随着企业信息化进程不断深入，企业的业务系统变得越来越多，帐号弱口令问题变得日益突出起来。早期名为“Deloder”的蠕虫病毒利用操作系统的弱口令进行传播，从而引起了互联网通信的阻塞。该病毒使用了只有86个口令的列表，入侵了多达10万台运行微软操作系统的计算机。这次攻击表明，在IT系统的防护中使用弱口令，隐藏着巨大的安全隐患。2006年爆发的熊猫烧香病毒能感染系统中exe、com、src、html、asp等文件，还能终止大量的反病毒软件进程且导致数据丢失、系统和网络充斥着异常包。其病毒就是依靠内置100行的密码字典，对互联的系统进行口令破解，通过感染弱口令主机进行传播的。再如2014年12月发生了全球互联网范围的DNS流量异常事件，后经证实是家庭网关、路由器、智能摄像头等设备因普遍存在的默认口令(均为弱口令)极易被木马程序变成肉鸡，成为恶意攻击者发起攻击的工具如果弱口令被内部或外部攻击者有效地利用，那么企业的系统将面临巨大的安全风险。因此检查系统中的弱口令，对弱口令进行整改就成为整个安全体系建设中的重要环节。

针对客户对于口令监管和核查的需求，启明星辰公司研发了弱口令核查系统，用于核查设备中的帐号口令强度是否符合要求，实现系统、业务口令的常态化检查，不影响业务系统正常运行，以在线或者离线获取各设备口令文件，后台集中核查，支持核查各类在网主机、数据库、中间件、业务系统（需定制开发）的弱口令，可全面掌控在网设备口令情况。
弱口令核查系统由探针、破解引擎和管理中心组成，通过分布部署探针支持多个网络接入，支持分布式弱口令破解分析。
弱口令核查系统通过第三方软件（如4A）获取资源、帐号、密码信息，或通过手动方式在系统中录入资源、帐号、密码信息。弱口令核查时系统自动登录设备将密码文件采集过来，通过字典库进行弱口令比对分析，最后展现弱口令数量、分布和趋势。弱口令核查系统采用B/S架构，包括基础配置管理模块、弱口令配置管理模块、探针模块、破解模块和接口模块。

弱口令管理：设置稽核相关配置，包括字典、弱口令规则、脚本、加密算法、报表等内容。
平台组件管理：查看和掌握各组件的运行情况，展示各组件及其日志等详细情况。
业务系统管理：增删改用户的业务系统；在业务系统下面创建不同的资源。
角色管理：指定用户管理哪些组织机构；用户分配相应的功能权限（即菜单操作权限）；给用户分配相应的业务系统资源的权限。
资源管理：可以对用户的IT资产进行增删改、查询、导入导出等操作；能识别的IT资产包括常用的主机系统、数据库、中间件。
用户管理：对系统用户进行增删改、授权、锁定解锁、导入导出等操作，设置口令策略及认证方式。
组织机构管理：建立分级的组织机构并关联用户。可按需进行增删改、导入导出等操作。
基础配置：主要包括组织机构管理、资源管理、角色管理、业务系统管理、平台组件管理、日志查询等功能。

某省电力弱口令核查系统试用总结

近期我公司弱口令核查系统在XXX省电力进行了试用和测试，凭借产品无损伤的破解和动态口令字典技术，取得非常好的测试效果，平均单个资产扫描时间为8秒，解决传统扫描工具锁定账号、口令字典差无法有效发现系统弱口令，人工核查慢的问题。

本次测试选取50多个业务系统的主机、数据库、中间件，共80多个资源共发现140多个账号存在弱口令。30%的系统存在弱口令。
通过本次弱口令核查系统试用一方面有解决用户弱口令问题，提升用户基础安全防护能力。另一方面，提升我公司驻场运维人员的服务能力、服务效果和用户的安全感知。

一、 系统部署方案

本次弱口令核查系统部署在XXX省公司信息内网，对内网的主机、数据库、中间件采用在线扫描方式进行核查，对于外网的资源采用离线文件导入的方式进行检查。

 

 

二、 弱口令核查效果
本次测试根据用户提供的资源针对linux主机、oracle数据库、中间件进行了测试。
1、 Linux主机弱口令核查

 

注：对检查的弱口令进行了模糊化
2、 UNIX主机弱口令核查 

 

注：对检查的弱口令进行了模糊化
3、 数据库Oracle弱口令核查
 

注：对检查的弱口令进行了模糊化，发现部分账号在密码是用户名和简单数字的结合。同时系统存在大量的空口令。
4、 中间件弱口令核查
 

未发现中间件存在弱口令。

弱口令核查系统在某省联通应用案例

【项目背景】
由于业务发展需要，某省联通公司业务系统不断增多，随之带来的是大量的帐号口令，工作人员为了便于记忆，常常把部分口令设置相同或者过于简单，极大的增加了弱口令带来的风险。该联通公司为了应对集团检查常常需要采用多种方式检查弱口令，人工统计资产弱口令并通知整改，核查工作规模庞大费时费力，最终也未能达到理想的整改效果，并且工作人员往往在检查后会再次把口令修改回来，留下巨大的安全隐患。
【解决方案】
联通公司需要一款弱口令核查工具，满足集团口令规范要求，实现弱口令的常态化检查，提高弱口令的检查效率，降低弱口令造成的安全风险，通过多方面的调研和对比，最终选择我司弱口令核查系统。

 

 

 在联通公司网络中部署一套弱口令核查系统，通过在线获取或者离线导入密码文件，再以破解服务器进行加密算法分析，和客户自定义的弱口令字典比对，统一展现弱口令核查结果，核查弱口令采用分析算法的方式实现，既不影响网络和系统，也不会造成系统帐号锁定，并且检查效率高速度快。
在本案例中，只需一台服务器同时部署管理服务器、密码文件获取组件、破解服务组件，即可实现承载业务系统的主机、数据库、中间件的弱口令核查任务。如果执行在线弱口令核查任务只需保证被检查的设备到弱口令核查系统的网络联通性，离线任务直接通过导入密码文件实现。
【项目成果】
通过使用我司弱口令查系统，检查出了大量弱口令，其中大部分在未使用弱口令核查系统前未能成功检查出，进行第一次弱口令核查任务时，仅在BSS系统中就检测出800多个弱口令，且单个资源有多个帐号的情况下检查速度能达到8秒以内。
弱口令核查系统的最终收益如下：
1. 实现大规模口令的常态化检查；
2. 提升弱口令核查能力和效率；
3. 防止系统被锁定、安全设备的异常告警；
4. 降低系统被攻击的风险，提升安全性；
5. 满足规范要求，对弱口令帐号进行核查。
【推广价值】
近年来口令被轻易猜测出造成信息泄露的事件屡见不鲜，各行各业都越来越重视弱口令带来的风险，包括运行商、电力、烟草、金融等行业均出台了相关规范要求进行弱口令的整治。在确保不影响业务的情况下，要有效全面地对弱口令进行核查，需要合适的工具支撑，我司的弱口令核查系统较好地满足了客户这一需求。