为什么你的云服务器经常被盗号？防盗“黑科技”了解一下

      近来互联网数据安全事件呈高发之势。无时无刻，你的云服务器都存在被黑客入侵的风险，尤其是作为安全验证的工具——密码，一旦被破解，其所造成的破坏力难以想象。

·密码123456好记也容易被破解

我们在登录账号的过程中为了避免更多的繁琐登录环节，往往会把密码设置得超级简单好记，甚至多个用户账号也通用用一个密码，比如说把用户名：admin，密码：123456，这样的用户名和弱密码让一些黑客有了可乘之机。美国的密码管理应用公司Splashdata就在2017年以网上泄露的500万份密码为基准，做了一份最烂密码排名，"123456" 和"password"分列第一名和第二名。此外这两个密码还有 6 种相关变体，合计占了排行榜前 25 名中的 8 位。

(图片来源：Splashdata)

·密码是不是越复杂就安全了呢？

为了防止密码不被破解，我们通过数字、字母、特殊符号合理组合设置密码，按照一定的规则，比如说姓名+生日＋地名，或者一句话的字母+电话号码等。但是复杂的密码难以记忆，过了一段时间就忘了，经历过输错被锁定再重置密码以后，大家又开始倾向性地选择那些容易记住的通用弱密码。

密码的强度关键在于什么？

长度。我们的密码设置从6位到8位再到12位，越来越长，长度越长符合一个强密码的特征。因为一个强密码通常长度足够长，排列随机，这样就需要花很多时间才能够破解。网上也流传着一个关于密码长度的例子：使用一台双核PC+暴力破解软件去破解一个由数字+大小写+符号组成的8位密码，大概需要23年。下面是强密码的一些例子（由于以下实例已经公开，所以已经不具备安全性，只作为说明例子）：

不是字典的单词，既有数字也有字母——t3MEIfreryeT45410A

足够长，并且有扩展符号增加强度——Convert_100£ to Euros!

一些比较少用的特殊字符——*ot$fet÷×’Fr54⅛9&%

长的密码难以破解，但是并不能说明不能被破解。随着计算机算力的增加，黑客密码本的丰富，我们认为的那些难以破解的密码在遇到账户暴力破解工具，或者遇到社工攻击以后该怎么办呢？

·什么是账户暴力破解和社工攻击？

账户暴力破解攻击又叫密码穷举，是黑客入侵服务器最常见的手段之一。黑客利用一些暴力破解工具，比如John the Ripper，THC Hydra等，攻击目标主要分为服务器与物联网设备，通过用户名、密码一个一个枚举尝试登录设备，一旦成功登录，便可获得设备权限。进而窃取用户数据，勒索加密，植入挖矿程序，DDoS木马攻击等等恶意操作。

John the Ripper：快速的密码破解工具，免费的开源软件，用于在已知密文的情况下尝试破解出明文的破解密码软件，支持大多数的加密算法，如DES、MD4、MD5等。它支持多种不同类型的系统架构，包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS，主要目的是破解不够牢固的Unix/Linux系统密码。

THC Hydra：非常受欢迎的密码破解工具，并且有一个非常活跃和经验丰富的开发团队在维护，支持Windows，Linux，Free BSD，Solaris和OS X等操作系统。THC Hydra是一个快速稳定的网络登录攻击工具，它将使用字典或暴力攻击来尝试针对登录页面的各种密码和登录组合。

社工攻击是指通过.对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法。比如利用欺骗性的电子邮件和伪造的网站登陆站点来进行诈骗获取账号密码，或者知悉用户的个人隐私信息，来猜测破解用户的密码。

(图片来源：XKCD)

·云服务器密码防破解都有哪些办法？

【账户暴力破解防御方法】

1.    双因子认证，结合短信和邮件验证；

2.    手机令牌，实时掌握账号安全动态；

3.    密钥对登录，一对一身份认证登录；

4.    异地登录告警，提醒修改密码；

5.    弱密码告警，系统告警修改密码；

6.    密码输错拦截，封锁IP登录；

7.    Root权限设置，仅对核心IP开放。

云服务器用户可选择

安装企业主机安全，华为云企业主机安全覆盖事前、事中和事后的账户安全保护功能。支持双因子认证登录，异地登录告警，弱密码告警，密码输错拦截等功能，防止用户云服务器上的账户遭受暴力破解攻击，提高云服务器的安全性。

创建密钥对登录，登录时选择密钥方式进行身份验证。在生成的密钥对中，一个向外界公开，称为公钥，另一个用户自己保留用于登录验证，称为私钥。密钥对安全强度远高于常规用户口令，避免用户名密码方式口令可能被破解的隐患。当你的云服务器有多个密钥对的时候，可以使用密钥管理服务，对密钥对可重置和替换。

参考链接

华为云企业主机安全：https://www.huaweicloud.cn/product/hss.html

华为云数据加密服务：https://www.huaweicloud.cn/product/dew.html

安全侠·三分钟小课堂：https://bbs.huaweicloud.cn/forum/thread-12344-1-1.htm