弱口令問題一直是企業安全管理的痛點,一旦企業用戶的賬號密碼泄露或被破解,將導致大量的內部信息泄露。
假設一個場景:一家大型企業使用AD域架構實現用戶賬號管理。面對大量的域用戶弱口令問題,如何通過技術手段來實現弱口令安全治理呢,這個就是我們今天探討的話題。
01、安全場景分析
比較常見的用戶密碼登錄場景如下:
業務系統:門戶、郵箱、OA等核心應用
網絡接入:准入、VPN、虛擬桌面等
運維管理:服務器、堡壘機、網絡/安全等設備02、安全問題描述
(1)為了便於記憶設置弱口令,用戶賬號容易遭受暴力破解、郵件釣魚等攻擊。
(2)大部分系統都采取獨立的用戶管理體系,用戶管理難。
(3)集權類系統會成為攻擊者的主要目標,需加強身份驗證。
03、密碼策略分析
域控密碼策略:強制密碼歷史、密碼最短使用期限、密碼最長使用期限,密碼長度最小值,密碼復雜性要求
缺點:無法靈活定制域密碼策略,容易存在企業特色弱口令。
應對策略:加強域密碼策略,比如弱密碼黑名單、關鍵詞過濾、不能連續字符或相同字符連續3位以上。Web密碼策略:密碼復雜度、驗證碼、登錄失敗處理策略、密碼過期策略、短信驗證碼驗證等。
缺點:每個應用系統維護一套密碼策略管理,系統開發成本較高。
應對:建立統一認證平台。04、安全解決方案
強密碼策略插件(域控制器):基於微軟標准的Password Filters功能開發,對於域控各種修改密碼途徑都能有效控制,提供更加靈活的域用戶密碼策略配置。
統一身份認證(IAM):集中賬號管理,統一用戶密碼策略,應用系統單點登錄。
多因素身份驗證 (MFA):使用多重身份驗證機制加強訪問控制,從而提高用戶密碼安全等級。
思維導圖如下:
