近日在美國猶他州發生的數據泄露事故暴露了超過25.5萬人的社會安全號碼，這個事故再次突出了一個長期存在，但常常被企業低估風險的問題：使用弱密碼和默認密碼。

據調查，猶他州衛生署的這次泄露事故源自服務器身份驗證層的配置錯誤，很多安全分析家認為這次事故是因為被泄露的服務器使用了默認的管理密碼或者容易被猜到的密碼。通過利用這個錯誤，攻擊者能夠繞過IT管理員部署的用于保護服務器上數據的外圍、網絡和應用程序級的安全控制。

這樣的錯誤雖然容易避免，但是卻非常常見。在今年三月，美國能源部總檢察長發布了邦納維爾電力管理局(主要負責西北太平洋區域的公用事業提供30%的電力資源)的信息安全審計結果，根據這個審計結果顯示，對用于支持邦納維爾電力局關鍵財務、人力資源和安全管理職能的九個應用程序的漏洞掃描發現，11臺服務器使用了容易被猜出的密碼。

利用這些漏洞的攻擊者能夠獲取對該系統的完整訪問權。其中四臺服務器被配置為允許任何遠程用戶訪問和修改共享文件，一臺管理員賬戶的服務器竟然只使用了默認密碼保護。

本月早些時候，支付處理公司Global Payments遭遇了數據泄露事故，事故導致150萬人的信用卡信息和借記卡信息被泄露，分析公司Gartner認為這次事故的發生是弱身份驗證機制所致，讓攻擊者獲取了管理員賬戶。而去年開源WineHQ數據庫的泄露事故同樣也被認為是因為管理員賬戶使用了較弱密碼所致。

企業可能擁有數百到數千個賬戶名和密碼。這些賬戶中很多具有對應用程序、數據庫、網絡和操作系統的優先訪問權限。雖然對于企業而言，并不是所有賬戶都是很關鍵的，但是有很多賬戶如果遭遇泄露的話，可能對企業造成嚴重影響。

之前的研究數據表明，因為維護目的或者修復和升級工作需要對系統的管理訪問權限的人要比管理人員知道或者跟蹤的數量要多得多。然而，很多公司允許用戶或者管理員使用較簡單的密碼，或者甚至使用默認密碼來保護對這些賬戶的訪問。

當使用多因素身份驗證時，這些措施往往涉及相對容易攻破的基于知識的身份驗證(KBA)機制，用戶會被要求回答一個安全問題，例如第一只寵物的名字或者最喜愛的電影的名字等。

Verizon公司上個月發布的一份報告顯示，在零售業和餐飲行業，利用弱密碼的攻擊仍然非常普遍。攻擊者仍然可以訪問供應商的網站，獲取客戶名單，然后簡單地選擇那些使用默認密碼或者容易被猜到的用戶名-密碼組合的用戶，就可以成功發起攻擊。Verizon在其報告中指出，“這些都是相對容易的攻擊，只需要一點知識或者創造力即可。”

Gartner分析師John Pescatore表示，另外一個常見問題就是，很多人往往會為自己的不同賬戶使用相同的密碼。

“Anonymous黑客組織的很多成功攻擊都源自于在獲取用戶的外部服務密碼后，發現用戶的機密內部應用程序或者電子郵件系統使用了相同的密碼，”Pescatore表示，“我們將這種現象稱之為‘重復使用密碼的詛咒’。”

為提高安全性，企業可以采取的最重要的措施之一是提高密碼和身份驗證機制的“門檻”。他表示：“這就好比開汽車時，如果你不將腳放在剎車上的話，就無法從‘停車狀態’變為‘開動狀態’，在任何軟件中都會有“安全聯鎖”，如果不修改默認密碼的話，將很難啟動。”

密碼管理軟件供應商Cyber-Ark公司企業發展執行副總裁Adam Bosnian表示，企業面臨的問題非常復雜。要求管理員使用復雜的密碼是一回事，而管理這些復雜的密碼又是另一回事了。經常發生的情況是，多個管理員可能需要訪問同一個系統，往往大家傾向于使用默認密碼或者容易記住的密碼來控制對系統的訪問。

當使用復雜密碼時，管理員需要部署三個程序：一用于安全地共享彼此的密碼;另一個用于在需要時修改密碼，第三個用于通知大家修改密碼的情況。這些程序在較大型企業特別難以執行，因為優先訪問權限賬戶的數量非常驚人。

“事實是，任何試圖保護重要資產的人都應該使用多因素身份驗證和/或互補控制來保護自己，”Spire Security公司分析師Peter Lindstrom表示，“密碼存在太多缺陷，包括人自身的問題。”

大多數沒有受到另一種身份驗證形式或鎖定控制保護的密碼機制都很容易受到攻擊者的暴力破解，他們會使用自動化工具來猜測密碼，“在IT的現階段來看，實在是找不到理由來使用默認密碼了。”