弱密码仍然是企业安全的软肋

近日在美国犹他州发生的数据泄露事故暴露了超过25.5万人的社会安全号码,这个事故再次突出了一个长期存在但常常被企业低估风险的问题:使用弱密码和默认密码。

据调查,犹他州卫生署的这次泄露事故源自服务器身份验证层的配置错误,很多安全分析家认为这次事故是因为被泄露的服务器使用了默认的管理密码或者容易被猜到的密码。通过利用这个错误,攻击者能够绕过IT管理员部署的用于保护服务器上数据的外围、网络和应用程序级的安全控制。

这样的错误虽然容易避免,但是却非常常见。在今年三月,美国能源部总检察长发布了邦纳维尔电力管理局(主要负责西北太平洋区域的公用事业提供30%的电力资源)的信息安全审计结果,根据这个审计结果显示,对用于支持邦纳维尔电力局关键财务、人力资源和安全管理职能的九个应用程序的漏洞扫描发现,11台服务器使用了容易被猜出的密码。

利用这些漏洞的攻击者能够获取对该系统的完整访问权。其中四台服务器被配置为允许任何远程用户访问和修改共享文件,一台管理员账户的服务器竟然只使用了默认密码保护。

本月早些时候,支付处理公司Global Payments遭遇了数据泄露事故,事故导致150万人的信用卡信息和借记卡信息被泄露,分析公司Gartner认为这次事故的发生是弱身份验证机制所致,让攻击者获取了管理员账户。而去年开源WineHQ数据库的泄露事故同样也被认为是因为管理员账户使用了较弱密码所致。

企业可能拥有数百到数千个账户名和密码。这些账户中很多具有对应用程序、数据库、网络和操作系统的优先访问权限。虽然对于企业而言,并不是所有账户都是很关键的,但是有很多账户如果遭遇泄露的话,可能对企业造成严重影响。

之前的研究数据表明,因为维护目的或者修复和升级工作需要对系统的管理访问权限的人要比管理人员知道或者跟踪的数量要多得多。然而,很多公司允许用户或者管理员使用较简单的密码,或者甚至使用默认密码来保护对这些账户的访问。

当使用多因素身份验证时,这些措施往往涉及相对容易攻破的基于知识的身份验证(KBA)机制,用户会被要求回答一个安全问题,例如第一只宠物的名字或者最喜爱的电影的名字等。

Verizon公司上个月发布的一份报告显示,在零售业和餐饮行业,利用弱密码的攻击仍然非常普遍。攻击者仍然可以访问供应商的网站,获取客户名单,然后简单地选择那些使用默认密码或者容易被猜到的用户名-密码组合的用户,就可以成功发起攻击。Verizon在其报告中指出,“这些都是相对容易的攻击,只需要一点知识或者创造力即可。”

Gartner分析师John Pescatore表示,另外一个常见问题就是,很多人往往会为自己的不同账户使用相同的密码。

“Anonymous黑客组织的很多成功攻击都源自于在获取用户的外部服务密码后,发现用户的机密内部应用程序或者电子邮件系统使用了相同的密码,”Pescatore表示,“我们将这种现象称之为‘重复使用密码的诅咒’。”

为提高安全性,企业可以采取的最重要的措施之一是提高密码和身份验证机制的“门槛”。他表示:“这就好比开汽车时,如果你不将脚放在刹车上的话,就无法从‘停车状态’变为‘开动状态’,在任何软件中都会有“安全联锁”,如果不修改默认密码的话,将很难启动。”

密码管理软件供应商Cyber-Ark公司企业发展执行副总裁Adam Bosnian表示,企业面临的问题非常复杂。要求管理员使用复杂的密码是一回事,而管理这些复杂的密码又是另一回事了。经常发生的情况是,多个管理员可能需要访问同一个系统,往往大家倾向于使用默认密码或者容易记住的密码来控制对系统的访问。

当使用复杂密码时,管理员需要部署三个程序:一用于安全地共享彼此的密码;另一个用于在需要时修改密码,第三个用于通知大家修改密码的情况。这些程序在较大型企业特别难以执行,因为优先访问权限账户的数量非常惊人。

“事实是,任何试图保护重要资产的人都应该使用多因素身份验证和/或互补控制来保护自己,”Spire Security公司分析师Peter Lindstrom表示,“密码存在太多缺陷,包括人自身的问题。”

大多数没有受到另一种身份验证形式或锁定控制保护的密码机制都很容易受到攻击者的暴力破解,他们会使用自动化工具来猜测密码,“在IT的现阶段来看,实在是找不到理由来使用默认密码了。”