没有任何特殊权限的情况下在环境中获取。滥用Kerberos、链路本地多播名称解析（LLMNR）和NetBIOS名称服务（NBNS）等协议是典型的攻击向量。然而，它们并非唯一。共享权限的 careless 应用也可能暴露包含哈希的备份文件。

如果密码很短，那么攻击者通常具有优势。例如，BHIS专用的密码破解器可以在几小时内穷尽整个8字符密码的密钥空间，破解NTLM哈希。

因此，BHIS敦促客户考虑一个侧重于长度而非字符集复杂性的密码策略。我们建议以下内容：

密码的长度对攻击者在合理时间内（在您下次更改密码之前）使用暴力技术破解该密码的能力具有更大的影响。另一张XKCD漫画说明了这一概念。

拥有强密码策略可以防止攻击者猜解弱密码和破解通过各种方式收集的哈希。除了加强密码策略外，还应采取措施最小化或消除有助于攻击者收集哈希的机会。

此外，应鼓励用户不要在多个账户之间重复使用密码。当这些账户在不同权限级别运行时尤其如此。获得单个账户访问权限的攻击者可能会突然发现可以访问许多资源。如果用户维护大量密码并且难以记住它们，组织应考虑使用信誉良好的密码管理器应用程序。

应仔细设计提升权限凭据的使用位置和方式。使用Mimikatz等工具进行内存分析可以揭示某些系统上任何复杂度的明文凭据。如果可能，应在这些系统上放置保护措施（如Credential Guard）以防止泄露。为了获得终极保护，管理员应在仅用于管理的工作站上操作，这些工作站缺乏互联网浏览和电子邮件功能。

最后，对于特别敏感的系统（如域控制器）和授予访问内部资源（如电子邮件和VPN）的面向互联网的登录界面，应实施多因素认证。在内部系统上，该技术应可用于交互式（控制台登录、远程桌面协议等）和非交互式会话（enter-pssession、psexec等）。

强密码策略应成为您安全计划的基石之一。用户不断受到社会工程、网络钓鱼和路过式下载等向量的攻击。没有强密码策略，这些攻击中只要有一个成功就可能导致环境的系统性妥协。