當我們談論弱密碼時，我們在談論什么？

（時間：2017.12.14）

如果密碼會說話，它肯定會說自己鴨梨山大。

密碼：快被玩壞了

最近幾年，國內就發生了多起令人震驚的安全事件。一面，我們不遺余力地用密碼保護屬于自己的領域，不讓外人隨意進入；另一面，在利益的驅動下，密碼成為黑客絕不會放過的獵物：得到密碼，往往也意味著得到了控制權和利益。密碼，注定成為黑客和白帽子的必爭之地。

當我們設置弱密碼的時，我們在設置什么

互聯網江湖雖然險惡，但我們并非只能坐等黑客上門。常在江湖漂，可以不挨刀，當然，前提是你得練好內功：提高自身的安全意識。

下面就以華為云幫助用戶處理的各類弱密碼事件為材料，來分析云上用戶在設置弱密碼時是在設置什么，避免重蹈弱密碼的坑。每次掃描出的密碼，云安全部都會通知對應的用戶進行修改。

坑一：密碼中包含常用詞匯

有不少用戶在設置密碼時使用了時間年份、123456、123！、公司名稱、admin、root等常用詞匯，這些詞匯要嘛是常用和簡單到不知道怎么描述，要嘛是所在部門的簡稱。這其中使用最多的詞匯是公司名，在545個弱密碼中包含公司名的占了236個，看來用戶們對工作真是愛得深沉啊。

坑二：使用具有鍵盤特征的詞匯

所謂具有鍵盤特征，就是看著像手滑產生的詞匯，比如1qaz、wsx、qwe這類，小手在鍵盤上45°或直線一掃就能產生。雖然看著是很“隨機”，看著也不“弱”，但要知道，這類密碼因為具有的特征太明顯，一點也不比123、456之類的詞匯更安全。

坑三：賬號密碼相同

這類弱密碼很容易攻破，因為只要猜對賬號密碼中的任何一個，就獲得了賬號權限，相當于減輕了攻擊者一半的猜解難度，如賬號test，密碼也是test；oracle oracle；nagios nagios；zabbix zabbix等等。

坑四：使用被黑客破解過的密碼

被黑客破解過的密碼實在是多不可數，很難有一個明確的界定，之所以把這類密碼專門列一項，是因為這類密碼是最容易被忽視的，因為它看起來根本一點都不“弱”，為什么安全用戶還是把它列為弱密碼？

比如有用戶問，我的密碼是“公司名@xxx”、“1qazxxx.”，明明要數字有數字，要字母有字母，要特殊符號有特殊符號，怎么看都是個“強”密碼，符合安全原則，為什么還要我修改？

這類密碼，從強度來說，是符合一般的密碼要求的。但問題在于，這類密碼被黑客破解過，形成了所謂的“破解庫”。用這個庫來猜解密碼，就有較大的概率破解出來。就好比，小明收集了很多把鑰匙，這些鑰匙有一把曾經打開過小紅的保險柜，韓梅梅使用的鑰匙和小紅的是一樣的，請問小明打開韓梅梅的保險柜的概率大不大？當然大。

華為云安全作為華為云的安全部門，每月都檢測到數以萬計地針對華為云的掃描。在關注業界安全動態的過程中，如果收集到新的黑客破解的密碼庫，云安全掃描出云上用戶使用的密碼是否在庫中，如掃出，無論這個密碼看著是強還是弱，都應視作弱密碼，因為它已經具有了潛在的安全隱患。此時云安全會通知用戶進行密碼修改。

拿什么拯救你，我的密碼

如何保障云主機的賬號密碼安全？用華為云提供的“密鑰對”方式登錄，是個既好，又快的方法，這種登錄方式，在亞馬遜的AWS、微軟的Azure上都是默認啟用的。

1.?原理

一個密鑰對，分為公鑰和私鑰。“密鑰對登錄”，就是在主機創建時或創建后，將密鑰對的公鑰儲存在遠程主機上。登錄的時候，遠程主機會向用戶發送一段隨機字符串，用戶用自己的私鑰加密后，再發回來。遠程主機用事先儲存的公鑰進行解密，如果成功，就證明用戶是可信的，直接允許登錄shell，不再要求輸入密碼。

2.?優勢

1)???安全，密碼不通過網絡傳輸，密鑰對使用的加密算法安全性極高，可防止主機被暴力破解。

2)???方便，一次配置可以免去每次登錄輸密碼的繁瑣。

3.?操作指導

這里通過Xshell工具來進行演示密鑰登錄主機。（注：Xshell工具比較方便，可百度搜索下載。）

1)???創建密鑰對：進入云服務器控制臺的密鑰對界面，創建一條密鑰KeyPair-73b1，同時系統自動給你推送私鑰（私鑰需要保存好，不能丟失，否則主機就無法登錄）。

2)???創建云彈性主機，設置密鑰對登錄。

3)???將生成的私鑰，導入Xshell中

4)???檢測創建好的彈性云主機的配置，如彈性IP地址、密鑰對和安全組設置等。

l??）檢查云主機的EIP地址和密鑰對。

2）檢查云主機的安全組，這里采用了默認安全組，實際使用時，應該將安全組的權限控制最小化。

5)???通過xShell采用密鑰登錄主機

1)創建登錄鏈接配置，輸入云主機彈性IP地址，保存。

2)創建鏈接登錄后，選擇并登錄，在彈出框中輸入root賬號

3)?配置密鑰，并還可以在Xshell中加入密碼設置，防止你電腦上Xshell中的這個登錄鏈接被人利用，并勾上記住密碼，這里密碼可為空。

4)點擊確定后，即可登錄云主機。

總之

云主機被暴力破解是主機安全的頭號敵人，通過秘鑰對登錄可以大大提高主機安全，防止被黑客利用。這里只講了新建云主機通過密鑰登錄的場景，新建ECS的用戶都可以借鑒采用。至于已經創建的云主機，用戶也可以通過第3方工具創建密鑰，再講密鑰上傳主機并進行配置好，再通過Xshell等工具進行登錄，原理一樣，具體可以百度。下次再深度為大家講解，敬請期待。

密碼如此重要，怎么重視都不過分。希望大家對待工作密碼比如郵箱密碼、系統密碼，也能像對待支付寶密碼一樣：想想如果這個密碼作為你的支付寶密碼，它夠安全嗎？如果不夠，該怎么做？

通用安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。