账号、口令管理不是靠人力和制度能做好的事情

说到账号口令，想必运维小伙伴最是深有体会…

IT运维情景运维人员A：密码复杂太难记了，设备又多，记不住怎么办，还是用简单点吧。

运维人员B：简单的密码容易让别人知道，用什么好呢，对了，就用公司域名加XX吧。

运维人员C：设备这么多，密码复杂一点也没有关系，我可以一套密码通杀所有机器。

运维人员D：密码账号都是历史留下来的，上任运维人员和第三方人员交接来交接去就到我手里了，有多少未知账号我也不清楚。

安全人员E：设备上面有十几个账号，我也不清楚是谁在用，用来干嘛！

账号口令的管理问题已经成为企业较为头疼的问题，对于管理员来说，还是存在着较多的管理漏洞：运维人员流动率大，第三方人员知晓账号口令，多个运维人员共用账号，历史遗留问题多。每次账号例行检查是最为困难的，要保证避免弱口令出现的同时，还要清楚账号的使用状态的分布情况。而且，上期刚刚讲到，账号的分布情况是十分复杂的，操作系统、数据库、中间件、应用程序、网络设备、ftp默认账号/默认口令Administrator/administrator，admin/admin，sa/sa，weblogic/weblogic，cisco/cisco等众多账号。

据来自乌云的统计：2015年3月，漏洞数量突破10万！“基础设施弱口令”的漏洞已经接近1万个，有很多漏洞都可能对金融、运营商、交通、能源行业有巨大的风险。弱口令的设置几乎成为人性的弱点，网络上揭露弱口令现象比比皆是，“中国互联网用户喜欢用的弱口令排行”，“12306 13W泄漏密码，弱口令top 100出炉，尽量避免使用这些密码”，可见强密码策略制度形同虚设。账号、口令管理不是靠人力和制度能做好的事情，同时，市面上也缺少针对账号安全进行的专题应对策略，尚思卓越也正是应市场需求发布了尚思特权账号风险管理系统，不仅可以对账号使用进行严格控制和回收，同时可随时监测风险，一键修复等功能，账号的诞生到消亡，尽在掌控之中！

https://mbd.baidu.com/newspage/data/landingshare?pageType=1&isBdboxFrom=1&context={"nid":"news_9513937432058708826","sourceFrom":"bjh"}