技術(shù)干貨 | 如何防護企業(yè)系統(tǒng)密碼泄漏

2019年11月1號重要新聞：全球500強公司的2100萬登錄信息驚現(xiàn)于暗網(wǎng)上！（http://netsecurity.51cto.com/art/201911/605253.htm?from=timeline）

主要內(nèi)容如下：

1、其中大多數(shù)來自科技公司，緊隨其后的是金融業(yè)組織。醫(yī)療保健、能源、電信、零售、工業(yè)、運輸、航空航天和國防等領(lǐng)域的企業(yè)組織也榜上有名。

2、研究人員發(fā)布了一個令人擔(dān)憂的統(tǒng)計數(shù)據(jù)：“95%的登錄信息含有未加密的或已被攻擊者蠻力破解的明文密碼。”

3、其中只有490萬條是不重復(fù)的，“這表明許多用戶在使用相同或相似的密碼。”據(jù)報告顯示，最弱的登錄信息來自零售業(yè)，幾乎一半的密碼長度不到8個字符，可以在常用詞典中找到。研究人員特別指出，來自數(shù)據(jù)泄密的密碼中約11%是相同的。使用默認密碼（機器人程序創(chuàng)建賬戶）可以解釋這點。

4、ImmuniWeb稱，另一種可能是密碼重置程序為大量賬戶創(chuàng)建相同的密碼。此外，Web安全等級較差（C或F）的子域數(shù)量與泄漏的登錄信息之間也存在著正比聯(lián)系。

由此可見，在目前互聯(lián)網(wǎng)及saas應(yīng)用的大環(huán)境下，如果僅僅在防火墻，網(wǎng)絡(luò)設(shè)備、防病毒軟件等方面做防護的話是遠遠不夠的，這也是近年來《零信任架構(gòu)》提出的原因，一切都以安全認證為前提，如果用戶名和密碼泄漏出去，那么依舊會有很嚴重的威脅。因此，國家也出臺了一系列政策來要求企業(yè)對系統(tǒng)密碼進行更高級的防護。

在10月26號，十三屆全國人大常委會第十四次會議，表決通過了《密碼法》，自2020年1月1日起施行。旨在規(guī)范密碼應(yīng)用和管理，促進密碼事業(yè)發(fā)展，保障網(wǎng)絡(luò)與信息安全，提升密碼管理科學(xué)化、規(guī)范化、法治化水平，是我國密碼領(lǐng)域的綜合性、基礎(chǔ)性法律。

所以，保護我們的系統(tǒng)密碼不被泄漏，刻不容緩。

在保護之前，首先我們得明白密碼是怎么泄漏出去的，密碼泄漏的主要原因有以下幾點：

簡單點講，無非兩種，第一：拖庫，就是把數(shù)據(jù)庫文件拿到，通過反編譯，也就拿到了密碼；第二：撞庫，通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應(yīng)的字典表，嘗試批量登陸其他系統(tǒng)后，得到一系列可以登錄的用戶。

了解了密碼怎么泄漏，那么我們就可以做針對性的防護：

1、密碼加密

首先我們來說說密碼加密?，F(xiàn)在很少系統(tǒng)會直接保存用戶的密碼，至少也是會計算密碼的 md5 后保存。md5 這種不可逆的加密方法理論上已經(jīng)很安全了，但是隨著彩虹表的出現(xiàn)，使得大量長度不夠的密碼可以直接從彩虹表里反推出來。

只對密碼進行 md5 加密是肯定不夠的。聰明的程序員想出了個辦法，即使用戶的密碼很短，只要我在他的短密碼后面加上一段很長的字符，再計算 md5 ，那反推出原始密碼就變得非常困難了。加上的這段長字符，我們稱為鹽（Salt），通過這種方式加密的結(jié)果，我們稱為 加鹽 Hash 。

當(dāng)然，也可以采用更加安全的國密算等。

2、啟用動態(tài)密碼

無論采用哪種加密方式，但是總有方式被破解和解密，因此更多的方式出來了，OTP的盛行也是這個原因，動態(tài)密碼是根據(jù)專門的算法產(chǎn)生變化的隨機數(shù)字組合，主流產(chǎn)生形式有手機短信、硬件令牌、手機令牌。動態(tài)密碼作為最安全的身份認證技術(shù)之一，目前已經(jīng)被越來越多的行業(yè)所應(yīng)用。由于它使用便捷，且與平臺無關(guān)性，隨著移動互聯(lián)網(wǎng)的發(fā)展，動態(tài)口令技術(shù)已成為身份認證技術(shù)的主流，被廣泛應(yīng)用于企業(yè)、網(wǎng)游、金融等領(lǐng)域，國內(nèi)外從事動態(tài)口令相關(guān)研發(fā)和生產(chǎn)的企業(yè)也越來越多，其優(yōu)勢在于與各種業(yè)務(wù)系統(tǒng)快速無縫互操作，其完全自主研發(fā)的號令動態(tài)口令身份認證軟件系統(tǒng)穩(wěn)定、高效、支持多種認證模式，其解決方案可以服務(wù)不同規(guī)模企業(yè)。

3、啟用生物識別技術(shù)

動態(tài)密碼的確是身份認證中比較安全的技術(shù)，但是動態(tài)密碼依舊存在一個問題，無論是手機動態(tài)口令，還是動態(tài)口令設(shè)備，都會存在丟失、借用等情況。在目前企業(yè)里面系統(tǒng)權(quán)限管控嚴格的情況下，動態(tài)密碼依舊會面臨著安全性不足的問題，那么我們可以使用更高級別的認證方式：指紋密碼、人臉識別、靜脈血等，來對安全等級要求較高的系統(tǒng)進行防護，更大的程度來防護系統(tǒng)安全性。

那么如果我們直接采用上述方法又會給企業(yè)帶來其他的煩惱，經(jīng)常遇到的問題如下：

企業(yè)又一次進入了兩難的境地，如果實施，阻力大；如果不實施，安全性太低，那么針對這樣的問題，我們又當(dāng)怎么解決？

首先，我們可以架構(gòu)統(tǒng)一身份管理中心，就是將企業(yè)內(nèi)部的賬戶身份進行統(tǒng)一管理，實現(xiàn)比較規(guī)范的賬戶全生命周期管理，當(dāng)人員入職的時候，自動開通賬號，當(dāng)人員離職的時候自動關(guān)閉系統(tǒng)賬號，這樣可以大大減少僵尸賬號的存在。

其次，我們?nèi)?span style="margin:0px;padding:0px;max-width:100%;background-color:#FFFF00;box-sizing:border-box !important;word-wrap:break-word !important;">構(gòu)建統(tǒng)一的認證中心，實現(xiàn)單點登錄，這樣就能通過統(tǒng)一的登錄入入口，減少員工登錄次數(shù)，大大員工的操作復(fù)雜度，同時在統(tǒng)一登錄入口增加動態(tài)口令、指紋、人臉等高強度認證，來保證系統(tǒng)安全性。

第三，引入智能風(fēng)險因子認證方法，根據(jù)用戶的網(wǎng)絡(luò)環(huán)境、訪問行為、登錄設(shè)備自動判斷所需要等認證級別，既能保證其安全，又不增加登錄的復(fù)雜性。

第四，實現(xiàn)統(tǒng)一的授權(quán)中心，實現(xiàn)大門級授權(quán)，直接控制用戶有沒有訪問某系統(tǒng)的權(quán)限，甚至去實現(xiàn)基于角色的細顆粒授權(quán)【技術(shù)干貨|企業(yè)信息系統(tǒng)統(tǒng)一權(quán)限管理】，來保證運維的簡便性和員工調(diào)崗后的權(quán)限變更的安全性。

第五，構(gòu)建集中的審計中心，基于用戶的訪問行為和操作行為進行統(tǒng)一審計，對一些風(fēng)險行為進行提醒甚至是阻斷，管理人員可對用戶的風(fēng)險行為進行分析，將進一步提高系統(tǒng)的安全性。

通過以上方式，即可通過“一道墻”對訪問行為進行攔截和管理，那么既增加了系統(tǒng)的安全性，同時又減少了投入，可以方便解決我們的問題。

派拉軟件十年以來一直專注企業(yè)身份安全領(lǐng)域，為超過500家大型企業(yè)提供整體的身份安全方案，在整車行業(yè)、制造行業(yè)、醫(yī)藥行業(yè)、零售行業(yè)、地產(chǎn)行業(yè)、國企政府、銀行業(yè)等18個行業(yè)均有成功案例，可以為企業(yè)提供最安全、最全面、最合適的身份安全解決方案。