来源 :飞天诚信2024-01-26
近日,一则名为“各厂商服务器和存储设备默认密码大全”的网帖在网络流传。文章开头称,“服务器的默认密码通常会因厂商、型号和配置而有所不同,且为了安全起见,生产厂商不会公开默认密码。在首次设置服务器时,应创建强密码并定期更改密码,以确保服务器的安全性。如果忘记或丢失了密码,应联系服务器厂商的技术支持部门,提供服务器的相关信息,以获取帮助和指导。”随后就堂而皇之地贴出了多款服务器的默认账号和密码(口令)……
(图片来源于网络)
服务器以及网络设备的默认密码(口令)一直是网络安全的痛点之一。一方面,未及时修改的默认口令容易成为网络攻击的“破口”,网络黑客可利用默认口令在网络中长驱直入;另一方面,网络设备的默认口令修改之后,如果网络服务出现停服等重大故障,紧急恢复时还需要核实网络设备的当前口令,容易影响恢复速度,甚至可能因为忘记口令而导致无法执行设备重启等操作。尽管有口令管理器等对设备口令进行集中管理的产品,然而一旦口令管理器被攻破,又会造成大规模的网络安全威胁……
等保2.0要求“采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现”(见国家标准GB/T 22239《信息安全技术网络安全等级保护基本要求》8.1.4.1,适用于等保三级及以上系统)。“第二因子认证”指的就是在服务器以及网络设备已经采用口令鉴别机制(因而存在默认口令)的情况下,再增加一种鉴别机制。增加第二因子认证之后,即使网络设备的默认口令泄露,新增加的鉴别机制也可以起到有效的安全防护作用。考虑到口令不属于密码技术,为了满足等保2.0的要求,新增加的鉴别机制应当使用密码技术。
动态口令就是一种使用密码技术的第二因子认证技术。动态口令是一种一次性口令机制,口令通过用户持有的客户端器件生成,并基于一定的算法与服务端形成同步,从而作为证明用户身份的依据。在信息系统中部署动态口令系统,为服务器和网络设备增加动态口令作为第二因素认证,构建“口令+动态口令”的多因素鉴别机制,满足等保2.0要求,有效改善默认口令带来的安全风险,是一种安全合规、方便快捷的解决方案。(《飞天诚信动态令牌OTP获得商用密码产品认证(安全二级)》)
将于6月1日实施的密码行业标准GM/T 0021-2023《动态口令密码应用技术规范》(《飞天诚信牵头修订的新版《动态口令密码应用技术规范》发布》)在附录中介绍了几种可用于动态口令系统与应用系统对接的框架,包括RADIUS和PAM等。RADIUS(Remote Authentication Dial In User Service,远程认证拨号用户服务)是一种应用广泛的AAA(Authentication Authorization Accounting,鉴别、授权与计费)服务。RFC2865及RFC2866对RADIUS进行了详细规定。PAM(Pluggable Authentication Modules)在Linux、UNIX等操作系统得到广泛应用,在信创操作系统也得到支持。