弱口令是指密碼強度低，或廣泛被使用，容易被攻擊者破解的口令。弱口令一旦被攻擊者獲取，可用來直接登錄系統，讀取甚至修改網站代碼，使用弱口令將使得系統及服務面臨非常大的風險。建議您為服務器設置復雜的登錄口令，并定期提升登錄口令的安全性。

背景信息

出現弱口令的原因 ：

• 設置的自動生成密碼的方式過于簡單，與弱口令檢測的密碼庫相重合。

• 將同一密碼用于多個子賬號，會被系統判定為弱密碼。

使用弱口令可能會造成以下危害 ：

• 對于個人用戶而言，如果使用了弱口令，可能會被猜解或被破解工具破解，從而泄露個人隱私信息，甚至造成財產損失。

• 對于系統管理員而言，如果使用了弱口令，可能會導致整個系統被攻擊、數據庫信息被竊取、業務系統癱瘓，造成所有用戶信息的泄露和巨大的經濟損失，甚至可能引發群體性的網絡安全危害事件。

檢測弱口令

及時檢測弱口令能夠有效防止系統被攻擊和信息泄露，可以提高系統的安全性。

態勢感知基線檢查功能，可以檢查您的IAM賬號/主機中是否存在高危弱口令風險。如果在您的IAM賬號/主機中檢測出了高危弱口令風險，建議您及時修改弱口令。具體方法請參見本文的修改常見的IAM賬號弱口令、修改常見的服務器弱口令、提升口令安全-IAM賬號、提升口令安全-主機。

提升口令安全-IAM賬號

您可以通過以下方法提升IAM賬號的口令安全性：

• 提升密碼復雜度。密碼復雜度建議同時滿足以下要求：

  • 密碼長度至少8個字符；

  • 密碼至少包含以下三種字符種類：

    • 大寫字母（AZ）

    • 小寫字母（az）

    • 數字（0~9）

    • 特殊字符

  • 同一字符連續出現的最大次數為1次；

  • 不要重復使用最近5次（含5次）內已使用的密碼。

• 不使用有一定特征和規律容易被破解的常用弱口令。

  • 生日、姓名、身份證、手機號、郵箱名、用戶ID、時間年份

  • 數字或字母連排或混排，常用彩虹表中的密碼、滾鍵盤密碼

  • 短語密碼

  • 公司名稱、admin、root等常用詞匯

• 定期修改密碼。建議每隔90天更改一次密碼。

提升口令安全-主機

您可以通過以下方法提升主機的口令安全性：

• 使用復雜度高的密碼。建議密碼復雜度至少滿足如下要求：

  • 密碼長度至少8個字符。

  • 包含如下至少三種組合：

    • 大寫字母（AZ）

    • 小寫字母（az）

    • 數字（0~9）

    • 特殊字符

  • 密碼不為用戶名或用戶名的倒序。

• 不使用有一定特征和規律容易被破解的常用弱口令。

  • 生日、姓名、身份證、手機號、郵箱名、用戶ID、時間年份

  • 數字或字母連排或混排，常用彩虹表中的密碼、滾鍵盤密碼。

  • 短語密碼

  • 公司名稱、admin、root等常用詞匯

• 不使用空密碼或系統的缺省密碼。

• 不要重復使用最近5次（含5次）內已使用的密碼。

• 不同網站/賬號使用不同的密碼。

• 根據不同應用設置不同的賬號密碼，不建議多個應用使用同一套賬戶/密碼。

• 定期修改密碼，建議至少每90天更改一次密碼。

• 賬號管理人員初次發放或者初始化密碼給用戶時，如果知道密碼內容，建議強制用戶首次使用修改密碼，若不能強制用戶修改密碼，則為密碼設置過期的期限（用戶必須及時修改密碼，否則密碼應被強制失效）。

• 建議為所有賬戶配置設置連續認證失敗次數超過5次（不含5次），鎖定賬號策略和30分鐘自動解除鎖定策略。

• 建議對所有賬戶設置不活動時間超過10分鐘自動退出或鎖定策略。

• 新建系統中的賬號缺省密碼在首次使用前，建議強制用戶更改。

• 建議開啟賬戶登錄記錄日志功能，登錄日志最少保存180天，登錄日志中不能保存用戶的密碼。

修改IAM賬號弱口令

1. 使用管理員賬號登錄天翼云管理控制臺。

2. 在控制臺頁面，鼠標移動至右上方的用戶名，在下拉列表中選擇“統一身份認證”。

3. 進入IAM控制臺，在左側導航欄中，選擇“安全設置”頁簽，進入“安全設置”。

4. 進入安全設置后，選擇“密碼策略”頁簽，可以對密碼設置策略 、 密碼有效期策略 、密碼最短使用時間策略進行修改。

5. 設置完成后，在“安全設置”頁面中，選擇“基本信息”頁簽，檢查IAM用戶的密碼強度是否為最高級別。

   如果不是，請繼續根據步驟4進行修改。

修改常見的服務器弱口令