第1章   概述

1.1  目标

一直以来，互联网的发展都是以扩张效率为主导，激烈的竞争让互联网企业不得不争分夺秒地争抢发展速度，这个时候，安全很容易被视为降低开发效率的影响因素而被忽略。

弱口令指的是仅包含简单数字和字母的口令，通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。弱密码现象是一个典型的安全问题，其根本原因是安全管理的不健全。本文主要描述后台管理系统的密码制定策略（不包含主机密码策略）的安全加固和配置工作，最终用以指导系统实施。

1.2  预期读者

本文档用于指导系统工程师进行系统实施工作，架构师和系统工程师、运维人员应该通读本文档，选择适当方式用于自己的系统。

第2章    现状简介

经过渗透测试发现当前web应用存在弱口令漏洞，恶意的用户会使用弱口令尝试登录网站后台，从而得到网站的权限。几乎存在所有的后台管理系统和服务器中，如通元CMS存在默认的弱密码。

第3章   密码安全制定策略

3.1  避免出现弱密码

(1)密码口令的位数应在8以上

如果使用暴力猜解，8位以下的密码都很不安全，猜解的时间很短。

(2)应使用大小写字母、数字和特殊字符结合的方式

密码口令所使用的字符组合为大写字母＋数字+特殊字符，如@Dc&20*Ser(14ver@$，这样能加大暴力猜解的难度,一台普通的PC破解需要 1 quintillion years。

(3)避免使用有规律有意义的字母、数字组合

类似dcapp2014server等使用既有单词或日期都很危险，容易被黑客字典收录。

3.2   密码的定期修改

制定了复杂度符合要求的密码还远远不够，需要定期修改密码，一般为每3月修改一次密码，且新密码复杂度要符合要求。

3.3   避免不同平台使用相同的密码

坚持一个系统使用一个特有的密码，不允许“一码多用”。

3.4   不要保存密码在本地

后台管理系统是WEB系统，现在很多浏览器会默认记住该URL的帐号和密码，请将浏览器设置为不记住该网站密码。密码复杂度较高，不易记住，但不能把密码保存到本地文件，需要“异地”保存，最好是可以记住。

本文转自 梦朝思夕 51CTO博客，原文链接:http://blog.51cto.com/qiangmzsx/1610193