【畅聊IT】21期：百名学生中考志愿遭篡改，到底谁是幕后黑手？

7月30日，XX网络安全保卫大队接到报警，某校学生发现自己的中考志愿被篡改！十万火急，警方迅速立案并开始侦办。

不查不知道，一查吓一跳！该学校竟有上百名学生的中考志愿遭到了篡改！此时志愿填报已经停止，被篡改志愿的学生将无法顺利录取升学，这些学生的学习教育将受到严重的影响！

通过对志愿填报系统进行漏洞检查，发现该系统存在验证机制漏洞等问题，基本可以确定有人非法进入计算机信息系统，并将大量考生的填报志愿篡改。

----以上图片和内容来自《某公司》

密码安全，是老生常谈的问题了，各安全厂商已是想尽办法通过提醒、告警、强制要求等等手段来确保用户账号安全，但密码泄漏事件还是常有发生！小编曾私下问过与社友们交流过，大多原因是各种应用太多了，注册的账号，要记的密码也太多，密码设置得太复杂，连自己都记不住...

本期话题：

1、您知道的哪些安全设备具体有弱口令防护功能？您是否使用呢？

2、关于密码的使用方便和使用安全，该如何平衡？

3、您对日常密码安全防护有哪些建议？

......

包括但不限于以上话题，欢迎畅聊！

畅聊时间：2020年9月16日-9月30日

互动奖励：

1、幸运奖：本帖设置1000S豆回帖奖励，每次回复有机会获得20S豆

2、优秀回复奖：凡回复的内容，被管理员设置为优秀回复的，即可获得100S豆打赏！

3、最高人气奖：被管理员设置为优秀回复并且点赞数最多的回复，可获得热门网红零食大礼包一份！

PS：要求点赞数量至少10个以上

点击查看礼品详情

话题回顾：

->>>点击查看往期话题

---

1、您知道的哪些安全设备具体有弱口令防护功能？您是否使用呢？
我知道基线核查BVT可以检测密码的安全强度，SIP、EDR可以进行弱口令防护，别说，我还真用过EDR。
2、关于密码的使用方便和使用安全，该如何平衡？
我觉得密码的比较好的建议是，自己弄个公式，可以把自己的密码算出来，即使忘记了，也能利用公式反推回去，自己的公式别人不可能知道吧，还有密码同时也要满足足够的复杂度和长度。
3、您对日常密码安全防护有哪些建议？
重要的密码要设置地要足够复杂和长，而且是自己容易记住的就行了。

1、您知道的哪些安全设备具体有弱口令防护功能？您是否使用呢？
随着用户对网络安全的注重程度越来越高，各安全厂商针对弱密码的防护也越来越普及，几乎所有安全设备都有针对自身管理账户弱密码的安全策略；针对用户的弱密码安全防护以我的工作经验总结分三个类型，具体产品就不太清楚了。哈哈哈哈！至于问我用不用，作为白嫖概念深入贯彻的社会主义接班人；我通过改变自己意识来完美解决了该问题。

类型一：自带用户管理及认证功能安全设备，包含而不仅限于以下产品
AC、SSL VPN
AC和SSL VPN 在建立认证账户的时候，都可以选择开启弱密码防护功能

类型二：安全加固设备
网络脆弱性扫描设备、网络综合审计设备
扫描设备和审计设备会根据社会工程学设计一套密码数据库，通过设备自身密码数据库进行撞库破解。

类型三：操作系统安全软件
360、QQ管家
Windows 安全软件有对操作系统密码的弱口令防护功能。


2、关于密码的使用方便和使用安全，该如何平衡？
     密码使用方便和安全，首先密码的本身就不是为了方便而存在的；然后使用方便和安全如何平衡，我觉得侧重点应该是根据具体业务来分析，简单的业务不需要设立层层关卡；重要的业务，SHA-256和RSA 2048怎么安全怎么来！

3、您对日常密码安全防护有哪些建议？
   小建议啊，
1、各类条件尽量多：数字、字母、大小写、特殊字符
2、不要轻易透露个人隐私，社会工程学可是很厉害的学科

1、您知道的哪些安全设备具体有弱口令防护功能？您是否使用呢？
普遍各大厂商的交换机灯网络设备都有弱口令防护功能，密码复杂程度必须符合要求，此外，某公司的AC、EDR等设备就可以
2、关于密码的使用方便和使用安全，该如何平衡？
使用安全是第一位的，这是毫无置疑的，在此基础上提升使用的便捷性，否则信息安全毫无保障。
3、您对日常密码安全防护有哪些建议？
密码复杂程度必须要提高，不能使用连续的数字或字母，大小写数字符号组合；
密码不能随便保存，临时保存后需要删除，更不能在公用设备上保存密码；
定期更改密码；

1、您知道的哪些安全设备具体有弱口令防护功能？您是否使用呢？
sip会检查你的弱密码并告警，按照ip地址去修改弱密码或者设置弱密码策略即可，是的在使用

2、关于密码的使用方便和使用安全，该如何平衡？
一定要好记但是不能过于简单，比如说一句诗的首先或者自己喜欢的一句话，不要特别简单，也不能过于复杂以至于自己都忘了

3、您对日常密码安全防护有哪些建议？
定期修改密码。增加复杂度，启用双因子

1、您知道的哪些安全设备具体有弱口令防护功能？您是否使用呢？

    手机短信验证，密码生成器等，单位VPN主要使用；     

2、关于密码的使用方便和使用安全，该如何平衡？

     兼顾安全是方便的基础，方便是安全基础上搭建的，不安全的环境宁可不方便；

3、您对日常密码安全防护有哪些建议？

     三方面建议：密码复杂性不能低于6位、定期更新密码、外部协助操作后更换密码并进行记录；

1、您知道的哪些安全设备具体有弱口令防护功能？您是否使用呢？
     
     没怎么接触过弱口令防护功能，但是AC上都有密码复杂度审核，太简单的肯定会有提示；
     某公司全系列产品都启用了弱密码防护功能；

2、关于密码的使用方便和使用安全，该如何平衡？

     肯定是安全第一呀，要是密码都不安全随意被人匿名访问篡改，企业靠什么来维护信息安全；
     密码安全性是第一位的不容置疑；

3、您对日常密码安全防护有哪些建议？

     定期更改密码吧，设置数字字母大小写区别特殊符号至少三种要素的组合，8位以上的密码感觉安全性更好些；
     以上是最低限度建议，可以扩展或单方面加强；

1、您知道的哪些安全设备具体有弱口令防护功能？您是否使用呢？

三六零系统安全服务里有完善的密码字典库，为你提供弱密码自动排查服务，并提醒你更换存在风险的密码，年前测过SIP，出了测试报告，当时测出来就是OA ERP等内部系统的弱口令太多了 也没在意

2、关于密码的使用方便和使用安全，该如何平衡？

不要因为一时自己记起来方便，而让别人有漏洞可钻

3、您对日常密码安全防护有哪些建议？

复杂别单一，定期修改密码

1、您知道的哪些安全设备具体有弱口令防护功能？您是否使用呢？

                SIP态势感知呀，扫描弱口令防护；还有SSL VPN也是针对弱口令也有相应的保护机制，肯定是会使用的，安全是要不断持续靠人机去维护的

2、关于密码的使用方便和使用安全，该如何平衡？

           安全”一直在不断的与“方便”作斗争，既想要安全又想要简单，密码太复杂记不住，现在不是可以结合零信任的理念去做，多因素认证才能获取信任，环境监测告警等等，才能保证你的信息是安全的，你的账号不会被窃取篡改

3、您对日常密码安全防护有哪些建议？

          比如说：终端环境的检查、推出账号删除本地缓存数据不留任何痕迹、定期推送密码修改，数字+大小写+特殊符号即可，在结合电话、邮箱、人脸识别等等多因素去认证，在把垃圾网站、钓鱼邮件做过滤，并时刻对业务系统、终端等升级打补丁，差不多安全性很高了

1、您知道的哪些安全设备具体有弱口令防护功能？您是否使用呢？
现在很多设备都有这个默认开启功能，就连各种网站都是这样的。搞的我现在很多密码都记不住了。
2、关于密码的使用方便和使用安全，该如何平衡？
复杂性还好，问题是还要定期修改。
3、您对日常密码安全防护有哪些建议？
没有太好的建议，鱼和熊掌不可兼得

这种中考志愿遭篡改的事情简直不可容忍。先不要追究密码强弱的问题，而是要把篡改的幕后黑手一查到底，决不姑息！
不要总是教育受害者如何自保，而是要把坏人严惩不贷！

说真的，安全设备又由谁来负责呢？弱口令防护很多设备都有，现在的网游都要求数字字母大小写，动态手机找回，魔高一尺道高一丈，手机号挂失够后，有没有人试过，只要打人工，说是自家孩子误操作，就能解封？只需要你提供身份证号，身份证号在微信社保查询里居然可以随时看，不用二次密码，只要你手机密码破解，指纹密码比较难，可是手机居然有一个备用手势或者数字密码，6-8位数字密码，几乎瞬间破解，包括某公司在内的，只要身份证和手机号同时验证几乎可以盗取手机绑定的所有银行了！
很可怕吗？没错，只要在网络上的几乎没有秘密，只是迫于法律没有太多人敢干，我们要防范的就是，让秘密少接触网络，专网，内部网，VPN，减少银行卡额度，减少绑定数量，购买基金理财用另外手机号和备用手机（不携带），密码不是万能的，定期修改，复杂程度，会随着年龄的关系变得越来越不现实，即使损失，但在能承受范围才是王道。

1、您知道的哪些安全设备具体有弱口令防护功能？您是否使用呢？
现在大多平台都会有弱口令限制吧，纯字母纯数字的密码基本上已经行不通了，至少要大小写字符加数字至少其中两种或两种以上了。我个人使用密码都是四种均有并且穿插着来的。

2、关于密码的使用方便和使用安全，该如何平衡？
多因子认证吧，比如密码加手机短信验证码，或者密码加二维码扫码，或者人脸识别加密码等等之类的

3、您对日常密码安全防护有哪些建议？
在这个互联网高速发展的现如今，不良分子的水平也是日益高涨，俗话说：流氓不可怕，就怕流氓有文化。坏人比你水平高，比你想的更周全那么你在他面前可能就会很尴尬。安全意识强一些没有错的。不给不良人员任何可乘之机。