最后更新于2022年10月20日星期四13:00:00 GMT
密码,amirite? 我们都有. 可能有很多. 它们是抵御恶意攻击者访问我们在线账户的最重要防线之一. 可悲的是, 我们都很清楚, 密码健康并不是我们的共同优势,我们经常听到密码管理松散或管理不善导致的漏洞.
在Rapid7, 我们不断对攻击者行为的最新趋势进行原创研究, 漏洞, 网络安全趋势可能导致下一个重大漏洞(或下一个重大扑救). 在我们最新的报道中, 坏机器人的好密码, 我们研究了用于远程管理的两种最流行的协议, SSH和RDP, 了解攻击者如何利用较弱的密码管理来访问系统. What we found in many ways confirmed our assumptions 1) attackers aren’t “cracking” passwords on the internet; and 2) we still collectively stink at password management.
我们是这样做的.
作为一家网络安全公司,我们有时会被要求涉猎“黑魔法”,以便更好地为我们自己和我们的客户在现实世界中可能看到的各种攻击做好准备. 有时这意味着渗透测试(雇佣我们入侵你的系统,相信我们,这很有趣). 有时我们部署蜜罐来引诱和捕捉攻击者在无风险环境中的行为,以便研究他们.
对于这份报告, 我们使用我们的蜜罐网络(其中有几百个)来监视SSH和RDP登录尝试. 一旦我们将注意力集中在身份验证尝试(而不是漏洞利用尝试)上, 低接触扫描, 和类似的)我们发现512,攻击者试图使用002个唯一密码.
然后我们转向了rockyou2021.TXT列表,以确定在这个行业标准的暴露密码列表中存在多少这些密码. 准备好被震惊吧:几乎所有人都是. 事实上, 我们发现,只有14个被暴力破解的密码没有在rockyou2021中被发现.txt文件. 我们认为这些可能是错误的,因为它们包含了一串蜜罐的IP地址. Unless they are signs of some dastardly attack that we haven’t seen before
但如果攻击者使用自动化工具在线“破解”密码,我们会看到更多这样的攻击, 更多. 有一首八级的曲子.在rockyou上有40亿个密码.txt文件. 我们在蜜罐里发现了不到50万个. 更有可能发生的是,攻击者仍然依赖于人与安全基础设施的联系,这是众所周知的安全链中最薄弱的环节之一. 社会工程,如网络钓鱼密码,和凭证填充(即. 对于攻击者来说,在其他目标平台上尝试已知密码(以捕获重复使用相同用户名和密码的人)仍然是比自动破解密码更有效的方法.
这实际上告诉我们,要避免这类攻击并不难. 事实上, 一些最受攻击的证书应该会让任何熟悉互联网的人都难以掩饰. RDP最常用的三个用户名是“administrator”、“user”和“admin”.“三个最常见的密码? 做好准备:“root”、“admin”和“nproc”.最受欢迎的密码之一是“123456”,这绝对不是我们行李的密码组合. 所以,是的,我们的密码做得不够好.
但正如我们之前所说,要打败这种攻击并不难. 你甚至不需要特别强的密码来保护自己, 只是其中带有随机性. 也许会加入一些奇怪的角色. 不要在多次登录时重用它. 最重要的是不要使用默认密码. 所有这些都可以通过使用创建唯一密码的密码管理器服务来实现, 你所有在线账户的随机密码. 我们没有从这些服务中得到报酬来说这些, 我向你保证, 他们只是碰巧是一个强大的,但未充分利用的方式来拥有良好的证书卫生.
如果你想了解更多,请下载我们的新报告 坏机器人的好密码. 然后,去修改你的密码. 所有的. 你会很高兴这么做的.
