|
自21世紀初以來,微軟ActiveDirectory(AD)及其相關應用程序在IT管理中發(fā)揮了至關重要的作用���。如今�,企業(yè)依舊強烈地依賴AD來管理其IT環(huán)境中的身份����。盡管技術在進步,但AD的密碼策略十年來一直沒有改變���。因此�����,當今的IT管 理員不得不尋找方法來規(guī)避該策略中的弱點��。 一�����、為什么微軟的AD密碼策略不再是可行的選擇? 1�����、該密碼策略遵循“一刀切”的原則��。IT管理員發(fā)現(xiàn)為域中不同組或組織單位用戶設置不同的密碼策略是非常困難的���。 2、該密碼策略未能限制常見密碼模式的使用���,如 asdf�、1234和 qwerty����,以及增量密碼如password1、 password2和 password3�����。 3、該密碼策略不能阻止用戶使用字典詞或?qū)⒂脩裘鳛槊艽a��。 二�����、常見的密碼攻擊方式 81%的黑客入侵都是由于密碼被盜或者密碼過于簡單����。隨著黑客的不斷進化,除了應用技術來避免網(wǎng)絡危害之外����,個人意識也發(fā)揮著重要作用。當一個企業(yè)的密碼泄露時��,該企業(yè)會付出巨額罰款和負面宣傳的雙重代價���。為了幫助提高人們密碼保護的意識�����,此篇文章討論了黑客常用的密碼盜取方法�,以及如何通過簡單的調(diào)整來減少密碼泄露的風險��。 猜測密碼 最簡單方法是猜測終端用戶的密碼。黑客通常會分析組織中使用的關鍵詞以及競爭對手使用的關鍵詞��,并將一組常用的關鍵詞串在一起����,這些關鍵詞可能會被員工用來進入公司的網(wǎng)絡。黑客通 常不會對一個用戶嘗試多個密碼�����,而是為許多用戶嘗試同一組密碼���,直到他們最終獲得一個正確的密碼�����。如果他們碰巧獲得了組織中管理員級別的密碼,這個組織將會陷入難以估量的危險境地�。  密碼猜測 如何防御密碼猜測攻擊���? 使用嚴格的密碼策略并限制常用的模式�。為了讓網(wǎng)絡犯罪分子更難猜到密碼��,組織應該不允許雇員使用常用詞,設置弱密碼�����,或者長時間不更改密碼(密碼應該每45-60天更改一次)��。 字典攻擊 這種攻擊類似于密碼猜測攻擊�����,但在這種攻擊中�,黑客不必猜測密碼。多年來����,成千上萬的常見密碼由字典單詞組成,如letmein����、iamadmin、superman等����。已經(jīng)被黑客整合到可以輕松獲取的列表中。他們所要做的就是選擇一個用戶名�����,并自動運行一個腳本來嘗試字典中的每個單詞作為密碼。通過使用高性能的計算機不斷地嘗試��,便可輕易獲取用戶密碼���。 如何防御字典攻擊���? 密碼策略中要限制常用字典詞匯模式的使用。一旦限制了用戶使用密碼字典中的詞匯�,黑客就難以從在線存儲庫中找到匹配的密碼。 暴力破解密碼攻擊 黑客可以通過暴力獲取來破解密碼�。也就是說,他們可以嘗試數(shù)百萬種由大寫字母��、小寫字母��、數(shù)字和特殊字符組成的密碼組合���。雖然這種方法很費時間,需要更大的計算能力�����,但成功的機會要大得多。  暴力攻擊 如何防御暴力破解密碼攻擊? 創(chuàng)建嚴格的密碼策略���。通過強制執(zhí)行此策略�,密碼的長度和復雜性大大增加了攻擊所需的時間和計算能力����,使暴力破解幾乎不可能。 網(wǎng)絡釣魚  網(wǎng)絡釣魚 獲取用戶名和密碼的一個極其簡單的方法是誘騙用戶自己給出密碼��。黑客們會發(fā)出點擊誘餌式的電子郵件�,這些郵件的鏈接看起來就像一個正常網(wǎng)站�����,例如銀行網(wǎng)站的登錄頁面�����。如果不注意網(wǎng)址的細微變化,用戶會傾向于輸入自己的用戶名和密碼��,然后直接將這些敏感信息發(fā)送給黑客����。而且由于大多數(shù)用戶為許多應用程序設置了相同的用戶名和密碼,一旦黑客有了一組憑證����,他們就能輕易得到所有應用程序的登錄憑據(jù)。 如何防御網(wǎng)絡釣魚��? 使用AD單點登錄���。如果用戶根本不需要輸入他們的信息�����,黑客就不能欺騙用戶在錯誤的門戶中輸入他們的信息��! 社交工程陷阱 最傳統(tǒng)的獲得憑證方式是直接問用戶����。它通過人際互動誘騙用戶主動提供登錄憑據(jù)的過程。例如: 如果一個黑客在網(wǎng)上或者電話上假裝自己是一個IT管理員�,員工可能會在被詢問時共享他們的密碼����。為什么人們還是會上當?因為即使在今天����,終端用戶仍然主要依靠幫助臺來解決他們的密碼問題。  社交陷阱 如何避免陷入社交工程陷阱�����? 終端用戶自助管理密碼���。如果他們可以自己重置密碼��,解鎖賬戶����,他們就沒必要和IT管理員分享他們的憑證。 三��、使用正確的工具來實施防御機制���。 正如我們所知�����,AD缺乏阻止黑客入侵所需的精細密碼策略限制���,這使得IT管理員需另尋它法來阻止使用弱密碼。  ADSelfService Plus ManageEngine ADSelfService Plus 是一款專業(yè)的終端用戶自助密碼管理解決方案��。它具有多種功能�����,允許 IT管理員: 1��、應用嚴格的密碼策略 2�����、限制使用常見字典詞模式 3、允許終端用戶單點登錄 4�、實時密碼同步 ADSelfService Plus是一款專業(yè)的Active Directory自助密碼管理和單點(SSO)登錄解決方案。它提供用戶密碼自助服務�,密碼到期提醒����,自助目錄更新,多平臺密碼同步���,以及面向云應用的單點登錄服務���。ADSelfService Plus 大大減少了IT管理員的工作量,提高了終端用戶的工作效率�。
|
