自动检测弱口令用户

2015-11-30 08:27
网络安全和信息化 2015年4期
关键词:系统管理自动检测口令

面临的问题

随着业务的发展,公司业务人员数量急剧增加,相关业务系统也增加了不少用户,但是令系统管理人员头疼的是不少用户将系统口令设置得非常简单,也许这是为了自己的方便,但这种行为无形中严重损害了公司的利益,特别是一些重点岗位的业务人员,如果将公司核心业务系统的口令设置得过于简单,将很可能被一些别有用心的人利用,给企业带来极大的损失。

系统管理人员及时向领导汇报了这个情况,领导要求将这些设置弱口令的用户找出来,然后通过发送警示邮件的方式敦促他们修改密码。但用户口令都是加密存储,即使在系统后台也无法识别哪些是弱口令用户;而且用户数量大,如果单靠人工去手动测试密码,工作量是无法想象的。如何按照领导指示去完成工作呢?有没有高效、简单可行的方法去完成弱口令用户检测呢?这也许是很多企业系统管理人员面临的窘境。

图1 自动检测脚本流程图

弱口令自动检测的实现

既然人工方式检测弱口令用户不可行,我们能否利用运维自动化技术来实现自动检测呢?答案是肯定的,因为所有用户进行口令认证的流程基本一致,这也是运用自动化技术解决问题的绝佳条件,所以通过编写脚本程序就能控制整个用户口令认证的全过程,这样就能勿需人工干预,实现自动化检测弱口令用户的功能,上述问题即可迎刃而解。

本文以某单位的业务系统为例,详细介绍实现自动检测的全过程。该单位的核心业务系统用户认证采用的是Cisco ACS系统,利用Radius协议实现用户的认证,用户信息都是加密存储在Cisco ACS系统内置的数据库中,管理员是无法看到用户的明文口令的。针对这个问题,本文采用VBScript语言编写自动登录脚本,模拟用户登录业务系统的认证过程,将所有用户逐个与我们定义的弱口令进行配对检测,根据登录成功与否来判断用户是否为弱口令用户。整个检测流程如图1所示。

下面将对图1所示流程模块的实现进行介绍(“//”代表注释)。

1.创建并初始化相关对象和变量。

2.调用IE,自动输入用户登录页面的URL。

3.由于ACS系统是采用https协议,会弹出警示页面,需要点击“继续浏览此网站(不推荐)”才能进入登录界面。如果采用的是http协议,就不需要这一步。

4.依次读取用户和对应的弱口令,进行实际的检测工作;其中用户名利用userinfoArray这个数组来存储。

图2 用户登录界面

图3 用户登录成功界面

图4 用户登录失败界面

//搜索网页中是否存在对应的关键字,判断是否登录成功;如果存在关键字,表明用户已经成功登录,那么该用户就是弱口令用户;否则就不是弱口令用户。

如果满足上述条件,则可以将该用户标记为弱口令用户,然后将弱口令用户写入WeakUser.txt文件;否则继续进行下个用户检测,直到所有用户检测完毕。

效果展示

下面将结合实际案例进行展示。由于Cisco ACS系统有一个页面供用户修改密码,而且修改密码之前必须先使用用户名和口令登录,页面布局也比较简单,比较容易抓取网页的数据,所以我们选择这个页面来进行弱口令用户检测。首先我们需要将业务系统的用户导出到对应的文本文件中,每行一个用户;接着定义弱口令,这里可以灵活设置,如果安全要求较高,可以利用口令生成器按照一定规则来生成弱口令集,反之,可以手动填充弱口令集。由于管理员在创建本业务系统用户时设置的默认口令统一为56781234,而大多数弱口令用户都是没有修改默认口令,所以本文设置的弱口令就为56781234。完成这些工作后,就可以双击运行自动检测程序,我们就可以安心去干其他工作了。程序运行后,效果如图2-5所示。

通过实际测试,检测一个用户大概需要3~5秒的时间,速度比较令人满意,即使是数百个用户的规模,也能在一小时内完成检测工作;而且检测完成后会生成一份如图5所示的弱口令用户名单,根据这份名单,我们就可以定位到用户本人,然后通过邮件或者其他方式提示用户及时修改弱口令。

图5 检测后生成的弱口令用户名单

经验总结

本文介绍了一套简便、轻量级的弱口令用户检测方案。这套检测方案在企业应用后,收到了良好的效果,每季度检测一次,让系统管理人员做到了对弱口令用户心中有数,及时跟踪并督促,极大地提高了企业的运维管理能力。本文介绍的方案只是针对某个应用系统用户的检测,其实对于其他应用系统,检测思路和框架完全一致,只是在某些模块的具体实现方面会略有差异,所以能够比较容易地移植到其他应用系统上。自动化是IT运维管理未来的趋势,本方案的实施是运维自动化方面的一次有益尝试,相信对其他企业也有很好的借鉴效果。

猜你喜欢
系统管理自动检测口令
角接触球轴承外圈锁口高度自动检测规改进
高矮胖瘦
口 令
基于STM32的室内有害气体自动检测与排风系统
《系统管理学报》征稿简则
光电传感器在自动检测和分拣中的应用
好玩的“反口令”游戏
SNMP服务弱口令安全漏洞防范
K-F环自动检测系统设计
《系统管理学报》征稿简则