发现：弱密码策略 - Black Hills信息安全公司

弱密码策略的发现通常在测试中指示以下两种状况之一：

密码强度在我们测试的大多数组织内是一个存在严重争议的话题。想要保护组织的信息安全人员与必须开展业务以维持组织生存的人员之间持续存在斗争。

作为IT和安全人员，当我们要求员工创建复杂密码时，最终通常会得到类似以下内容。正如预期，我们也会得到类似的回应。

易于猜测的密码

制定这样的密码策略很少会有效，因为用户会找到创建符合已实施策略的弱密码的方法。以要求大写字符、小写字符、数字和符号且长度必须为八个字符的密码策略为例。我们常见的一些弱密码包括：

这远非详尽列表，因为我们经常发现公司名称、口号和其他地区特定的根词表现出相同的模式。

用户选择这些密码是因为它们易于记忆、易于创建且符合策略。以下XKCD漫画说明了这个问题。

攻击者经常进行密码猜测攻击，如密码喷洒，以尝试扩大对环境其他用户的访问权限。拥有易于猜测的密码使这种扩展成为可能。

除了猜测密码的能力外，攻击者通常还有机会破解环境中的密码。当攻击者进行密码破解时，通常需要密码哈希来破解。

通常，哈希可以在没有任何特殊权限的情况下在环境中获取。滥用Kerberos、链路本地多播名称解析和NetBIOS名称服务等协议是典型的攻击向量。然而，它们并非唯一。共享权限的粗心应用也可能暴露包含哈希的备份文件。

如果密码很短，攻击者通常具有优势。例如，BHIS专用密码破解器可以在几小时内穷尽整个8字符密码密钥空间，破解NTLM哈希。

因此，BHIS敦促客户考虑专注于长度而非字符集复杂性的密码策略。我们建议以下内容：

密码的长度对攻击者在合理时间内（在下次密码更改之前）使用暴力技术破解该密码的能力有更大影响。另一幅XKCD漫画说明了这一概念。

拥有强大的密码策略可以防止攻击者猜测弱密码和破解通过各种方式收集的哈希。除了加强密码策略外，还应采取措施最小化或消除帮助攻击者收集哈希的机会。

此外，应鼓励用户不要在多个账户之间重复使用密码。当这些账户在不同权限级别运行时尤其如此。获得单个账户访问权限的攻击者可能会突然发现即时访问许多资源。如果用户维护大量密码且难以记住，组织应考虑使用信誉良好的密码管理器应用程序。

应仔细设计提升权限凭证的使用位置和方式。使用Mimikatz等工具进行内存分析可以揭示某些系统上任何复杂度的明文凭证。如果可能，应对这些系统采取保护措施（如凭据保护）以防止泄露。为了最终保护，管理员应在缺乏互联网浏览和电子邮件功能的仅管理工作站上操作。

最后，对于特别敏感的系统（如域控制器）和授予访问内部资源（如电子邮件和VPN）的面向互联网的登录界面，应实施多因素认证。在内部系统上，该技术应可用于交互式（控制台登录、远程桌面协议等）和非交互式会话（enter-pssession、psexec等）。

强大的密码策略应成为安全计划的基石之一。用户不断受到使用社会工程、网络钓鱼和路过式下载等向量的攻击。没有强大的密码策略，这些攻击中只要有一次成功就可能导致环境的系统性泄露。