浅谈互联网中弱口令的危害

发布时间：2013-07-14 02:00:07作者：知识屋

0x00 什么是弱口令

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。
弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的互联网账号受到他人控制，因此不推荐用户使用。
0x01 为什么会产生弱口令

这个应该是与个人习惯相关与意识相关，为了避免忘记密码，使用一个非常容易记住的密码，或者是直接采用系统的默认密码等。
相关的安全意识不够，总认为不会有人会猜到我这个弱口令的。
0x02 弱口令的危害

在当今很多地方以用户名(帐号)和口令作为鉴权的世界，口令的重要性就可想而知了。
口令就相当于进入家门的钥匙，当他人有一把可以进入你家的钥匙，想想你的安全、你的财物、你的隐私。
因为弱口令很容易被他人猜到或破解，所以如果你使用弱口令，就像把家门钥匙放在家门口的垫子下面，是非常危险的。
那么互联网上到底存在多少弱口令或默认密码呢？
截止到写此文章开始，乌云提交平台上弱口令相关漏洞已经多达778个，除了泄露数据以外，其中不少可以利用弱口令而获取服务器权限。

这里上报的漏洞，大部分仅仅是后台管理，运维服务器等弱口令。
那么网民的个人账号呢？
从11年CSDN明文密码泄露后，相继几个大互联网企业用户数据泄露。
由于非常多的网民互联网上账号密码通用，导致一家数据泄露，网民在互联网上的其他账号也受到牵连。
作者认为你的密码在表面上不是弱口令，但是已经被其他人获知，也可归属为弱口令范围了。
再看一下乌云上的案例：
WooYun: 豆瓣网帐号暴力破解漏洞，测试1万，成功391个
WooYun: 猫扑验证码设计缺陷，扫号10万，成功破解782个
WooYun: 1号店暴力破解，测试1万帐号，成功破解125个
看完你应该知道，事情过了这么久，在多家互联网厂商通知用户修改密码的情况下，仍然有很多用户没有修改常用密码。
0x03 解决办法
针对后台或者网络管理员的弱口令比较好解决，强制对所有的管理系统账号密码强度必须达到一定的级别。

不可在使用简单的admin、123456等弱密码了。附赠一个常用密码的列表，供各位自行搜索自己常用的弱口令是否在里面（禁止用作非法用途）。
弱口令top100：
123456789a123456123456a1234567891234567890woaini1314qq123456abc123456123456a123456789a147258369zxcvbnm98765432112345678910abc123qq123456789123456789.7708801314520woaini5201314520q123456123456abc1233211234567123123123123456.0123456789asd123456aa123456135792468q123456789abcd12345612345678900woaini520woaini123zxcvbnm1231111111111111111w123456aini1314abc123456789111111woaini521qwertyuiop13145205201234567891qwe123456asd12300000014725836901357924680789456123123456789abcz1234561234567899aaa123456abcd1234www123456123456789q123abcqwe123w1234567897894561230123456qqzxc123456123456789qq111111111111111111100000000000000001234567891234567qazwsxedcqwerty123456..zxc123asdfghjkl00000000001234554321123456q123456aa9876543210110120119qaz123456qq52013141236987455201314000000000as1234561231235841314520z12345678952013145201314a123123caonimaa5201314wang123456abcd123123456789..woaini1314520123456asdaa123456789741852963a12345678[/pre]而针对泄露的数据库，导致网民通用的互联网账号都被盗的情况，除了教导网民修改常用密码，网站密码尽量不通用之外。
互联网企业也可做一些技术上的限制，防止批量验证账号的行为。
例如统一登录接口，频繁登陆错误触发验证码，单位时间内验证的过多封杀ip等等多个维度做限制。
相信很多互联网企业安全人员已经与批量撞号来获取用户价值的人搏斗很久了:) 加油~！

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）