首先我们要了解什么是弱密码,简单来说弱密码就是容易被破解的密码,一般是一些简单的多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名,例如"123456"、"abc123"、"Michael"等。终端设备出厂配置的通用密码等都属于弱密码范畴,例如“root”、“Huawei”等,值得注意的是空口令,也就是没有密码也是属于弱密码的一种。
目前弱密码已然成为威胁系统安全的最主要风险之-。小小的弱密码所引起的蝴蝶效应足以让整个网络和系统安全策略失效,从而全面沦陷。360互联网安全中心于2018年1月23日发布的《2017中国网站安全形势分析报告》中指出,“弱密码问题依然是网站安全最大隐患且依然普遍存在”。在360安服团队参与处理的网站安全应急响应事件中,60%以上都与弱密码有关。包括2017年大规模流行的挖矿木马,其成功攻击的主要原因也是由于网站管理员使用弱密码。
在维基百科中由splashdata发布的2011年. 2017年最常见的25个弱密码,这些密码都是非常容易被猜测的,主要的原因是其没有遵循一定的复杂度原则。
而在我们等级保护测评中,依据团标T-ISEAA001-2021《网络安全等级保护测评高风险判定指引》中也是明确指出了弱密码是风险等级为高的安全隐患。
还要注意的是,对于密码复杂度,很多人有这样的错误认识——“测试环境不重要,使用简单的密码无所谓。”这样的想法是错误的,其中蕴含着巨大的安全风险。例如,在测试环境中可能也部署了与生产环境相同的代码,若这些代码泄露直接导致生产环境中可能存在的问题被黑客察觉和利用。
现如今的现象是大家都知道弱密码不好,那为什么弱密码的使用情况如此频繁呢?原因也很简单,一方面是安全意识薄弱,没有设定一个复杂一点的密码的想法,平时也没有好好保护自己的密码,另一方面是记不住,人的记忆是有限的,太多太复杂的密码单纯的人为记忆是很困难的,这是网络安全防护中的密码保护和人为使用习惯之间相互矛盾的一个地方,如何去平衡这一现象,需要多个方面的因素考量,毕竟,没有最安全的防护措施,只有最适合的安全措施。
此项知识点,是等保测评工作中测评的必查项,一个系统容不容易被入侵,密码的设置是第一关。等保测评在网络安全行业里一个很重要领域,它是由国家政策导向《网络安全法》等多项法律法规要求,网络运营者应当委托国家认可的测评机构对信息系统开展等级保护测评工作,网络安全行业现有的网络安全等级测评认证证书暂时只允许测评机构在职人员考取!而等保测评岗位严重稀缺,很多人想要进入这行,又不具备考取条件。
因此雨笋教育联合方班网安人才教育服务中心开发了《注册网络安全等级测评工程师》认证证书,该证书弥补了市面上没有网络安全等保测评培训认证的空白,想要成为等保测评师可以考取此证。大学生和就业人员都可以考取,分为两个等级。可根据自身基础来选择。雨笋教育负责整体认证课程培训,拥有专业的等保讲师团队作为认证课程研发团队,且项目经验丰富,欢迎咨询。返回搜狐,查看更多
责任编辑: