弱口令 高风险

在信息系统维护过程中若发现可疑的网络间谍线索，请及时通过12339国家安全机关举报受理电话、网络举报平台（www.12339.gov.cn）、国家安全部微信公众号举报受理渠道或直接向当地国家安全机关进行举报。

（原文来源：国家安全部）

5类弱口令类型

弱口令是对易被猜测或破解的计算机信息系统口令（密码）的统称，这样的口令往往由简单字符组合而成，自身复杂度、长度不足。弱口令的长期使用，存在被别有用心之人非法或违规利用的突出风险，被用于窥探甚至窃取计算机信息系统内的重要、敏感数据或获取系统管理权限，对计算机信息系统的正常运行实施破坏。弱口令问题的长期存在，成为大量境内外网络安全案事件的重要导火索之一，对此类问题的排查整改工作刻不容缓。国家网络与信息安全信息通报中心梳理总结了5类工作中发现的常见、风险突出的弱口令类型，提示广大网络运营单位、个人用户尽快全面清除弱口令，构建并使用强口令，提升系统和数据的安全防护水平。

类型一：简单数字组合

类型二：顺序字符组合

类型三：键位临近字符组合

类型四：网络设备、安全设备、应用系统、中间件等默认口令

类型五：特殊含义组合

 安全防护提示 

2、由系统强制提醒用户定期更换密码，并限制密码更换的间隔时间、限制设置与过去使用的密码相似密码的情况。

3、避免用户将密码设置为常见词汇、用户名、生日等易于猜测的内容。

4、鼓励用户为不同的系统和应用设置不同的密码，避免使用相同密码。

5、设置多因素认证措施，启用验证码、限制IP登录频次等防御暴力破解机制。

6、设置尝试登录失败的次数限制，超过限制后暂时锁定账户或延长下次尝试的时间。

7、定期审计账户的密码使用情况，及时发现并强制纠正可能涉及弱口令的行为。监控异常登录活动，如异地登录、非常规时间登录等，发出可疑行为、异常行为告警并及时响应等。

（原文来源：国家网络安全通报中心）