強(qiáng)密碼是保護(hù)用戶帳戶的關(guān)鍵——即使是已經(jīng)忘記的帳戶。黑客也會(huì)尋找任何方法來(lái)訪問用戶的環(huán)境或竊取數(shù)據(jù)，甚至利用早已被遺忘的陳舊或不活躍的帳戶。

舊賬戶很容易被忽視，但它們?nèi)匀豢梢詾楹诳吞峁┏跏荚L問路線，并為他們提供擴(kuò)大活動(dòng)的平臺(tái)。每個(gè)有權(quán)訪問用戶基礎(chǔ)設(shè)施的賬戶都很重要。

保護(hù)測(cè)試賬戶

測(cè)試環(huán)境（例如在創(chuàng)建新軟件或網(wǎng)站功能時(shí)生成的環(huán)境）是黑客的首要目標(biāo)。犯罪分子可以利用這些帳戶輕松訪問數(shù)據(jù)：例如，用于開發(fā)測(cè)試環(huán)境的真實(shí)客戶信息。他們甚至可以利用這些環(huán)境作為跳板，訪問其他更具特權(quán)的帳戶。黑客可以利用管理員或特權(quán)帳戶造成更大的破壞。

當(dāng)熟練的攻擊者獲得具有登錄憑據(jù)的任何用戶帳戶的訪問權(quán)限（即使是具有非常低訪問權(quán)限的舊測(cè)試帳戶）時(shí)，他們可以將其用作擴(kuò)展訪問權(quán)限和提升權(quán)限的平臺(tái)。

例如，他們可以在具有相似權(quán)限級(jí)別的帳戶之間水平移動(dòng)，或者垂直跳轉(zhuǎn)到具有更多權(quán)限的帳戶，例如 IT 團(tuán)隊(duì)帳戶或管理員帳戶。

微軟漏洞利用測(cè)試賬戶

今年 1 月，微軟表示其公司網(wǎng)絡(luò)遭到俄羅斯黑客的攻擊。名為 Midnight Blizzard 的攻擊者竊取了電子郵件和附加文件。

微軟表示，只有“極小一部分”公司電子郵件賬戶遭到入侵，但其中確實(shí)包括高層領(lǐng)導(dǎo)以及網(wǎng)絡(luò)安全和法律團(tuán)隊(duì)的員工。

攻擊者使用“密碼噴灑攻擊”入侵，這是一種暴力破解技術(shù)，涉及對(duì)多個(gè)賬戶嘗試相同的密碼。這次攻擊沒有利用微軟系統(tǒng)或產(chǎn)品的漏洞。

相反，這就像猜測(cè)未使用的測(cè)試帳戶上的弱密碼或已知被破解的密碼一樣簡(jiǎn)單。用該軟件巨頭的話來(lái)說(shuō)，攻擊者“使用密碼噴灑攻擊來(lái)破壞傳統(tǒng)的非生產(chǎn)測(cè)試租戶帳戶并獲得立足點(diǎn)”。

這就強(qiáng)調(diào)了確保所有帳戶（而不僅僅是管理員或特權(quán)帳戶）獲得最高級(jí)別保護(hù)的重要性。

至關(guān)重要的是，企業(yè)應(yīng)避免在測(cè)試賬戶上使用弱憑據(jù)或默認(rèn)憑據(jù)；在 PoC 之后，應(yīng)停用測(cè)試賬戶/環(huán)境；并且應(yīng)正確隔離測(cè)試賬戶和類似環(huán)境。

如何使用強(qiáng)密碼確保所有賬戶安全

那么用戶可以采取什么措施來(lái)保護(hù)自己的所有帳戶——即使是在非活動(dòng)環(huán)境中時(shí)。

·Active Directory 審計(jì)：保持對(duì)未使用和不活躍帳戶以及其他與密碼相關(guān)的漏洞的可見性至關(guān)重要。

·多因素身份驗(yàn)證：MFA 是抵御黑客的重要防御措施，即使密碼被泄露，也能為您提供額外的防御層。

防御措施越多越好，可以從雙因素身份驗(yàn)證開始。例如，輸入密碼后通過(guò)一次性密碼確認(rèn)。然而，最強(qiáng)大的 MFA 不止兩個(gè)步驟，可能還包括生物識(shí)別方法，例如面部掃描或指紋。

如果用戶在賬戶（甚至是測(cè)試賬戶）中建立了 MFA，安全性將大大提高。但是，請(qǐng)注意 MFA 仍然可以被規(guī)避，密碼泄露仍然是最常見的起點(diǎn)。

·加強(qiáng)密碼策略：有效的密碼是抵御黑客的重要第一道防線。用戶·的密碼策略應(yīng)阻止最終用戶創(chuàng)建包含常見基本術(shù)語(yǔ)或鍵盤行列（如“qwerty”或“123456”）的弱密碼。

最好的方法是強(qiáng)制使用長(zhǎng)而獨(dú)特的密碼或密碼短語(yǔ)，同時(shí)使用自定義詞典來(lái)阻止與特定組織和行業(yè)相關(guān)的任何術(shù)語(yǔ)。

升級(jí)所有帳戶的密碼安全性

毫無(wú)疑問，人們面對(duì)的是一群非常老練的網(wǎng)絡(luò)犯罪分子，他們會(huì)利用任何弱點(diǎn)來(lái)破壞用戶的系統(tǒng)、竊取用戶的數(shù)據(jù)、造成經(jīng)濟(jì)損失甚至毀掉聲譽(yù)。這些犯罪分子往往采用新技術(shù)來(lái)實(shí)施密碼噴灑攻擊和其他暴力破解方法。

然而，盡管這些技術(shù)為黑客提供了新的攻擊途徑，但它也是建立防御的關(guān)鍵。借助密碼策略和密碼審計(jì)器等工具，用戶可以檢測(cè)帳戶中的漏洞，甚至是不知道的漏洞。所以，建議所有人都應(yīng)該勤加利用相關(guān)安全工具以保護(hù)自己的賬戶。