如何跟上密码攻击的变化趋势?
自21世纪初以来,微软ActiveDirectory(AD)及其相关应用程序在IT管理中发挥了至关重要的作用。如今,企业依旧强烈地依赖AD来管理其IT环境中的身份。尽管技术在进步,但AD的密码策略十年来一直没有改变。因此,当今的IT管 理员不得不寻找方法来规避该策略中的弱点。
一、为什么微软的AD密码策略不再是可行的选择?
1、该密码策略遵循“一刀切”的原则。IT管理员发现为域中不同组或组织单位用户设置不同的密码策略是非常困难的。
2、该密码策略未能限制常见密码模式的使用,如 asdf、1234和 qwerty,以及增量密码如password1、 password2和 password3。
3、该密码策略不能阻止用户使用字典词或将用户名作为密码。
二、常见的密码攻击方式
81%的黑客入侵都是由于密码被盗或者密码过于简单。随着黑客的不断进化,除了应用技术来避免网络危害之外,个人意识也发挥着重要作用。当一个企业的密码泄露时,该企业会付出巨额罚款和负面宣传的双重代价。为了帮助提高人们密码保护的意识,此篇文章讨论了黑客常用的密码盗取方法,以及如何通过简单的调整来减少密码泄露的风险。
猜测密码
最简单方法是猜测终端用户的密码。黑客通常会分析组织中使用的关键词以及竞争对手使用的关键词,并将一组常用的关键词串在一起,这些关键词可能会被员工用来进入公司的网络。黑客通 常不会对一个用户尝试多个密码,而是为许多用户尝试同一组密码,直到他们最终获得一个正确的密码。如果他们碰巧获得了组织中管理员级别的密码,这个组织将会陷入难以估量的危险境地。
如何防御密码猜测攻击?
使用严格的密码策略并限制常用的模式。为了让网络犯罪分子更难猜到密码,组织应该不允许雇员使用常用词,设置弱密码,或者长时间不更改密码(密码应该每45-60天更改一次)。
字典攻击
这种攻击类似于密码猜测攻击,但在这种攻击中,黑客不必猜测密码。多年来,成千上万的常见密码由字典单词组成,如letmein、iamadmin、superman等。已经被黑客整合到可以轻松获取的列表中。他们所要做的就是选择一个用户名,并自动运行一个脚本来尝试字典中的每个单词作为密码。通过使用高性能的计算机不断地尝试,便可轻易获取用户密码。
如何防御字典攻击?
密码策略中要限制常用字典词汇模式的使用。一旦限制了用户使用密码字典中的词汇,黑客就难以从在线存储库中找到匹配的密码。
暴力破解密码攻击
黑客可以通过暴力获取来破解密码。也就是说,他们可以尝试数百万种由大写字母、小写字母、数字和特殊字符组成的密码组合。虽然这种方法很费时间,需要更大的计算能力,但成功的机会要大得多。
如何防御暴力破解密码攻击?
创建严格的密码策略。通过强制执行此策略,密码的长度和复杂性大大增加了攻击所需的时间和计算能力,使暴力破解几乎不可能。
网络钓鱼
获取用户名和密码的一个极其简单的方法是诱骗用户自己给出密码。黑客们会发出点击诱饵式的电子邮件,这些邮件的链接看起来就像一个正常网站,例如银行网站的登录页面。如果不注意网址的细微变化,用户会倾向于输入自己的用户名和密码,然后直接将这些敏感信息发送给黑客。而且由于大多数用户为许多应用程序设置了相同的用户名和密码,一旦黑客有了一组凭证,他们就能轻易得到所有应用程序的登录凭据。
如何防御网络钓鱼?
使用AD单点登录。如果用户根本不需要输入他们的信息,黑客就不能欺骗用户在错误的门户中输入他们的信息!
社交工程陷阱
最传统的获得凭证方式是直接问用户。它通过人际互动诱骗用户主动提供登录凭据的过程。例如: 如果一个黑客在网上或者电话上假装自己是一个IT管理员,员工可能会在被询问时共享他们的密码。为什么人们还是会上当?因为即使在今天,终端用户仍然主要依靠帮助台来解决他们的密码问题。
如何避免陷入社交工程陷阱?
终端用户自助管理密码。如果他们可以自己重置密码,解锁账户,他们就没必要和IT管理员分享他们的凭证。
三、使用正确的工具来实施防御机制
正如我们所知,AD缺乏阻止黑客入侵所需的精细密码策略限制,这使得IT管理员需另寻它法来阻止使用弱密码。
ManageEngine ADSelfService Plus 是一款专业的终端用户自助密码管理解决方案。它具有多种功能,允许 IT管理员:
1、应用严格的密码策略
2、限制使用常见字典词模式
3、允许终端用户单点登录
4、实时密码同步
ADSelfService Plus是一款专业的Active Directory自助密码管理和单点(SSO)登录解决方案。它提供用户密码自助服务,密码到期提醒,自助目录更新,多平台密码同步,以及面向云应用的单点登录服务。ADSelfService Plus 大大减少了IT管理员的工作量,提高了终端用户的工作效率。