近年来互联网数据安全事件呈高发之势。无时无刻,你的云服务器都存在被黑客入侵的风险,尤其是作为安全验证的工具——密码,一旦被**,其所造成的破坏力难以想象。
密码123456好记也容易被**
我们在登录账号的过程中为了避免更多的繁琐登录环节,往往会把密码设置得超级简单好记,甚至多个用户账号也通用用一个密码,比如说把用户名:admin,密码:123456,这样的用户名和弱密码让一些黑客有了可乘之机。
美国的密码管理应用公司Splashdata就在2017年以网上泄露的500万份密码为基准,做了一份最烂密码排名,"123456" 和"password"分列第一名和第二名。此外这两个密码还有 6 种相关变体,合计占了排行榜前 25 名中的 8 位。
密码是不是越复杂就安全?
为了防止密码不被**,我们通过数字、字母、特殊符号合理组合设置密码,按照一定的规则,比如说姓名+生日+地名,或者一句话的字母+电话号码等。但是复杂的密码难以记忆,过了一段时间就忘了,经历过输错被锁定再重置密码以后,大家又开始倾向性地选择那些容易记住的通用弱密码。
密码的强度关键在于什么?
长度。我们的密码设置从6位到8位再到12位,越来越长,长度越长符合一个强密码的特征。因为一个强密码通常长度足够长,排列随机,这样就需要花很多时间才能够**。网上也流传着一个关于密码长度的例子:使用一台双核PC+暴力**软件去**一个由数字+大小写+符号组成的8位密码,大概需要23年。下面是强密码的一些例子(由于以下实例已经公开,所以已经不具备安全性,只作为说明例子):
不是字典的单词,既有数字也有字母——t3MEIfreryeT45410A
足够长,并且有扩展符号增加强度——Convert_100£ to Euros!
一些比较少用的特殊字符——*ot$fet÷×’Fr54⅛9&%
长的密码难以**,但是并不能说明不能被**。随着计算机算力的增加,黑客密码本的丰富,我们认为的那些难以**的密码在遇到账户暴力**工具,或者遇到社工攻击以后该怎么办呢?
此处的账户暴力**攻击又叫密码穷举,是黑客入侵服务器最常见的手段之一。黑客利用一些暴力**工具,比如John the Ripper,THC Hydra等,攻击目标主要分为服务器与物联网设备,通过用户名、密码一个一个枚举尝试登录设备,一旦成功登录,便可获得设备权限。进而窃取用户数据,勒索加密,植入挖矿程序,DDoS木马攻击等等恶意操作。
社工攻击通常是指利用欺骗性的电子邮件和伪造的网站登陆站点来进行诈骗获取账号密码,或者知悉用户的个人隐私信息,来猜测**用户的密码。
密码安全防不胜防,云服务器的安全要何去何从呢?
云服务器密码防**都有哪些办法?
比如账户暴力**防御方法,华为云主机安全服务会检查登录成功、失败的次数,智能识别黑客动作,*攻击源IP,禁止其在24小时内再次登录,具体动作包括:
1.双因子认证,结合短信和邮件验证;
2.手机令牌,实时掌握账号安全动态;
3.**对登录,一对一身份认证登录;
4.异地登录告警,提醒修改密码;
5.弱密码告警,系统告警修改密码;
6.密码输错拦截,*IP登录;
7. Root权限设置,仅对核心IP开放。
比如支持双因子认证登录,异地登录告警,弱密码告警,密码输错拦截等功能,防止用户云服务器上的账户遭受暴力**攻击,提高云服务器的安全性。
再以创建**对登录为例,登录时选择**方式进行身份验证。在生成的**对中,一个向外界公开,称为公钥,另一个用户自己保留用于登录验证,称为私钥。**对安全强度远高于常规用户口令,避免用户名密码方式口令可能被**的隐患。当你的云服务器有多个**对的时候,可以使用**管理服务,对**对可重置和替换。
总而言之,华为云企业主机安全覆盖事前、事中和事后的账户安全保护功能。
正值828企业上云节,不如从最简单的密码保护开始,为你的企业和产品装备最完善的安全防护。https://activity.huaweicloud.com/Hisec.html