企业如何告别弱密码?
破解密码是获取Active Directory中用户帐户权限的最简单方法。多年来,黑客一直能够轻松地破解Microsoft Active Directory用户的密码。
大多数密码破解工具使用相同的逻辑作为获取密码的基础。首先,攻击者必须获取密码哈希。密码 哈希是一种数学算法,用于将密码转换为字母数字字符串,而字母数字字符串不能恢复为密码。此哈希是由操作系统生成的。哈希存储在Active Directory数据库中,当用户登录时,也存储在客户端计算机上的安全数据库中。当用户获得对整个网络资源的访问权限时,需要哈希对用户进行身份验证。
攻击者可以从Active Directory数据库、本地客户端计算机或身份验证数据包获取哈希。其次,选择一组字符,从中计算散列。这组字符可以从字典中选择,也可以通过指定参数(如字符、最小密码长度和最大密码长度)来选择。最后,将第一步得到的散列与第二步生成的散列进行比较。如果散列匹配,则密码称为生成匹配散列的字符集。
近年来攻击类型主要有以下几种:
字典攻击
字典攻击将字典文件中的一组单词列表作为黑客攻击的基础。黑客词典通常使用普通语言词典和使用字符替换的附加词。
暴力攻击
暴力攻击使用一个逻辑字符序列来开发散列,然后将其与获得的密码散列进行比较。暴力攻击不是使用字典攻击之类的单词列表,而是使用每个可能的字符组合,并使用指定长度的字符。
彩虹表攻击
彩虹表攻击不是每次都花时间生成相同的散列, 而是缓存散列。现在,不需要花时间来开发散列,只需将散列表与捕获的散列进行简单的比较。
了解这些模式后,攻击者可以利用这些模式进行攻击,从而减少破解密码所需的时间。
密码策略
操作系统的密码策略包含用户在创建密码时必须遵守的控件。例如,密码必须具有最小字符数和最大字符数。密码策略的组成应有助于防御已知的密码攻击以及其散列的漏洞。
大多数密码策略解决方案和实现没有足够的控制来防止已知密码攻击,原因通常是终端用户的限制。 长、强、复杂的密码不是大多数用户每天都愿意和能够处理的。作为一种妥协,公司允许用户输入短的、弱的和有些复杂的密码。这些密码通常很容易破解。
- ADSelfService Plus旨在防止最新的密码攻击,并使用您当前的Active Directory OU设计来实施。ADSelfService Plus对Microsoft密码策略解决方案进行了增强,允许在单个Active Directory域中增强不同的密码策略。密码策略增强功能可与Windows密码策略设置无缝配合使用,从而增强您所必需的密码部分。以下是ADSelfService Plus有关Active Directory用户密码的功能:
- 单个域中不同的密码策略增强功能
- 提供通过OU中的组成员身份或用户位置实施
- 可以导入词典来否定这些单词作为密码的使用
- 密码模式控制(增量、省略特殊字符、回文等)
- 密码策略通过ADSelfService Plus的Web门户和移动应用程序实施
- 密码策略通过Ctrl+Alt+DEL更改密码屏幕强制执行
ManageEngine ADSelfService Plus中的密码模式控件为用户提供安全性,防止使用常见的密码模式,从而防止常见的密码攻击。能够在单个域中通过用户组成员或OU分发多个密码策略。还具备防止字典和密码模式攻击的控制功能,以帮助减少针对弱密码的攻击。ADSelfService Plus是一款针对任何Active Directory的易于实施、易于配置、易于管理的安全解决方案。