据国家网络与信息安全信息通报中心监测发现,近期国内各类网站、应用系统、互联网邮箱存在弱口令漏洞等问题,特别是党政机关、学校等单位问题尤为严重,存在被不法分子攻击的隐患,为进一步落实《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》和网络安全等级保护制度,请广大师生参考学习以下相关知识:
一、什么是弱口令?
弱口令(weak password)是常见安全漏洞之一,对信息安全造成严重的安全隐患。简单来说,弱口令就是弱密码,通常认为容易被他人猜测到或能被破解工具破解的密码均为弱口令。
二、弱口令会带来什么危害?
个人使用弱口令,就像把家门钥匙放在家门口的垫子下面,当他人拥有这把钥匙时,我们的个人安全、隐私、财物都是非常危险的。
在单位信息平台使用弱口令,就如同多了一道不上锁的门,会存在单位信息系统被攻破、信息资产泄露的风险,危害单位网络安全,甚至可能导致更严重的破坏和损失。不法分子很容易通过对弱口令的破解,登录信息平台发布有害信息,或者在信息平台上进行“挂马”,将原本作为单位宣传窗口,展示单位形象的网站,变为互联网黑灰产业链的一环,甚至将信息平台变为实施涉网违法犯罪的网络节点。
三、常见弱口令有哪些?
1、默认密码:如系统初始密码、出厂设置的密码等。
2、常见的简单密码:为了方便使用设置如“123456”、“666”、“密码同账号一致”等类似密码。
3、与个人基础信息有关的密码:具有特殊含义的英文字符缩写和数字串,如自己及亲属的名字拼音、手机号、出生日期、邮箱号、QQ号等,这些密码极易被人联想、破解,安全系数极低。
除了以上提到的常见弱口令,还存在更多其他形式的弱口令。这些弱口令往往是导致网络安全事件的主要因素之一。
四、如何尽量消除弱口令隐患?
建议密码长度不少于8位,且密码中至少包含字母、数字和符号;尽量不使用连续的数字、字符串。
避免使用姓名、手机号、生日等信息做密码,不使用与本人有关的常用基础信息。
办公使用密码和私人密码应分别设置,避免“一损俱损”;口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。
不使用空口令或系统缺省的口令;不同设备、系统等应使用不同的密码,以免遭受“撞库攻击”;相关设备应用系统密码应定期更换。
各相关部门及全校师生要加强网络安全意识,立即排查清理管理和使用的各类应用系统,对使用各类应用系统的人员账户和密码进行严格核查,并对密码设置的规则进行整改,设置高强度密码,定期修改密码,清除弱口令问题。
网络安全和信息化领导小组办公室
信息化建设管理处