“选择字母、数字、特殊字符和大小写的组合。”“不要重复使用多个帐户的密码。”“设置您以前从未使用过的密码。”
大家都看过这类消息,企业也在不断重申。
没有人喜欢密码(它们看起来像是一件苦差事),人们往往会偷工减料和粗心大意——包括管理员。
事实上,根据网络安全公司李工最近的研究,令人震惊的是系统管理员使用的最多密码是:“admin”,
其次是其他非常容易猜到的密码,或者只是初始设置和登录的默认值。
“随着我们的个人和工作生活现在越来越多地在线化,我们真的需要改变密码的方法,李工告诉大家:“在多个系统中使用相同的、易于猜测的短密码使其易于记忆,但也极易受到攻击。”
根据 Outpost20 研究排名前 24 位的管理员密码
Outpost24 的持续监控和情报收集识别了大约 1 万个密码。“admin”有超过 8,40 个条目,其次是“000”、“12345”、“12345678”和“密码”。
- admin
- 123456
- 12345678
- 1234
- Password
- 123
- 12345
- admin123
- 123456789
- adminisp
- demo
- root
- 123123
- admin@123
- 123456aA@
- 01031974
- Admin@123
- 111111
- admin1234
- admin1
这与网络攻击研究相吻合:例如,Verizon数据泄露调查报告发现,攻击者访问组织的三种主要方式之一是凭据盗窃(以及网络钓鱼和漏洞利用)。
此外,近四分之三 (74%) 的违规行为是由于使用被盗凭据、特权滥用和社会工程的方式中的人为错误造成的。
攻击者越来越多地转向更专业的密码窃取恶意软件(窃取程序)。安装后(例如,用户点击虚假附件),它们就会坐在后台并收集有关它们的信息,例如Web浏览器,FTP客户端,邮件客户端和钱包文件的登录信息。
威胁行为者窃取密码的另一种方式是通过暴力攻击,或者尝试不同的密码或密码组合,希望最终猜出正确的密码——在 OutPost24 收集的登录情报的情况下,这并不困难。此外,他们还练习撞库,或尝试从另一个帐户获取的密码。
管理员也是人
因此,我们大多数人都知道风险 – 为什么我们仍然对密码如此懒惰?
James指出,这不仅仅是用户的错。组织和服务需要制定正确的策略和工具,以支持良好的密码策略。
暂无评论内容