在一次网络安全攻防演习中，由弱口令导致的攻击事件实在令人心惊胆战。弱密码、空密码、内置及明文密码等逐一被挖掘出来。涉及不乏有企业重要业务系统以及核心基础设施的账号安全问题。对此，总结了一些小的建议和大家分享一下：

1、重要基础设施增设双因子验证

为重要基础设施及核心应用增设双因子认证，尤其是核心网络设备、安全设备、邮件系统等其他重要业务系统的登录验证。双因子动态验证是在账号密码的基础上增加动态口令验证环节来提升账号密码身份验证强度，从而达到强化身份验证的效果。

动态口令是由动态令牌根据特定算法(国内建议国密算法)每隔固定时间生成的一次性口令。每个口令不可复用，一旦使用立即失效，以此确保每次验证的唯一性。

面向多场景的安全认证，动态令牌选择的关键在于双因子认证服务器应用场景的兼容性。双因子产品的兼容性越强，企业可以使用的双因子认证领域越多，如VPN、虚拟化、网络设备、安全设备、服务器、堡垒机以及邮件系统、单点登录(office365、salesforce、SAP等多业务系统的统一登录入口)等。

2、定期修改密码，并增强账号密码设置难度

已对接双因子认证的领域，动态口令的时效性有效的解决了弱密码被破译、账号密码泄漏的安全隐患。没有对接双因子认证的场景，还需从密码上进行管理，比如定期修改密码、增强密码设置难度等。

对比传统管理员集中式更改密码的方案，建议采用去中心化的方式实现密码定期更改。比如，管理员在认证服务器设置了密码的有效期为30天；在密码过期的前两天开始提醒用户前往指定位置进行修改；同时加强密码强度设置，提升密码被破译的难度。如下图：密码设置要求需满足大写字母、小写字母、数字和特殊符号中至少三种字符同时使用的需求。

用户自服务平台：用户在密码到期前，使用自己的账号登录自服务平台自助完成密码的修改，从而实现密码管理的去中心化运维。

3、特权账号弱密码治理

特权账号的管理已成为当前的热门话题，解决特权账号的关键在于找到所有的特权账号，可利用专业工具实现对特权账号的管理。其中网络设备基础运维可采用TACACS+ 授权的方式限制用户可操作命令，避免越权操作事件。

4、物联网设备账号安全及访问控制

由于部分物联网设备功能单一，账号密码简易且不可更改。所以面向这些物联网设备的安全整治还是要从访问控制入手，限制IoT终端的访问权限，防止企业信息泄漏。

5、安装弱密码发现工具并持续性优化

采用密码词典和撞库的方式发现企业内的弱密码，持续性更新网上泄漏的账号密码信息并用来检测企业内的账号安全状态，避免像“zhanghu-123456”这样的简易组合的存在。密码撞库工具可在网络下下载并不断更新。

6、统一账号身份管理

统一企业身份管理，规范主账号源，确保企业内每个用户有且仅有一个有效身份账号，且其所访问的设备和应用也仅能使用自己的账号密码进行认证，避免账号共享。

a)  建立统一身份管理系统，及时删除多余、过期的账户，避免僵尸账号入侵；

b)   应用系统取消默认账号密码(或修改默认口令)，统一对接企业账号源；

c) 系统管理员、审计管理员、安全管理员的登录场景尽可能添加双因子动态口令；

d)  在可允许的条件下，限制用户登录次数，同时采用登录连接超时自动退出策略；

e)  本地(自研发)及云业务系统与单点登录项目整合，通过最小权限策略限制应用系统的可见性。

总结：账号密码场景应用普遍，且处于网络攻击的首要地位。因此，企业一方面要培养员工的账号密码安全意识，避免个人账号泄漏及弱密码的使用，同时借助商用产品增强账号身份安全能力，解决企业网络弱密码安全问题。