攻防演練開始之前，L公司信心滿滿。

他們早早地梳理好了內網資產，關停了大量非必要的服務、端口，收斂了互聯網暴露面。他們掃描、修補了設備和應用的安全漏洞，進行了系統加固。他們部署了監控和響應工具，做了詳盡的應急預案。他們做了好幾輪滲透測試，驗證工具鏈的兼容性和監控有效性……

演練一開始，IT運維大佬、供應商技術大神、安全服務專家組成的“技術天團”嚴陣以待，隨時準備堵漏洞、審日志、封IP，甚至拔網線。

讓人無語的是，攻防演練開始不到24小時，紅隊（攻擊方）就擊穿了L公司的內網。更讓人無語的是，紅方根本沒用什么高級的攻擊手段，只是掃描到了一臺堡壘機，直接猜出了用戶名是該單位名稱的縮寫，密碼是堡壘機默認的密碼，然后通過堡壘機接管了大量設備的運維權限。

面對這個結果，L公司的防守團隊大眼瞪小眼，每個人的臉上都寫著——這該死的弱口令，為什么就除不盡？

弱口令，人性的“0day漏洞”

弱口令，是網絡安全中的老大難問題，因為弱口令導致的重大網絡安全事件屢見不鮮。在攻防演練中，利用弱口令進行攻擊是紅隊最常用的攻擊手段之一，在所有攻擊中占比近30%，僅次于0day漏洞。

對于防守方而言，因為0day漏洞被攻破和因為弱口令被攻破是截然不同的體驗。因為0day漏洞被攻破后，防守方只會覺得不是我方不努力，奈何紅隊開高達。但是換成因弱口令失分，防守方則會覺得員工安全意識弱，設置密碼太隨意，一個密碼反復用，陰溝里翻船好無奈。

但是，弱口令能成為網絡安全的頑疾，絕不僅僅是因為員工安全意識弱這么簡單。想要根治弱口令，也絕非強迫所有員工改密碼就能成功。我們不妨試著還原弱口令誕生的過程，看看弱口令為何難以根治：

軟件開發商：軟件的初始密碼用我們品牌的全拼，反正客戶肯定會改。（默認密碼設置過于簡單。）

員工A：這是第多少個業務應用了？再單獨設一個密碼實在記不住，就和郵箱用同一個密碼吧。（為了便于記憶，同一密碼重復使用。）

員工B：不改，懶。（因為偷懶不愿更改初始密碼。）

員工C：改成名字的拼音+123，敲著方便。（為了便于記憶設置簡單的密碼。）

管理員A：密碼改不改無所謂，反正管理后臺只有我一個人登錄，密碼只有我一個人知道。（因為僥幸心理不修改密碼。）

毫不夸張的說，每一個弱口令背后，都是一個人性的漏洞。正因如此，各種消除弱口令的措施（如限制密碼長度，要求密碼包含多種字符，強制定期改密等）只能治標，不能治本。因為這些措施必然使員工的操作更加繁瑣，員工自然不愛買賬，弱口令也就如小強一般頑強，總能在攻防演練時給防守方帶來“驚喜”。

芯盾時代IAM，助力企業消滅弱口令

想要徹底消滅弱口令，先要堵上人性的漏洞，既要降低認證的復雜度和頻率，讓員工在登錄各種業務系統時少輸密碼，甚至不輸密碼，還要提升密碼的強度，讓黑客難以破解密碼。

想要實現這一目標，將用戶的“所知（我知道的你不知道）、所持（我持有的東西你沒有）、所有（我的特征你沒有）”作為認證因子，實施多因素認證，是最佳選擇。

芯盾時代用戶身份和訪問管理平臺（IAM），基于零信任理念打造，采用增強型身份認證技術、連續自適應風險信任評估等自主研發的技術，幫助企業構建新型身份信息管理體系，實現對身份信息、身份認證、訪問權限、訪問日志的統一管理，一站式實施全局多因素認證，讓身份認證更安全、更便捷，徹底消除弱口令。

借助芯盾時代IAM，企業能夠一站式實現以下功能：

1.創建唯一身份，權限、審計統一管理

整合企業零散的組織用戶數據，創建唯一用戶身份標記，形成權威的組織用戶體系，建立自動化流轉的用戶全生命周期管理機制，讓員工使用一個賬號登錄多個業務應用，減少需要記錄、使用的密碼數量，實現“一個身份，訪問全網”。

統一員工身份后，運維人員能夠統一設置多個應用的訪問權限，統一審計多個應用的訪問日志，大幅減少運維量，提升工作效率。

2.統一認證管理，安全與體驗雙優

為企業建設應用門戶，統一業務應用的登錄入口，并借助單點登錄功能，讓員工只需認證一次，就能登錄所有權限內的業務應用，減少員工認證的次數，實現“一次認證，全網通行”。

為企業建立移動認證App，結合員工所知、所持、所有進行多因素身份認證，提供密碼、App掃碼、短信驗證碼、動態口令、指紋識別、人臉識別等多種認證方式，讓員工在進行身份認證時少輸密碼、甚至不輸密碼，兼顧企業網絡安全與員工操作便利。

3.自研底層技術，保障認證安全

為了讓身份認證更加安全，芯盾時代自主研發了移動認證技術，通過對智能手機的唯一性識別，證書的安全生成、存儲、調用，以及手機安全環境的檢測，將智能手機打造成移動U盾，為身份認證營造安全的終端環境。

芯盾時代研發了智能終端密碼模塊，基于傳統證書認證方式，結合分割密鑰、設備指紋、白盒算法、環境清場等技術，為身份信息的安全存儲提供了底層支持，保證員工身份信息更安全地傳輸、存儲，即使員工信息被劫持、被泄露也難以被破譯和篡改。

有了芯盾時代用戶身份和訪問管理平臺（IAM），企業既能提升身份認證的安全性，又能簡化員工的操作體驗；既能簡化管理、運維工作，又能讓員工心甘情愿告別弱口令。在攻防演練中，再也不會在弱口令這條“陰溝”里翻船~