PHP安全：杜絕弱口令

在PHP的應用中一直都存在安全問題，其中有一個就是因為弱口令引起的，接下來一起看看怎麼杜絕吧!更多消息請關注應屆畢業生網!

所謂弱口令就是非常簡單的密碼，比如“admin、123456、888888”等等。這類密碼因為很方便記憶，所以被大量使用，但是也非常容易讓他人猜測到，更容易被黑客暴力破解。

弱口令一直是數據泄露的一個大症結，因為弱口令是最容易出現的也是最容易被利用的漏洞之一。從去年發生的好萊塢明星“豔照門”事件到今年年初海康威視“安全門”事件，都是因為弱口令問題被黑客加以利用而導致大量隱私泄露。

通 過調查兩千五百名網民的密碼使用情況，發現了一個有意思的情況：74%承認他們每個月都會忘記至少一個密碼，其中33%的人會因此有5分鐘訪問不到工作上 的某些資源，57%的人是5-30分鐘，剩餘10%的人更高。在登錄站點發生密碼錯誤時，71%的人多次嘗試不同密碼後成功登錄，18%選擇找回密碼，剩 餘11%則直接重新註冊一個新賬號。

比如機場的無線網絡密碼就經常採用弱口令。如果你想上網但又捨不得去咖啡廳的時候，有些常見的弱口令可 以試試，比如説1234567890，而這些弱口令常常使用WEP網絡。當然，還有經驗豐富的網友説，商家的電話號碼或者跟他們相關的數字都可能是無線網 絡密碼，比如説店名+123一類。

而除了以上信息，弱口令有時候甚至可能是用户身份的相關信息，這裏就涉及到了用户的信息安全。如果要保護口令的安全，就需保護用户的信息安全。這裏波及的面更廣，拿到了用户信息就可能拿到用户的財務信息，包括銀行卡密碼。

無論從什麼角度來看，忘記密碼造成的麻煩甚至是損失都是不小的.，因此許多用户會選擇使用簡單好記的密碼或總是讓瀏覽器記住他們的密碼。而弱密碼是非常危險的，在商業環境中，這種做法的數據泄露風險同樣可想而知。

　　那麼，對於企業來説，該如何規避此類風險?

杜不絕的簡單密碼是常見的難題

許多企業花費了許多精力在技術部署上，各種技術性防護措施部署非常到位，但是卻難以杜絕員工使用弱口令。密碼被黑客獲取，就好比小偷得到家裏的鑰匙，即時防盜門再好也無濟於事。因此，解決弱口令問題，關鍵在於採取適當的解決方法。通常情況下，大部分企業會選擇這些做法：

一、進行員工培訓，提高員工的網絡安全意識

二、在制度上嚴格規定，規範公司賬號密碼使用方法

三、通過技術手段對弱口令進行限制

弱 口令不是簡單的管理問題，每個人都有使用固定的密碼的習慣。培訓和制度的約束很難改變一個人的行為習慣，況且培訓和制度的約束效果無法量化，實施起來收效 甚慢，弱口令也不是一個單純的技術問題。比如我們可以通過技術手段強制要求密碼的複雜策略，但是防不住員工把密碼貼在顯示器上，這也是弱口令導致泄露事件 頻發的原因之一。因此規避弱口令問題，企業必須從管理和技術等多方面着手。

規避弱口令風險，可以嘗試這樣做

　　一、統一集中管理認證憑據

1、對於系統類的，" target="_blank">Windows有域策略，可以強制要求密碼複雜度策略。

2、*nix類的系統可以通過LDAP的方式集中管理。

3、對於高危服務類，比如MySQL、FTP、Redis、SVN、Git、Rsync等常被黑客利用的高危服務，由於業務特性極少做統一的管理，那麼可以要求它們限定訪問來源。

4、對於私有服務類，這裏是指一些自己寫的後台接口，在瞭解具體協議和用法之後，很多人也不會去做鑑權控制，所以只要是潛伏時間足夠長，往往都有驚人的權限。同理，能夠做統一集中的鑑權最佳，否則至少限制來源訪問。

　　二、廢棄傳統靜態密碼，或不僅僅使用傳統密碼

一旦完成了統一集中管理，就可以做到首次認證，後續攜帶登錄狀態自動登錄其它系統。這樣你可以在首次認證的時候，在密碼的基礎上加入動態密碼或生物識別驗證。

　　這裏可以使用的工具有：

一、動態口令硬件(類似於銀行使用的網銀支付使用U盾產品);

二、手持終端掃碼，這本質上是信任手持終端，在此前可以加入生物特徵，比如指紋、人臉、聲紋等可靠的校驗機制;

三、當然，也有些用短信驗證的，不過短信成本高，並且是明文傳輸，有盜卡、補卡的風險，內部系統其實並不適合。

可以説，能做到兩點，也就無所謂是否還改密碼，是否是弱密碼也不再需要擔心撞庫的問題了。

最後説第三點，也是最關鍵的一點：讓公司領導明白弱口令的嚴重性!