PHP安全：杜絕弱口令

　　在PHP的應(yīng)用中一直都存在安全問題，其中有一個就是因為弱口令引起的，接下來一起看看怎么杜絕吧!

　　所謂弱口令就是非常簡單的密碼，比如“admin、123456、888888”等等。這類密碼因為很方便記憶，所以被大量使用，但是也非常容易讓他人猜測到，更容易被黑客暴力破解。

　　弱口令一直是數(shù)據(jù)泄露的一個大癥結(jié)，因為弱口令是最容易出現(xiàn)的也是最容易被利用的漏洞之一。從去年發(fā)生的好萊塢明星“艷照門”事件到今年年初�？低�視“安全門”事件，都是因為弱口令問題被黑客加以利用而導(dǎo)致大量隱私泄露。

　　通 過調(diào)查兩千五百名網(wǎng)民的密碼使用情況，發(fā)現(xiàn)了一個有意思的情況：74%承認他們每個月都會忘記至少一個密碼，其中33%的人會因此有5分鐘訪問不到工作上 的某些資源，57%的人是5-30分鐘，剩余10%的人更高。在登錄站點發(fā)生密碼錯誤時，71%的人多次嘗試不同密碼后成功登錄，18%選擇找回密碼，剩 余11%則直接重新注冊一個新賬號。

　　比如機場的無線網(wǎng)絡(luò)密碼就經(jīng)常采用弱口令。如果你想上網(wǎng)但又舍不得去咖啡廳的時候，有些常見的弱口令可 以試試，比如說1234567890，而這些弱口令常常使用WEP網(wǎng)絡(luò)。當(dāng)然，還有經(jīng)驗豐富的網(wǎng)友說，商家的電話號碼或者跟他們相關(guān)的數(shù)字都可能是無線網(wǎng) 絡(luò)密碼，比如說店名+123一類。

　　而除了以上信息，弱口令有時候甚至可能是用戶身份的相關(guān)信息，這里就涉及到了用戶的信息安全。如果要保護口令的安全，就需保護用戶的信息安全。這里波及的面更廣，拿到了用戶信息就可能拿到用戶的財務(wù)信息，包括銀行卡密碼。

　　無論從什么角度來看，忘記密碼造成的麻煩甚至是損失都是不小的，因此許多用戶會選擇使用簡單好記的密碼或總是讓瀏覽器記住他們的密碼。而弱密碼是非常危險的，在商業(yè)環(huán)境中，這種做法的數(shù)據(jù)泄露風(fēng)險同樣可想而知。

　　那么，對于企業(yè)來說，該如何規(guī)避此類風(fēng)險?

　　杜不絕的簡單密碼是常見的難題

　　許多企業(yè)花費了許多精力在技術(shù)部署上，各種技術(shù)性防護措施部署非常到位，但是卻難以杜絕員工使用弱口令。密碼被黑客獲取，就好比小偷得到家里的鑰匙，即時防盜門再好也無濟于事。因此，解決弱口令問題，關(guān)鍵在于采取適當(dāng)?shù)慕鉀Q方法。通常情況下，大部分企業(yè)會選擇這些做法：

　　一、進行員工培訓(xùn)，提高員工的網(wǎng)絡(luò)安全意識

　　二、在制度上嚴格規(guī)定，規(guī)范公司賬號密碼使用方法

　　三、通過技術(shù)手段對弱口令進行限制

　　弱 口令不是簡單的管理問題，每個人都有使用固定的密碼的習(xí)慣。培訓(xùn)和制度的約束很難改變一個人的行為習(xí)慣，況且培訓(xùn)和制度的約束效果無法量化，實施起來收效 甚慢，弱口令也不是一個單純的技術(shù)問題。比如我們可以通過技術(shù)手段強制要求密碼的復(fù)雜策略，但是防不住員工把密碼貼在顯示器上，這也是弱口令導(dǎo)致泄露事件 頻發(fā)的原因之一。因此規(guī)避弱口令問題，企業(yè)必須從管理和技術(shù)等多方面著手。

　　規(guī)避弱口令風(fēng)險，可以嘗試這樣做

　　一、統(tǒng)一集中管理認證憑據(jù)

　　1、對于系統(tǒng)類的，win10.ithome.com/" target="_blank">Windows有域策略，可以強制要求密碼復(fù)雜度策略。

　　2、*nix類的系統(tǒng)可以通過LDAP的方式集中管理。

　　3、對于高危服務(wù)類，比如MySQL、FTP、Redis、SVN、Git、Rsync等常被黑客利用的高危服務(wù)，由于業(yè)務(wù)特性極少做統(tǒng)一的管理，那么可以要求它們限定訪問來源。

　　4、對于私有服務(wù)類，這里是指一些自己寫的后臺接口，在了解具體協(xié)議和用法之后，很多人也不會去做鑒權(quán)控制，所以只要是潛伏時間足夠長，往往都有驚人的權(quán)限。同理，能夠做統(tǒng)一集中的鑒權(quán)最佳，否則至少限制來源訪問。

　　二、廢棄傳統(tǒng)靜態(tài)密碼，或不僅僅使用傳統(tǒng)密碼

　　一旦完成了統(tǒng)一集中管理，就可以做到首次認證，后續(xù)攜帶登錄狀態(tài)自動登錄其它系統(tǒng)。這樣你可以在首次認證的時候，在密碼的基礎(chǔ)上加入動態(tài)密碼或生物識別驗證。

　　這里可以使用的工具有：

　　一、動態(tài)口令硬件(類似于銀行使用的網(wǎng)銀支付使用U盾產(chǎn)品);

　　二、手持終端掃碼，這本質(zhì)上是信任手持終端，在此前可以加入生物特征，比如指紋、人臉、聲紋等可靠的校驗機制;

　　三、當(dāng)然，也有些用短信驗證的，不過短信成本高，并且是明文傳輸，有盜卡、補卡的風(fēng)險，內(nèi)部系統(tǒng)其實并不適合。

　　可以說，能做到兩點，也就無所謂是否還改密碼，是否是弱密碼也不再需要擔(dān)心撞庫的問題了。

　　最后說第三點，也是最關(guān)鍵的一點：讓公司領(lǐng)導(dǎo)明白弱口令的嚴重性!

　　PHP安全：杜絕弱口令 1

　　網(wǎng)絡(luò)在給人們帶來方便快捷的同時，也存在較大的信息安全隱患。網(wǎng)站的設(shè)計關(guān)系到國家的政治、經(jīng)濟、文化、社會生活等各個方面，延伸的范圍非常廣。幾乎每個企業(yè)或每個部門都有自己的專屬網(wǎng)站，而各個部門之間的交流溝通也大多通過網(wǎng)絡(luò)來進行。

　　1PHP網(wǎng)站設(shè)計中信息安全存在的問題

　　目前，在對PHP網(wǎng)站進行編碼的過程中，存在程序員信息安全意識不高，沒有對用戶所輸入的信息進行安全驗證等現(xiàn)象。因此，會間接導(dǎo)致計算機內(nèi)部的安全操作系統(tǒng)被不法分子所利用，使得一些錯誤、有害的指令也會被當(dāng)作正確的合法指令來運行，進而導(dǎo)致網(wǎng)站的信息會發(fā)生泄露，從而侵犯了用戶的隱私，給用戶的信息安全帶來不利影響。

　　1.1有sql的注入

　　從廣泛的意義上講，網(wǎng)站的程序設(shè)計員需要在編寫網(wǎng)站代碼的過程中對用戶輸入數(shù)據(jù)的合法性進行分析與判斷，進而防止網(wǎng)站信息泄露［1］。如果網(wǎng)站的程序設(shè)計員在編寫網(wǎng)站代碼的過程中忽視了這項操作，用戶就可以通過提交數(shù)據(jù)庫查詢代碼的方式來根據(jù)程序返回的'結(jié)果獲取相關(guān)數(shù)據(jù)信息，這就是注入sql。注入sql容易導(dǎo)致網(wǎng)站用戶的信息發(fā)生泄露，所以相關(guān)網(wǎng)站的程序設(shè)計員要對用戶所輸入的數(shù)據(jù)進行合法性的判斷與分析，進而提高網(wǎng)站的信息安全。

　　1.2會發(fā)生or1=1及union語句的入侵現(xiàn)象

　　注入or1=1主要是可以在登錄某個網(wǎng)站系統(tǒng)時，繞過相應(yīng)的密碼驗證，進而利用一個任意的用戶名來登入系統(tǒng)，從而達到入侵系統(tǒng)的目的。這是一種在網(wǎng)絡(luò)中運用較為廣泛的語句注入模式。這種注入模式主要是利用了程序員在編寫驗證代碼時，沒有對用戶輸入信息中是否含有非預(yù)期的字符進行判斷，直接將用戶的操作請求傳達給計算機函數(shù)來執(zhí)行。這種注入語句的方式使得密碼驗證變得可有可無，不法分子可以直接繞過密碼驗證來入侵系統(tǒng)，進而輕而易舉地獲取到相關(guān)用戶的信息［2］。與or1=1語句注入所不同的是，union語句可以通過自身的特殊性來使程序的默認語句出錯。并通過計算機程序執(zhí)行union后，通過自己構(gòu)建的sql語句來達到注入語句的目的，進而入侵到內(nèi)部程序中。

　　1.3存在xss跨站攻擊

　　xss是一種較為常見的網(wǎng)站攻擊方式，它的工作原理跟sql相差不大，只是xss主要是通過JavaScript的腳本注入到html標(biāo)簽中，進而將惡意內(nèi)容輸入網(wǎng)頁輸入框中。當(dāng)這些惡意內(nèi)容重新回讀到網(wǎng)站的客戶端時，網(wǎng)站瀏覽器會自動運行這些惡意腳本，進而通過影響網(wǎng)頁的正常顯示來達到注入腳本的目的。通過代碼植入網(wǎng)頁的方式來利用xss漏洞控制計算機操作系統(tǒng)，進而XX利用安全漏洞來編寫惡意程序，從而破壞計算機操作系統(tǒng)的穩(wěn)定性。XX利用xss來攻擊頁面，使得計算機用戶在瀏覽網(wǎng)站時會自動彈出一些窗口。XX就是利用這些窗口來給網(wǎng)頁掛上相應(yīng)的木馬病毒，進而讓網(wǎng)站用戶的計算機系統(tǒng)感染病毒，以此來獲取相關(guān)用戶的信息。

　　2對PHP網(wǎng)站設(shè)計中的信息安全進行防御的具體措施

　　2.1使安全防御措施對用戶公開、透明

　　在保護網(wǎng)站的信息安全時，要讓安全防御措施對用戶公開、透明。讓用戶不能直接跳過信息安全保護驗證，進而讓計算機網(wǎng)站運行操作更為安全。最直接的方法就是在用戶進入網(wǎng)站系統(tǒng)之前，首先要輸入相應(yīng)的用戶名及密碼，進而達到保護網(wǎng)站信息安全的目的。

　　2.2跟蹤數(shù)據(jù)運行流程

　　任何一個合格的網(wǎng)站程序員都會對用戶的數(shù)據(jù)進行隨時跟蹤，通過掌握信息動向來防止發(fā)生信息泄露的問題。對數(shù)據(jù)信息進行跟蹤是一種難度較高的信息監(jiān)測方法，特別是在一些程序開發(fā)者不能熟悉該原理的情況下，會無法深入理解web的運作原理，進而在程序開發(fā)過程中出現(xiàn)失誤，并產(chǎn)生一定的安全漏洞。

　　2.3篩選輸入信息

　　對用戶所輸入的信息進行必要的篩選是保證網(wǎng)站信息安全的必要手段，也是對輸入的驗證信息進行合法化的過程。相關(guān)網(wǎng)站工作者通過對用戶所輸入的信息進行確認并篩選，這種方法可以避免一些網(wǎng)站病毒在未知的情況下被誤用。

　　2.4防止注入sql

　　在目前來講，網(wǎng)絡(luò)的系統(tǒng)注入方式較為豐富，但在注入方面都存在一個共同點，就是利用程序缺乏必要的過濾手段這個缺點，以此來達到非法獲取用戶信息的目的。所以，要防止非法語句的注入，就要對查詢語句進行必要的篩選及過濾。通常意義上，是利用計算機運行程序里的函數(shù)通過正規(guī)的表達式來進行常用語句的匹配，并對相應(yīng)的語句進行必要的篩選及過濾。所以，只要利用了過濾函數(shù)，就可以在較大程度上避免出現(xiàn)利用注入語句的方式來入侵網(wǎng)站的現(xiàn)象，從而達到保護網(wǎng)站用戶信息安全的目的。

　　3結(jié)語

　　本文對PHP網(wǎng)站設(shè)計中幾種常見的信息安全漏洞進行了探索與分析，并對如何加強PHP網(wǎng)站設(shè)計的信息安全進行了研究與探討。在對網(wǎng)站信息安全進行維護的具體過程中，并沒有一個固定的模式。因此，我們需要具體情況具體分析，靈活運用相關(guān)措施來保護用戶的隱私，從而在一定程度上維護網(wǎng)站用戶的信息安全。

【PHP安全：杜絕弱口令】相關(guān)文章：

PHP弱類型變量是如何實現(xiàn)的05-31

PHP腳本修改Linux系統(tǒng)口令的方法09-05

PHP腳本修改Linux或Unix系統(tǒng)口令方法10-18

PHP開發(fā)的安全技巧10-14

PHP開發(fā)安全技巧08-10

PHP開發(fā)安全的技巧10-27

PHP開發(fā)安全保護的要點10-28

PHP開發(fā)的安全問題10-06

淺談PHP 安全性09-28