弱口令漏洞原理主要是指用戶使用了較為簡單或常用的密碼,攻擊者可以通過暴力破解或者字典攻擊等方法輕鬆猜測出用戶的密碼,從而獲取用戶的賬戶許可權。弱口令通常指的是僅包含簡單數字和字母的口令,例如「111111」、「123456」、「abc」等,這樣的口令很容易被別人破解,從而使用戶的計算機面臨風險。
造成弱口令的主要原因是系統的運維人員、管理人員安全意識不足,或者用戶為了方便記憶,經常將個人身份信息嵌入其中,如將密碼設定為自己的生日及直接採用系統默認密碼等。此外,用戶設定的口令屬於流行口令庫中的流行口令,或者使用了生日、姓名、電話號碼、身份證號碼等比較容易被攻擊者猜到的信息設定口令,也會增加弱口令的風險。
為了防禦弱口令漏洞,可以採取一些措施,如加入人機識別或多因素認證,對頻率做限制,失敗多少次,鎖賬號,或封 IP,或者設定密碼定期修改策略,密碼長度範圍為8到26位,密碼至少包含以下4種字元中的3種:大寫字母小寫字母Windows作業系統雲伺服器特殊字元,包括「$」、「!」、「@」、「%」、「-」、「_」、「=」、「+」、「[」、「]」、「:」、「.」、「/」、「,」和「?」Linux作業系統特殊字元,包括「!」、「@」、「%」、「-」、「_」、「=」、「+」、「[」、「]」、「:」、「.」、「/」、「^」、「,」、「{」、「}」和「?」等。