|
自21世紀(jì)初以來����,微軟ActiveDirectory(AD)及其相關(guān)應(yīng)用程序在IT管理中發(fā)揮了至關(guān)重要的作用。如今��,企業(yè)依舊強(qiáng)烈地依賴AD來管理其IT環(huán)境中的身份�����。盡管技術(shù)在進(jìn)步���,但AD的密碼策略十年來一直沒有改變����。因此����,當(dāng)今的IT管 理員不得不尋找方法來規(guī)避該策略中的弱點(diǎn)���。 一、為什么微軟的AD密碼策略不再是可行的選擇? 1�����、該密碼策略遵循“一刀切”的原則����。IT管理員發(fā)現(xiàn)為域中不同組或組織單位用戶設(shè)置不同的密碼策略是非常困難的。 2��、該密碼策略未能限制常見密碼模式的使用���,如 asdf���、1234和 qwerty,以及增量密碼如password1��、 password2和 password3�。 3、該密碼策略不能阻止用戶使用字典詞或?qū)⒂脩裘鳛槊艽a�����。 二�����、常見的密碼攻擊方式 81%的黑客入侵都是由于密碼被盜或者密碼過于簡單�����。隨著黑客的不斷進(jìn)化�,除了應(yīng)用技術(shù)來避免網(wǎng)絡(luò)危害之外,個(gè)人意識(shí)也發(fā)揮著重要作用���。當(dāng)一個(gè)企業(yè)的密碼泄露時(shí)��,該企業(yè)會(huì)付出巨額罰款和負(fù)面宣傳的雙重代價(jià)�����。為了幫助提高人們密碼保護(hù)的意識(shí)����,此篇文章討論了黑客常用的密碼盜取方法����,以及如何通過簡單的調(diào)整來減少密碼泄露的風(fēng)險(xiǎn)����。 猜測(cè)密碼 最簡單方法是猜測(cè)終端用戶的密碼���。黑客通常會(huì)分析組織中使用的關(guān)鍵詞以及競爭對(duì)手使用的關(guān)鍵詞����,并將一組常用的關(guān)鍵詞串在一起����,這些關(guān)鍵詞可能會(huì)被員工用來進(jìn)入公司的網(wǎng)絡(luò)。黑客通 常不會(huì)對(duì)一個(gè)用戶嘗試多個(gè)密碼�,而是為許多用戶嘗試同一組密碼,直到他們最終獲得一個(gè)正確的密碼����。如果他們碰巧獲得了組織中管理員級(jí)別的密碼,這個(gè)組織將會(huì)陷入難以估量的危險(xiǎn)境地���。  密碼猜測(cè) 如何防御密碼猜測(cè)攻擊����? 使用嚴(yán)格的密碼策略并限制常用的模式。為了讓網(wǎng)絡(luò)犯罪分子更難猜到密碼���,組織應(yīng)該不允許雇員使用常用詞,設(shè)置弱密碼�����,或者長時(shí)間不更改密碼(密碼應(yīng)該每45-60天更改一次)�。 字典攻擊 這種攻擊類似于密碼猜測(cè)攻擊,但在這種攻擊中����,黑客不必猜測(cè)密碼。多年來��,成千上萬的常見密碼由字典單詞組成��,如letmein�、iamadmin、superman等���。已經(jīng)被黑客整合到可以輕松獲取的列表中�����。他們所要做的就是選擇一個(gè)用戶名���,并自動(dòng)運(yùn)行一個(gè)腳本來嘗試字典中的每個(gè)單詞作為密碼���。通過使用高性能的計(jì)算機(jī)不斷地嘗試,便可輕易獲取用戶密碼�。 如何防御字典攻擊? 密碼策略中要限制常用字典詞匯模式的使用�����。一旦限制了用戶使用密碼字典中的詞匯����,黑客就難以從在線存儲(chǔ)庫中找到匹配的密碼。 暴力破解密碼攻擊 黑客可以通過暴力獲取來破解密碼�����。也就是說����,他們可以嘗試數(shù)百萬種由大寫字母��、小寫字母����、數(shù)字和特殊字符組成的密碼組合����。雖然這種方法很費(fèi)時(shí)間,需要更大的計(jì)算能力���,但成功的機(jī)會(huì)要大得多。  暴力攻擊 如何防御暴力破解密碼攻擊���? 創(chuàng)建嚴(yán)格的密碼策略���。通過強(qiáng)制執(zhí)行此策略,密碼的長度和復(fù)雜性大大增加了攻擊所需的時(shí)間和計(jì)算能力����,使暴力破解幾乎不可能�。 網(wǎng)絡(luò)釣魚  網(wǎng)絡(luò)釣魚 獲取用戶名和密碼的一個(gè)極其簡單的方法是誘騙用戶自己給出密碼。黑客們會(huì)發(fā)出點(diǎn)擊誘餌式的電子郵件���,這些郵件的鏈接看起來就像一個(gè)正常網(wǎng)站���,例如銀行網(wǎng)站的登錄頁面。如果不注意網(wǎng)址的細(xì)微變化����,用戶會(huì)傾向于輸入自己的用戶名和密碼,然后直接將這些敏感信息發(fā)送給黑客�。而且由于大多數(shù)用戶為許多應(yīng)用程序設(shè)置了相同的用戶名和密碼,一旦黑客有了一組憑證����,他們就能輕易得到所有應(yīng)用程序的登錄憑據(jù)。 如何防御網(wǎng)絡(luò)釣魚��? 使用AD單點(diǎn)登錄�。如果用戶根本不需要輸入他們的信息,黑客就不能欺騙用戶在錯(cuò)誤的門戶中輸入他們的信息! 社交工程陷阱 最傳統(tǒng)的獲得憑證方式是直接問用戶���。它通過人際互動(dòng)誘騙用戶主動(dòng)提供登錄憑據(jù)的過程�。例如: 如果一個(gè)黑客在網(wǎng)上或者電話上假裝自己是一個(gè)IT管理員�����,員工可能會(huì)在被詢問時(shí)共享他們的密碼�。為什么人們還是會(huì)上當(dāng)?因?yàn)榧词乖诮裉?��,終端用戶仍然主要依靠幫助臺(tái)來解決他們的密碼問題����。  社交陷阱 如何避免陷入社交工程陷阱�����? 終端用戶自助管理密碼���。如果他們可以自己重置密碼,解鎖賬戶,他們就沒必要和IT管理員分享他們的憑證�。 三、使用正確的工具來實(shí)施防御機(jī)制�。 正如我們所知,AD缺乏阻止黑客入侵所需的精細(xì)密碼策略限制��,這使得IT管理員需另尋它法來阻止使用弱密碼�。  ADSelfService Plus ManageEngine ADSelfService Plus 是一款專業(yè)的終端用戶自助密碼管理解決方案�。它具有多種功能,允許 IT管理員: 1�����、應(yīng)用嚴(yán)格的密碼策略 2��、限制使用常見字典詞模式 3�、允許終端用戶單點(diǎn)登錄 4、實(shí)時(shí)密碼同步 ADSelfService Plus是一款專業(yè)的Active Directory自助密碼管理和單點(diǎn)(SSO)登錄解決方案�����。它提供用戶密碼自助服務(wù)��,密碼到期提醒���,自助目錄更新��,多平臺(tái)密碼同步�,以及面向云應(yīng)用的單點(diǎn)登錄服務(wù)。ADSelfService Plus 大大減少了IT管理員的工作量��,提高了終端用戶的工作效率�����。
|
