弱口令，杜绝不了的难题

许多企业花费了许多精力在技术部署上，各种技术性防护措施部署非常到位，但是却难以杜绝员工使用弱口令。密码被黑客获取，就好比小偷得到家里的钥匙，即时防盗门再好也无济于事。因此，解决弱口令问题，关键在于采取适当的解决方法。通常情况下，大部分企业会选择这些做法：

一、进行员工培训，提高员工的网络安全意识

二、在制度上严格规定，规范公司账号密码使用方法

三、通过技术手段对弱口令进行限制

弱口令不是简单的管理问题，每个人都有使用固定的密码的习惯。培训和制度的约束很难改变一个人的行为习惯，况且培训和制度的约束效果无法量化，实施起来收效甚慢，弱口令也不是一个单纯的技术问题。比如我们可以通过技术手段强制要求密码的复杂策略，但是防不住员工把密码贴在显示器上，这也是弱口令导致泄露事件频发的原因之一。因此规避弱口令问题，企业必须从管理和技术等多方面着手。

规避弱口令风险，可以尝试这样做

一、统一集中管理认证凭据

1、对于系统类的，Windows有域策略，可以强制要求密码复杂度策略。

2、*nix类的系统可以通过LDAP的方式集中管理。

3、对于高危服务类，比如MySQL、FTP、Redis、SVN、Git、Rsync等常被黑客利用的高危服务，由于业务特性极少做统一的管理，那么可以要求它们限定访问来源。

4、对于私有服务类，这里是指一些自己写的后台接口，在了解具体协议和用法之后，很多人也不会去做鉴权控制，所以只要是潜伏时间足够长，往往都有惊人的权限。同理，能够做统一集中的鉴权最佳，否则至少限制来源访问。

二、废弃传统静态密码，或不仅仅使用传统密码

一旦完成了统一集中管理，就可以做到首次认证，后续携带登录状态自动登录其它系统。这样你可以在首次认证的时候，在密码的基础上加入动态密码或生物识别验证。