企业弱口令治理方案

弱口令问题一直是企业安全管理的痛点，一旦企业用户的账号密码泄露或被破解，将导致大量的内部信息泄露。

假设一个场景：一家大型企业使用AD域架构实现用户账号管理。面对大量的域用户弱口令问题，如何通过技术手段来实现弱口令安全治理呢，这个就是我们今天探讨的话题。

---

01、安全场景分析

比较常见的用户密码登录场景如下：

业务系统：门户、邮箱、OA等核心应用
网络接入：准入、VPN、虚拟桌面等
运维管理：服务器、堡垒机、网络/安全等设备

02、安全问题描述

（1）为了便于记忆设置弱口令，用户账号容易遭受暴力破解、邮件钓鱼等攻击。

（2）大部分系统都采取独立的用户管理体系，用户管理难。

（3）集权类系统会成为攻击者的主要目标，需加强身份验证。

03、密码策略分析

域控密码策略：强制密码历史、密码最短使用期限、密码最长使用期限，密码长度最小值，密码复杂性要求

缺点：无法灵活定制域密码策略，容易存在企业特色弱口令。
应对策略：加强域密码策略，比如弱密码黑名单、关键词过滤、不能连续字符或相同字符连续3位以上。

Web密码策略：密码复杂度、验证码、登录失败处理策略、密码过期策略、短信验证码验证等。

缺点：每个应用系统维护一套密码策略管理，系统开发成本较高。
应对：建立统一认证平台。

04、安全解决方案

强密码策略插件（域控制器）：基于微软标准的Password Filters功能开发，对于域控各种修改密码途径都能有效控制，提供更加灵活的域用户密码策略配置。

统一身份认证(IAM)：集中账号管理，统一用户密码策略，应用系统单点登录。

多因素身份验证 (MFA)：使用多重身份验证机制加强访问控制，从而提高用户密码安全等级。

思维导图如下：