芯盾时代用户身份和访问管理平台助力企业消灭弱口令

攻防演练开始之前，L公司信心满满。

他们早早地梳理好了内网资产，关停了大量非必要的服务、端口，收敛了互联网暴露面。他们扫描、修补了设备和应用的安全漏洞，进行了系统加固。他们部署了监控和响应工具，做了详尽的应急预案。他们做了好几轮渗透测试，验证工具链的兼容性和监控有效性……

演练一开始，IT运维大佬、供应商技术大神、安全服务专家组成的“技术天团”严阵以待，随时准备堵漏洞、审日志、封IP，甚至拔网线。

让人无语的是，攻防演练开始不到24小时，红队（攻击方）就击穿了L公司的内网。更让人无语的是，红方根本没用什么高级的攻击手段，只是扫描到了一台堡垒机，直接猜出了用户名是该单位名称的缩写，密码是堡垒机默认的密码，然后通过堡垒机接管了大量设备的运维权限。

面对这个结果，L公司的防守团队大眼瞪小眼，每个人的脸上都写着——这该死的弱口令，为什么就除不尽？

弱口令，人性的“0day漏洞”

弱口令，是网络安全中的老大难问题，因为弱口令导致的重大网络安全事件屡见不鲜。在攻防演练中，利用弱口令进行攻击是红队最常用的攻击手段之一，在所有攻击中占比近30%，仅次于0day漏洞。

对于防守方而言，因为0day漏洞被攻破和因为弱口令被攻破是截然不同的体验。因为0day漏洞被攻破后，防守方只会觉得不是我方不努力，奈何红队开高达。但是换成因弱口令失分，防守方则会觉得员工安全意识弱，设置密码太随意，一个密码反复用，阴沟里翻船好无奈。

但是，弱口令能成为网络安全的顽疾，绝不仅仅是因为员工安全意识弱这么简单。想要根治弱口令，也绝非强迫所有员工改密码就能成功。我们不妨试着还原弱口令诞生的过程，看看弱口令为何难以根治：

软件开发商：软件的初始密码用我们品牌的全拼，反正客户肯定会改。（默认密码设置过于简单。）

员工A：这是第多少个业务应用了？再单独设一个密码实在记不住，就和邮箱用同一个密码吧。（为了便于记忆，同一密码重复使用。）

员工B：不改，懒。（因为偷懒不愿更改初始密码。）

员工C：改成名字的拼音+123，敲着方便。（为了便于记忆设置简单的密码。）

管理员A：密码改不改无所谓，反正管理后台只有我一个人登录，密码只有我一个人知道。（因为侥幸心理不修改密码。）

毫不夸张的说，每一个弱口令背后，都是一个人性的漏洞。正因如此，各种消除弱口令的措施（如限制密码长度，要求密码包含多种字符，强制定期改密等）只能治标，不能治本。因为这些措施必然使员工的操作更加繁琐，员工自然不爱买账，弱口令也就如小强一般顽强，总能在攻防演练时给防守方带来“惊喜”。

芯盾时代IAM，助力企业消灭弱口令

想要彻底消灭弱口令，先要堵上人性的漏洞，既要降低认证的复杂度和频率，让员工在登录各种业务系统时少输密码，甚至不输密码，还要提升密码的强度，让黑客难以破解密码。

想要实现这一目标，将用户的“所知（我知道的你不知道）、所持（我持有的东西你没有）、所有（我的特征你没有）”作为认证因子，实施多因素认证，是最佳选择。

芯盾时代用户身份和访问管理平台（IAM），基于零信任理念打造，采用增强型身份认证技术、连续自适应风险信任评估等自主研发的技术，帮助企业构建新型身份信息管理体系，实现对身份信息、身份认证、访问权限、访问日志的统一管理，一站式实施全局多因素认证，让身份认证更安全、更便捷，彻底消除弱口令。

借助芯盾时代IAM，企业能够一站式实现以下功能：

1.创建唯一身份，权限、审计统一管理

整合企业零散的组织用户数据，创建唯一用户身份标记，形成权威的组织用户体系，建立自动化流转的用户全生命周期管理机制，让员工使用一个账号登录多个业务应用，减少需要记录、使用的密码数量，实现“一个身份，访问全网”。

统一员工身份后，运维人员能够统一设置多个应用的访问权限，统一审计多个应用的访问日志，大幅减少运维量，提升工作效率。

2.统一认证管理，安全与体验双优

为企业建设应用门户，统一业务应用的登录入口，并借助单点登录功能，让员工只需认证一次，就能登录所有权限内的业务应用，减少员工认证的次数，实现“一次认证，全网通行”。

为企业建立移动认证App，结合员工所知、所持、所有进行多因素身份认证，提供密码、App扫码、短信验证码、动态口令、指纹识别、人脸识别等多种认证方式，让员工在进行身份认证时少输密码、甚至不输密码，兼顾企业网络安全与员工操作便利。

3.自研底层技术，保障认证安全

为了让身份认证更加安全，芯盾时代自主研发了移动认证技术，通过对智能手机的唯一性识别，证书的安全生成、存储、调用，以及手机安全环境的检测，将智能手机打造成移动U盾，为身份认证营造安全的终端环境。

芯盾时代研发了智能终端密码模块，基于传统证书认证方式，结合分割密钥、设备指纹、白盒算法、环境清场等技术，为身份信息的安全存储提供了底层支持，保证员工身份信息更安全地传输、存储，即使员工信息被劫持、被泄露也难以被破译和篡改。

有了芯盾时代用户身份和访问管理平台（IAM），企业既能提升身份认证的安全性，又能简化员工的操作体验；既能简化管理、运维工作，又能让员工心甘情愿告别弱口令。在攻防演练中，再也不会在弱口令这条“阴沟”里翻船~