政務信息系統口令常見安全隱患及對策

［張洪飛 朱海濤 王駿］

1 引言

數字時代，口令、密碼與我們如影隨行，生活中眾多場景都需要驗證口令和密碼。口令和密碼時常混用或等同，然而，二者是有區別的。中國科學院院士、密碼學家王小云曾通俗解釋說，當你輸入一串字符，如果不經過任何處理直接送到服務器來驗證，它一定不是密碼，只是一個口令。如果輸進去的字符，通過密碼算法運算得出另外一個結果，這個結果可以驗證你是否是合法的用戶時，這個口令就變成了密碼[1]。《中華人民共和國密碼法》對密碼的定義是采用特定變換的方法對信息等進行保護、認證的技術、服務和產品。

口令安全是信息系統安全運行和業務數據安全的重要保障。然而，由于網絡安全意識不強、管理不到位，代碼缺陷、技術約束不健全，政務信息系統口令安全隱患時有發生。以鎮江市電子政務外網核心網絡設備全流量樣本分析為例，2021 年全年共有政務信息系統口令安全隱患192條/批次，其中弱口令28 條、口令明文存儲/傳輸94 條、多次登陸嘗試60 條。作者作為設區市電子政務外網網絡安全工程師，直接處置、協助指導多個政務信息系統口令安全隱患整改，提出了系統的管理對策與技術對策。

2 隱患類型

2.1 弱口令

普通人對無規律隨機字符串記憶能力有限，一般不超過9 位，加之記憶惰性，弱口令現象普遍存在。弱口令是指易于被破解或被猜中的口令，例如123456、admin、111111、5201314、a123456、abc123、iloveyou 等僅包含簡單數字和字母的口令。還有部分口令看起來復雜，但符合鍵盤分布規律，例如q1w2e3r4t5y6、qazwsx、gfrtyhbv、12qwaszx，實際上還是弱口令。……