密码制定策略
第1章概述 1.1目标 一直以来,互联网的发展都是以扩张效率为主导,激烈的竞争让互联网企业不得不争分夺秒地争抢发展速度,这个时候,安全很容易被视为降低开发效率的影响因素而被忽略。 弱口令指的是仅包含简单数字和字母的口令,通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。弱密码现象是一个典型的安全问题,其根本原因是安全管理的不健全。本文主要描述后台管理系统的密码制定策略(不包含主机密码策略)的安全加固和配置工作,最终用以指导系统实施。 1.2预期读者 本文档用于指导系统工程师进行系统实施工作,架构师和系统工程师、运维人员应该通读本文档,选择适当方式用于自己的系统。 第2章现状简介 经过渗透测试发现当前web应用存在弱口令漏洞,恶意的用户会使用弱口令尝试登录网站后台,从而得到网站的权限。几乎存在所有的后台管理系统和服务器中,如通元CMS存在默认的弱密码。 第3章密码安全制定策略 3.1避免出现弱密码 (1)密码口令的位数应在8以上 如果使用暴力猜解,8位以下的密码都很不安全,猜解的时间很短。 (2)应使用大小写字母、数字和特殊字符结合的方式 密码口令所使用的字符组合为大写字母+数字...
