基本定義
弱口令(weak password)沒有嚴格和准確的定義,通常認為容易被別人猜測到或被破解工具破解的口令均為弱口令。
弱口令指的是僅包含簡單數字和字母的口令。
例如“123”、“abc”等,因為這樣的口令很容易被別人破解,從而使用戶的互聯網賬號受到他人控制,因此不推薦用戶使用
產生的原因
這個應該是與個人習慣相關與意識相關,為了避免忘記密碼,使用一個非常容易記住的密碼,或者是直接采用系統的默認密碼等。
相關的安全意識不夠,總認為不會有人會猜到我這個弱口令的。
危害
通過系統弱口令,可被黑客直接獲得系統控制權限。
通用的解決辦法
強制對所有的管理系統賬號密碼強度必須達到一定的級別。
不可在使用簡單的admin、123456等弱密碼。
修改密碼為復雜密碼並加密保存,建議密碼包含大小寫字母,數據和特殊符號,密碼長度不低於八位。
網站若存在數據泄漏漏洞(如sql注入漏洞),務必修復漏洞。
密碼通常遵循以下原則:
(1)不使用空口令或系統缺省的口令,這些口令眾所周之,為典型的弱口令。
(2)口令長度不小於8 個字符。
(3)口令不應該為連續的某個字符(例如:AAAAAAAA)或重復某些字符的組合(例如:tzf.tzf.)。
(4)口令應該為以下四類字符的組合,大寫字母(A-Z)、小寫字母(a-z)、數字(0-9)和特殊字符。每類字符至少包含一個。如果某類字符只包含一個,那么該字符不應為首字符或尾字符。
(5)口令中不應包含本人、父母、子女和配偶的姓名和出生日期、紀念日期、登錄名、E-mail 地址等等與本人有關的信息,以及字典中的單詞。
(6)口令不應該為用數字或符號代替某些字母的單詞。
(7)口令應該易記且可以快速輸入,防止他人從你身后很容易看到你的輸入。
(8)至少90 天內更換一次口令,防止未被發現的入侵者繼續使用該口令。
以上內容參考與: