一份来自宁盾的企业“口令”防护自查方案 – 作者:宁盾nington-安全小百科

一份来自宁盾的企业“口令”防护自查方案 – 作者:宁盾nington

先来看一组数据：

2019.05.24报道 Canva 1.39亿用户数据泄漏；

2019.01.10报道 2.02亿中国求职者个人信息泄漏

2019.10.01报道 Zynga2.18亿游戏玩家用户数据泄漏

2019.05.01报道 2.75亿印度公民个人信息泄漏

2019.12.07报道 Elasticsearch 27 亿数据泄露

2020.04.14报道 53万Zoom账号在暗网售卖

其中用户电子邮件地址、账号ID、密码、姓名、出生日期、电话号码等关键信息遭到严重泄漏。 ‍

一、当下及未来的账号密码危机

从当前情况来看，未来帐号密码泄漏逐渐呈上升趋势，原因包括：

弱密码依然严重，尽管一再提醒“弱密码”的威胁性，但在密码泄漏的统计中“admin”、“root”、“123456”依然位居榜首；
办公账号与个人账号趋同，比如办公出差使用公司邮件订购酒店、机票等，再如使用公司邮件注册各类网站下载资料等。据统计，一个人平均记忆3～5个密码，因此大多数注册帐号中，多存在密码趋同的情况。
当前用户数据泄漏事件逐渐加重：用户信息泄漏事件频率越高，暗网中售卖的用户信息也就越多，用于攻击的“口令词典”也就越丰富，周而复始，未来的账号密码危机越来越严重。

二、企业常见易受攻击的场景

对于外部攻击而言，通常首先发生在网络边界处，比如VPN、虚拟化及邮箱等边界入口。一旦进入企业网络，对服务器、数据库等重要资源再次发起攻击。因此无论是网络边界处还是内部重要资源的处理，未来企业需要对全场景的“口令”进行安全保护。

三、企业常用保护措施

通常情况下，企业关于账号身份的保护，采用基于当前账号密码进行维护，常见方法为强制“密码复杂度”设置和“定期修改密码”的方式。

密码复杂度设置：通过限制密码位数、多字符类型等提升密码的复杂度。（如，密码需不少于16位，至少包括数字、大小写字母、符号等三种或三种以上字符形式。）
密码定期修改：定期（比如一个月）强制员工/用户修改密码的方式，如果不进行修改则无法成功登录。

为了加强密码强度，“诗词歌赋”、“成语”、“俗语”等被列入设置复杂度规则中，这些看似复杂的密码与采用“姓名”、“出生日期”、“键盘按键位置”等并没有根本上的区别。同时，密码复杂度设置与用户记忆强度之间存在冲突，最终导致密码复杂度难以执行或者旧密码重复使用的情况。

从本质上来讲，当前的账号密码仍然是“静态”的，在静态期间内，仍有被攻击的可能。同时，国家出台的多部法律法规中明确提出要“采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别”，并针对电信、广播电视、能源、金融、公路水路运输、铁路、民航、水利、应急管理、卫生健康、社会保障、国防科技工业等发布网络安全审查办法及奖惩措施。

四、基于“动态口令”的账号密码安全防护

对比静态帐号密码认证，“动态口令”认证的好处在于每一次认证的口令都是唯一且独立的。宁盾双因素“动态口令”解决方案是链接企业各入口与用户身份之间的强身份验证机制，通过在账号密码的基础上增加动态密码的方式提升数字身份的安全可信。产品由认证服务器（DKEY AM）和动态令牌（宁盾令牌）组成。认证服务器与动态令牌之间通过“令牌种子”和用户账号将两者进行关联，“令牌种子”与UTC（服务器、手机皆有内置时间）通过国家密码杂凑算法（SM3算法）生成“动态口令”。

1、“动态口令”校验原理

a、认证服务器动态口令：认证服务器存储令牌种子，将其与用户账号绑定，在服务器内生成该用户可用的“动态口令”；

b、动态令牌口令：动态令牌激活令牌种子，生成动态口令。当用户登录认证时，输入账号和动态口令并将其提交至认证服务器，认证服务器与服务器内动态口令进行对比，完成整个校验过程。

c、令牌的校准：可自定义校准时间以确保动态口令的有效性。

2、场景化应用

为防止“口令入侵” ，面向数据中心基础设施（VPN、虚拟化、网络设备、服务器、堡垒机、数据库）及各类邮件、本地及云业务系统，宁盾提供一体化安全认证保护。通过在账号密码的基础上增加动态密码或采用SSO 单点登录安全验证的方式解决因“弱密码”、“账号密码泄漏”等引发的“密码破译”事件。

3、厂商兼容性

4、身份鉴别等保合规

自6月1日起，国家正式实施《网络安全审查办法》，并就审查单位、法律依据、涉及主体（电信、广播电视、能源、金融、公路水路运输、铁路、民航、水利、应急管理、卫生健康、社会保障、国防科技工业等）发布审查及惩罚措施。其中等保合规既是企事业单位符合网络安全审查办法的法规标准，又是国家为提升网络安全所采取的基本规定。

双因素认证是三级等保的必选项，企业可以这样做：