集中弱口令检查系统分析与设计.docVIP

集中弱口令检查系统分析与设计 　　摘 要：账号口令安全是保障各类设备安全的至关重要的基础，但长期以来，弱口令一直作为电信企业常见的高风险安全问题存在。为了解决口令核查可能影响业务及效率低下的问题，从集中处理密文和优化弱口令字典库等方面出发，提出了一种能够进行集中的弱口令检查方案，能够支持大规模弱口令检测常态化的需要。 　　关键词：弱口令；口令字典；暴力破解 　　0 引言 　　弱口令是指容易被破解的口令，如123456等。长期以来，弱口令一直作为各种安全检查、风险评估报告中最常见的高风险安全问题存在，成为攻击者控制系统的主要途径，许多安全防护体系是基于密码的，口令被破解在某种意义上来讲意味着其安全体系的全面崩溃。 　　通信运营商的设备通常数量多，类型杂，以某省移动公司为例，一个网络部位维护的设备有几千台，类型上百种，无法进行有效的、全量的弱口令检查，且运营商系统往往具有24小时不间断提供业务的特点，要求口令检查不能影响业务。 同时，通信企业内的弱口令除了安全界通用弱口令外，还包括常见的设备缺省口令、维护人员习惯设置的常见弱口令等，这些口令较为隐秘，除使用人外一般无法发现。特别是系统缺省弱口令，是发生第三方人员“越权使用、权限滥用、权限盗用”等违规行为的一个重要原因。 　　1 现有弱口令检查技术分析 　　1.1 密码破译原理 　　弱口令检查的实现基于密码破译，密码分析者破译或攻击密码的方法主要有穷举攻击法、统计分析法和数学分析攻击法。 　　穷举攻击法又称为强力或蛮力（Brute force）攻击。这种攻击方法是对截获到的密文尝试遍历所有可能的密钥，直到获得了一种从密文到明文的可理解的转换；或使用不变的密钥对所有可能的明文加密直到得到与截获到的密文一致为止；统计分析法就是指密码分析者根据明文、密文和密钥的统计规律来破译密码的方法；数学分析攻击是指密码分析者针对加解密算法的数学基础和某些密码学特性，通过数学求解的方法来破译密码。数学分析攻击是对基于数学难题的各种密码算法的主要威胁。 　　由于操作系统口令加密往往采用了MD5或SHA-1 等不可逆加密算法，而且在企业中使用的操作系统类型往往较多，因此无法用统计分析法和数学分析法来检查系统中存在的弱口令。对于实际应用中的密码系统而言，至少存在一种破译方法，即穷举法。利用穷举法进行暴力破解是较多的弱口令检查工具采用的方法，如John the ripper、LC5、RainbowCrack、Ophcrack等破解工具，为了避免计算量过大和破译时间太长，这些工具往往使用了口令字典，只对字典里的口令进行尝试。 　　1.2 弱口令核查方式分析 　　目前弱口令核查采用主要采用两种方式：远程连接网元反复尝试登录帐号口令的方式和登录主机等设备获取口令文件进行离线单机破解方式。 　　远程连接网元、尝试登录帐号口令方式存在以下问题： 　　①有损探伤，极易造成配置了帐号锁定策略的设备死锁，影响用户正常访问； 　　②由于考虑对网元设备存在影响，不能开展超大字典库的尝试，因而往往集中于出厂缺省帐号配置和少量其它弱口令，不能更加全面发现不符合强口令策略的其它弱口令； 　　③由于只尝试登录从互联网可以访问到的设备，无法实现防火墙隔离的内网设备的弱口令核查； 　　④由于采用尝试登录可连接的设备进行弱口令核查，没有口令破解算法模块，不支持离线对口令文件的检查，未购买相应工具的省公司无法借助已有平台完成所有防火墙内、外网设备的弱口令核查。 　　人工登录主机等设备获取口令文件，利用带弱口令字典的破解工具进行离线、单机破解方式主要存在以下问题： 　　①分散化，弱口令字典分散在各个离线破解的工具当中，无法进行统一、高效的配置和管理，如弱口令字典库升级，无法做到一点升级全网有效，及时更新最新弱口令字典； 　　②人工工作量巨大，包括逐个设备获取文件、破解结果统一分析形成报告等等； 　　③效率低下，无法实现定期、全网性弱口令排查。 　　④需要获得目标机器的密码密文文件。 　　2 集中弱口令检查系统体系架构设计 　　2.1 集中弱口令检查系统主要需求 　　集中弱口令检查系统是为实现对通信运营商全网所有网元中的所有帐号口令强度的高效、全面、准确、及时掌控，整合现有安全技术手段，引入和优化现有口令检查工具的方法，从而实现大规模口令的常态化检查，支持完全不影响业务系统正常运行的、以在线或者离线获取各网元口令文件、后台集中破解为主要特征的“无损探伤”模式弱口令核查功能，支持集中核查各类在网主机、数据库、网络设备、应用系统的弱口令核查功能，以实现全面掌控在网设备口令设置情况的目的。主要有4个方面需求。 　　①建设符合企业和运维特点的弱口令字典：自动或手工搜集全网各类主机、网络设备、应用、数据库等