強密碼是保護用戶帳戶的關(guān)鍵——即使是已經(jīng)忘記的帳戶。黑客也會尋找任何方法來訪問用戶的環(huán)境或竊取數(shù)據(jù)，甚至利用早已被遺忘的陳舊或不活躍的帳戶。

舊賬戶很容易被忽視，但它們?nèi)匀豢梢詾楹诳吞峁┏跏荚L問路線，并為他們提供擴大活動的平臺。每個有權(quán)訪問用戶基礎(chǔ)設(shè)施的賬戶都很重要。

保護測試賬戶

測試環(huán)境（例如在創(chuàng)建新軟件或網(wǎng)站功能時生成的環(huán)境）是黑客的首要目標。犯罪分子可以利用這些帳戶輕松訪問數(shù)據(jù)：例如，用于開發(fā)測試環(huán)境的真實客戶信息。他們甚至可以利用這些環(huán)境作為跳板，訪問其他更具特權(quán)的帳戶。黑客可以利用管理員或特權(quán)帳戶造成更大的破壞。

當熟練的攻擊者獲得具有登錄憑據(jù)的任何用戶帳戶的訪問權(quán)限（即使是具有非常低訪問權(quán)限的舊測試帳戶）時，他們可以將其用作擴展訪問權(quán)限和提升權(quán)限的平臺。

例如，他們可以在具有相似權(quán)限級別的帳戶之間水平移動，或者垂直跳轉(zhuǎn)到具有更多權(quán)限的帳戶，例如 IT 團隊帳戶或管理員帳戶。

微軟漏洞利用測試賬戶

今年 1 月，微軟表示其公司網(wǎng)絡(luò)遭到俄羅斯黑客的攻擊。名為 Midnight Blizzard 的攻擊者竊取了電子郵件和附加文件。

微軟表示，只有“極小一部分”公司電子郵件賬戶遭到入侵，但其中確實包括高層領(lǐng)導(dǎo)以及網(wǎng)絡(luò)安全和法律團隊的員工。

攻擊者使用“密碼噴灑攻擊”入侵，這是一種暴力破解技術(shù)，涉及對多個賬戶嘗試相同的密碼。這次攻擊沒有利用微軟系統(tǒng)或產(chǎn)品的漏洞。

相反，這就像猜測未使用的測試帳戶上的弱密碼或已知被破解的密碼一樣簡單。用該軟件巨頭的話來說，攻擊者“使用密碼噴灑攻擊來破壞傳統(tǒng)的非生產(chǎn)測試租戶帳戶并獲得立足點”。

這就強調(diào)了確保所有帳戶（而不僅僅是管理員或特權(quán)帳戶）獲得最高級別保護的重要性。

至關(guān)重要的是，企業(yè)應(yīng)避免在測試賬戶上使用弱憑據(jù)或默認憑據(jù)；在 PoC 之后，應(yīng)停用測試賬戶/環(huán)境；并且應(yīng)正確隔離測試賬戶和類似環(huán)境。

如何使用強密碼確保所有賬戶安全

那么用戶可以采取什么措施來保護自己的所有帳戶——即使是在非活動環(huán)境中時。

·Active Directory 審計：保持對未使用和不活躍帳戶以及其他與密碼相關(guān)的漏洞的可見性至關(guān)重要。

·多因素身份驗證：MFA 是抵御黑客的重要防御措施，即使密碼被泄露，也能為您提供額外的防御層。

防御措施越多越好，可以從雙因素身份驗證開始。例如，輸入密碼后通過一次性密碼確認。然而，最強大的 MFA 不止兩個步驟，可能還包括生物識別方法，例如面部掃描或指紋。

如果用戶在賬戶（甚至是測試賬戶）中建立了 MFA，安全性將大大提高。但是，請注意 MFA 仍然可以被規(guī)避，密碼泄露仍然是最常見的起點。

·加強密碼策略：有效的密碼是抵御黑客的重要第一道防線。用戶·的密碼策略應(yīng)阻止最終用戶創(chuàng)建包含常見基本術(shù)語或鍵盤行列（如“qwerty”或“123456”）的弱密碼。

最好的方法是強制使用長而獨特的密碼或密碼短語，同時使用自定義詞典來阻止與特定組織和行業(yè)相關(guān)的任何術(shù)語。

升級所有帳戶的密碼安全性

毫無疑問，人們面對的是一群非常老練的網(wǎng)絡(luò)犯罪分子，他們會利用任何弱點來破壞用戶的系統(tǒng)、竊取用戶的數(shù)據(jù)、造成經(jīng)濟損失甚至毀掉聲譽。這些犯罪分子往往采用新技術(shù)來實施密碼噴灑攻擊和其他暴力破解方法。

然而，盡管這些技術(shù)為黑客提供了新的攻擊途徑，但它也是建立防御的關(guān)鍵。借助密碼策略和密碼審計器等工具，用戶可以檢測帳戶中的漏洞，甚至是不知道的漏洞。所以，建議所有人都應(yīng)該勤加利用相關(guān)安全工具以保護自己的賬戶。