不可思議！烏克蘭國(guó)防軍隊(duì)的系統(tǒng)賬號(hào)和密碼分別是 admin 和 123456！

編輯：可可

整理 開(kāi)發(fā)者技術(shù)前線

500 多萬(wàn)個(gè)泄漏密碼表明，共有近 3% 的人使用“123456”作為密碼。而最近知名黑客網(wǎng)站 Have I Been Pwned 上一個(gè)密碼“ji32k7au4a83”的使用次數(shù)引起了熱烈討論。

Have I Been Pwned 是一個(gè)可以查詢(xún)用戶(hù)的郵箱是否被泄漏的網(wǎng)站，它的一個(gè)密碼查詢(xún)功能 Pwned Passwords 記錄著在數(shù)據(jù)泄露中暴露的 551 509 767 個(gè)真實(shí)密碼，用戶(hù)可以在這里查詢(xún)某個(gè)密碼被使用的次數(shù)。比如查詢(xún)一下 2018 年最爛密碼“123456”，得到 23 174 662 次的結(jié)果：

但你知道?個(gè)人用戶(hù)對(duì)于自己的密碼都是如今謹(jǐn)慎，想必上升到企業(yè)層面又或者上升到國(guó)家層面，他們的密碼應(yīng)該更復(fù)雜……吧？比如我們熟悉的五角大樓，多少黑客視它為黑客安全界的珠穆朗馬峰，一生都在想征服它。

有媒體爆料 ，烏克蘭武裝部隊(duì)的“第聶伯羅”軍事自動(dòng)化控制系統(tǒng)，服務(wù)器網(wǎng)絡(luò)保護(hù)十分原始，賬號(hào)是admin，密碼是123456！

然而，似乎并不是所有國(guó)家都是將自己的國(guó)防系統(tǒng)看得很重要的，日前烏克蘭一名記者披露，烏克蘭武裝部隊(duì)的“第聶伯羅”軍事自動(dòng)化控制系統(tǒng)，服務(wù)器網(wǎng)絡(luò)保護(hù)十分原始，賬號(hào)是admin，密碼是123456！

“123456、admin”在2017年弱密碼TOP 100中，分別位列第一位和第十一位。大多數(shù)賬戶(hù)系統(tǒng)在注冊(cè)時(shí)基本禁止使用這種“弱密碼”，你很難想象這竟然會(huì)成為一個(gè)國(guó)家軍方系統(tǒng)的用戶(hù)名和密碼。

他表示，這個(gè)漏洞“讓敵人直到2018年夏天，都可以隨意掃描烏克蘭軍隊(duì)信息”，他展示了此前自動(dòng)化該控制系統(tǒng)“第聶伯羅”的設(shè)置與測(cè)試文件。

2018年5月烏克蘭網(wǎng)絡(luò)部隊(duì)“第聶伯河”數(shù)據(jù)庫(kù)專(zhuān)家，迪米特里·弗拉喬克發(fā)現(xiàn)，許多服務(wù)器通過(guò)一個(gè)標(biāo)準(zhǔn)的用戶(hù)名和密碼就可以訪問(wèn)，即“admin 123456”。不需要技術(shù)很高深的黑客就能夠輕松訪問(wèn)交換機(jī)、路由器、服務(wù)器、打印機(jī)和掃描儀等設(shè)備，能夠分析出武裝部隊(duì)大量的機(jī)密信息甚至掌握整個(gè)夏天烏克蘭軍隊(duì)在頓巴斯地區(qū)的一切計(jì)劃。

他及時(shí)匯報(bào)了這個(gè)安全隱患，但這個(gè)報(bào)告很快就忽略了。鑒于事情的嚴(yán)重性，5月26日他將該情況匯報(bào)給了國(guó)家安全與國(guó)防事務(wù)委員會(huì)以及烏克蘭情報(bào)局。

等待長(zhǎng)達(dá)一個(gè)多月的時(shí)間，烏克蘭國(guó)防部才給出回應(yīng)，要求烏克蘭國(guó)防部以及其它武裝力量部門(mén)禁止使用弱密碼，同時(shí)定期檢查所有工作站。不過(guò)，對(duì)于一些IP地址的安全問(wèn)題，他們認(rèn)為不需要加強(qiáng)。

可笑的是，在7月12日的測(cè)試中發(fā)現(xiàn)，一些設(shè)備與特定的IP地址使用默認(rèn)用戶(hù)名和密碼仍然可以登錄進(jìn)去。在一些情況下，計(jì)算機(jī)能夠直接連接到國(guó)防部的網(wǎng)絡(luò)，沒(méi)有密碼就可以進(jìn)入。

所以，在近四個(gè)月的時(shí)間里，訪問(wèn)國(guó)防部部分服務(wù)器和計(jì)算機(jī)的密碼一直是最簡(jiǎn)單的：admin、123456。

安全專(zhuān)家的建議是，設(shè)置密碼滿足這三點(diǎn)：1、密碼長(zhǎng)度最好8位或以上；2、密碼沒(méi)有明顯的組成規(guī)律；3、盡量使用三種以上符號(hào)，如“字母+數(shù)字+特殊符號(hào)”。

你設(shè)置密碼的時(shí)候又有什么小竅門(mén)呢？歡迎留言，我保證不會(huì)說(shuō)出去。

我是岳哥，最后給大家分享我寫(xiě)的SQL兩件套：《SQL基礎(chǔ)知識(shí)第二版》和《SQL高級(jí)知識(shí)第二版》的PDF電子版。里面有各個(gè)語(yǔ)法的解釋、大量的實(shí)例講解和批注等等，非常通俗易懂，方便大家跟著一起來(lái)實(shí)操。

有需要的讀者可以下載學(xué)習(xí)，在下面的公眾號(hào)「數(shù)據(jù)前線」(非本號(hào))后臺(tái)回復(fù)關(guān)鍵字：SQL，就行
數(shù)據(jù)前線
后臺(tái)回復(fù)關(guān)鍵字：1024，獲取一份精心整理的技術(shù)干貨
后臺(tái)回復(fù)關(guān)鍵字：進(jìn)群，帶你進(jìn)入高手如云的交流群。

推薦閱讀
神奇的 SQL 之 CASE表達(dá)式，妙用多多 ！
高逼格的 SQL 寫(xiě)法：行行比較
面試官：為什么要盡量避免使用 IN 和 NOT IN 呢？
湖南18線小縣城，過(guò)年回鄉(xiāng)見(jiàn)聞
知乎：研究所月入兩萬(wàn)，是一種什么體驗(yàn)？