攻防演練開始之前，L公司信心滿滿。

他們早早地梳理好了內(nèi)網(wǎng)資產(chǎn)，關(guān)停了大量非必要的服務(wù)、端口，收斂了互聯(lián)網(wǎng)暴露面。他們掃描、修補(bǔ)了設(shè)備和應(yīng)用的安全漏洞，進(jìn)行了系統(tǒng)加固。他們部署了監(jiān)控和響應(yīng)工具，做了詳盡的應(yīng)急預(yù)案。他們做了好幾輪滲透測試，驗(yàn)證工具鏈的兼容性和監(jiān)控有效性……

演練一開始，IT運(yùn)維大佬、供應(yīng)商技術(shù)大神、安全服務(wù)專家組成的“技術(shù)天團(tuán)”嚴(yán)陣以待，隨時準(zhǔn)備堵漏洞、審日志、封IP，甚至拔網(wǎng)線。

讓人無語的是，攻防演練開始不到24小時，紅隊(duì)（攻擊方）就擊穿了L公司的內(nèi)網(wǎng)。更讓人無語的是，紅方根本沒用什么高級的攻擊手段，只是掃描到了一臺堡壘機(jī)，直接猜出了用戶名是該單位名稱的縮寫，密碼是堡壘機(jī)默認(rèn)的密碼，然后通過堡壘機(jī)接管了大量設(shè)備的運(yùn)維權(quán)限。

面對這個結(jié)果，L公司的防守團(tuán)隊(duì)大眼瞪小眼，每個人的臉上都寫著——這該死的弱口令，為什么就除不盡？

弱口令，人性的“0day漏洞”

弱口令，是網(wǎng)絡(luò)安全中的老大難問題，因?yàn)槿蹩诹顚?dǎo)致的重大網(wǎng)絡(luò)安全事件屢見不鮮。在攻防演練中，利用弱口令進(jìn)行攻擊是紅隊(duì)最常用的攻擊手段之一，在所有攻擊中占比近30%，僅次于0day漏洞。

對于防守方而言，因?yàn)?day漏洞被攻破和因?yàn)槿蹩诹畋还テ剖墙厝徊煌捏w驗(yàn)。因?yàn)?day漏洞被攻破后，防守方只會覺得不是我方不努力，奈何紅隊(duì)開高達(dá)。但是換成因弱口令失分，防守方則會覺得員工安全意識弱，設(shè)置密碼太隨意，一個密碼反復(fù)用，陰溝里翻船好無奈。

但是，弱口令能成為網(wǎng)絡(luò)安全的頑疾，絕不僅僅是因?yàn)閱T工安全意識弱這么簡單。想要根治弱口令，也絕非強(qiáng)迫所有員工改密碼就能成功。我們不妨試著還原弱口令誕生的過程，看看弱口令為何難以根治：

軟件開發(fā)商：軟件的初始密碼用我們品牌的全拼，反正客戶肯定會改。（默認(rèn)密碼設(shè)置過于簡單。）

員工A：這是第多少個業(yè)務(wù)應(yīng)用了？再單獨(dú)設(shè)一個密碼實(shí)在記不住，就和郵箱用同一個密碼吧。（為了便于記憶，同一密碼重復(fù)使用。）

員工B：不改，懶。（因?yàn)橥祽胁辉父某跏济艽a。）

員工C：改成名字的拼音+123，敲著方便。（為了便于記憶設(shè)置簡單的密碼。）

管理員A：密碼改不改無所謂，反正管理后臺只有我一個人登錄，密碼只有我一個人知道。（因?yàn)閮e幸心理不修改密碼。）

毫不夸張的說，每一個弱口令背后，都是一個人性的漏洞。正因如此，各種消除弱口令的措施（如限制密碼長度，要求密碼包含多種字符，強(qiáng)制定期改密等）只能治標(biāo)，不能治本。因?yàn)檫@些措施必然使員工的操作更加繁瑣，員工自然不愛買賬，弱口令也就如小強(qiáng)一般頑強(qiáng)，總能在攻防演練時給防守方帶來“驚喜”。

芯盾時代IAM，助力企業(yè)消滅弱口令

想要徹底消滅弱口令，先要堵上人性的漏洞，既要降低認(rèn)證的復(fù)雜度和頻率，讓員工在登錄各種業(yè)務(wù)系統(tǒng)時少輸密碼，甚至不輸密碼，還要提升密碼的強(qiáng)度，讓黑客難以破解密碼。

想要實(shí)現(xiàn)這一目標(biāo)，將用戶的“所知（我知道的你不知道）、所持（我持有的東西你沒有）、所有（我的特征你沒有）”作為認(rèn)證因子，實(shí)施多因素認(rèn)證，是最佳選擇。

芯盾時代用戶身份和訪問管理平臺（IAM），基于零信任理念打造，采用增強(qiáng)型身份認(rèn)證技術(shù)、連續(xù)自適應(yīng)風(fēng)險(xiǎn)信任評估等自主研發(fā)的技術(shù)，幫助企業(yè)構(gòu)建新型身份信息管理體系，實(shí)現(xiàn)對身份信息、身份認(rèn)證、訪問權(quán)限、訪問日志的統(tǒng)一管理，一站式實(shí)施全局多因素認(rèn)證，讓身份認(rèn)證更安全、更便捷，徹底消除弱口令。

借助芯盾時代IAM，企業(yè)能夠一站式實(shí)現(xiàn)以下功能：

1.創(chuàng)建唯一身份，權(quán)限、審計(jì)統(tǒng)一管理

整合企業(yè)零散的組織用戶數(shù)據(jù)，創(chuàng)建唯一用戶身份標(biāo)記，形成權(quán)威的組織用戶體系，建立自動化流轉(zhuǎn)的用戶全生命周期管理機(jī)制，讓員工使用一個賬號登錄多個業(yè)務(wù)應(yīng)用，減少需要記錄、使用的密碼數(shù)量，實(shí)現(xiàn)“一個身份，訪問全網(wǎng)”。

統(tǒng)一員工身份后，運(yùn)維人員能夠統(tǒng)一設(shè)置多個應(yīng)用的訪問權(quán)限，統(tǒng)一審計(jì)多個應(yīng)用的訪問日志，大幅減少運(yùn)維量，提升工作效率。

2.統(tǒng)一認(rèn)證管理，安全與體驗(yàn)雙優(yōu)

為企業(yè)建設(shè)應(yīng)用門戶，統(tǒng)一業(yè)務(wù)應(yīng)用的登錄入口，并借助單點(diǎn)登錄功能，讓員工只需認(rèn)證一次，就能登錄所有權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用，減少員工認(rèn)證的次數(shù)，實(shí)現(xiàn)“一次認(rèn)證，全網(wǎng)通行”。

為企業(yè)建立移動認(rèn)證App，結(jié)合員工所知、所持、所有進(jìn)行多因素身份認(rèn)證，提供密碼、App掃碼、短信驗(yàn)證碼、動態(tài)口令、指紋識別、人臉識別等多種認(rèn)證方式，讓員工在進(jìn)行身份認(rèn)證時少輸密碼、甚至不輸密碼，兼顧企業(yè)網(wǎng)絡(luò)安全與員工操作便利。

3.自研底層技術(shù)，保障認(rèn)證安全

為了讓身份認(rèn)證更加安全，芯盾時代自主研發(fā)了移動認(rèn)證技術(shù)，通過對智能手機(jī)的唯一性識別，證書的安全生成、存儲、調(diào)用，以及手機(jī)安全環(huán)境的檢測，將智能手機(jī)打造成移動U盾，為身份認(rèn)證營造安全的終端環(huán)境。

芯盾時代研發(fā)了智能終端密碼模塊，基于傳統(tǒng)證書認(rèn)證方式，結(jié)合分割密鑰、設(shè)備指紋、白盒算法、環(huán)境清場等技術(shù)，為身份信息的安全存儲提供了底層支持，保證員工身份信息更安全地傳輸、存儲，即使員工信息被劫持、被泄露也難以被破譯和篡改。

有了芯盾時代用戶身份和訪問管理平臺（IAM），企業(yè)既能提升身份認(rèn)證的安全性，又能簡化員工的操作體驗(yàn)；既能簡化管理、運(yùn)維工作，又能讓員工心甘情愿告別弱口令。在攻防演練中，再也不會在弱口令這條“陰溝”里翻船~