弱密码的危害

前段时间,我收到 wooyun 上白帽子发来的一条消息,大致意思是我们的博客(wordpress)的后台被 crack 了,然后成功的拿到了 shell,最终登陆到我们的内网,由于目前我们测试跟生产环境是通过 VPN 联通的,危害可想而知。被 crack 的缘由说来好笑,由于 wordpress 同时有很多的作者,有的作者为了方便记忆,设置了非常简单的密码,简单到都不需要暴力破解。
暂时解决问题的办法也很简单,最少有如下的几种:
1. 加强密码强度,这个也是首要改进的。但是理论上没有不能暴力破解的密码,尤其在 CSDN 事件之后,基本是人手一个非常高效的字典。
2. 设置一些访问权限也可以从一定程度上缓解此类问题。但是有能力的完全可以伪造 IP 突破限制。
3. 通过虚拟机完全隔离,如果遇到一名社工非常强大的黑客他依然会找到蛛丝马迹

但上,上面说的这些方式都无法从根本解决问题。
wordpress 作为一款非常的流行的 CMS,包括我自身的博客在内,被很多的个人以及企业所青睐,用的人多了,自然的,被盯上的概率也就大了。很多创业公司为了省事,很有可能把公司的博客跟生产环境放到一起,而写博客的作者们通常是一群搞市场搞运营的技术小白,这就大大方便作案了。
除了像 wordpress 这类很火的 CMS,一些运维管理平台同样会由于开放了公网环境,而登陆者的弱密码会造成整个内网沦陷的悲剧。

要真正解决这类问题,至少可以从使用者以及服务提供者两方面入手。
对于使用者来说,自己首先需要意识到这类问题的严重性,掌握一些基础的知识,比如如何设置一个比较健壮的密码,如何设置邮箱等,这少不了安全人员对其教化。有趣的是,有的时候,教化的再多,不如自己的敏感信息被泄漏一次来的更有教训,虽然很无奈但事实就是这样。
而对于服务体提供者来说,除了上面说到的一些简单通用的方式,还可以通过下面的一些方式来加强:
1. 创建用户期间就应该主动检测密码强度,只有达到一定强度的密码才可以注册,目前,不少网站都做的不错。并且,目前很多的系统(Linux, Nexus 等)都可以实现这类最基础也是最有效的功能
2. 频繁登陆出错触发一些规则,比如一天之内登陆错误 3 次不允许访问,10min 钟内登陆错误 3 次禁止访问,具体可以参见不少电商以及金融体系的做法