不可思议！乌克兰国防军队的系统账号密码居然是 admin 和 123456...

Java精选 2022-08-09

收录于合集 #互联网那些事 167个

点击上方“Java精选”，选择“设为星标”

别问别人为什么，多问自己凭什么！

下方有惊喜，留言必回，有问必答！

每一天进步一点点，是成功的开始...

2020年被用烂大街的密码，500 多万个泄漏密码表明，共有近 3% 的人使用“123456”作为密码。而最近知名黑客网站 Have I Been Pwned 上一个密码“ji32k7au4a83”的使用次数引起了热烈讨论。

Have I Been Pwned 是一个可以查询用户的邮箱是否被泄漏的网站，它的一个密码查询功能 Pwned Passwords 记录着在数据泄露中暴露的 551 509 767 个真实密码，用户可以在这里查询某个密码被使用的次数。比如查询一下 2018 年最烂密码“123456”，得到 23 174 662 次的结果：

但你知道个人用户对于自己的密码都是如今谨慎，想必上升到企业层面又或者上升到国家层面，他们的密码应该更复杂……吧？比如我们熟悉的五角大楼，多少黑客视它为黑客安全界的珠穆朗马峰，一生都在想征服它。

有媒体爆料，乌克兰武装部队的“第聂伯罗”军事自动化控制系统，服务器网络保护十分原始，账号是admin，密码是123456！

然而，似乎并不是所有国家都是将自己的国防系统看得很重要的，日前乌克兰一名记者披露，乌克兰武装部队的“第聂伯罗”军事自动化控制系统，服务器网络保护十分原始，账号是admin，密码是123456！

“123456、admin”在2017年弱密码TOP 100中，分别位列第一位和第十一位。大多数账户系统在注册时基本禁止使用这种“弱密码”，你很难想象这竟然会成为一个国家军方系统的用户名和密码。

推荐下自己做的 Spring boot 的实战项目：
https://gitee.com/yoodb/jing-xuan‍

他表示，这个漏洞“让敌人直到2018年夏天，都可以随意扫描乌克兰军队信息”，他展示了此前自动化该控制系统“第聂伯罗”的设置与测试文件。

2018年5月乌克兰网络部队“第聂伯河”数据库专家，迪米特里·弗拉乔克发现，许多服务器通过一个标准的用户名和密码就可以访问，即“admin 123456”。不需要技术很高深的黑客就能够轻松访问交换机、路由器、服务器、打印机和扫描仪等设备，能够分析出武装部队大量的机密信息甚至掌握整个夏天乌克兰军队在顿巴斯地区的一切计划。

他及时汇报了这个安全隐患，但这个报告很快就忽略了。鉴于事情的严重性，5月26日他将该情况汇报给了国家安全与国防事务委员会以及乌克兰情报局。

等待长达一个多月的时间，乌克兰国防部才给出回应，要求乌克兰国防部以及其它武装力量部门禁止使用弱密码，同时定期检查所有工作站。不过，对于一些IP地址的安全问题，他们认为不需要加强。

可笑的是，在7月12日的测试中发现，一些设备与特定的IP地址使用默认用户名和密码仍然可以登录进去。在一些情况下，计算机能够直接连接到国防部的网络，没有密码就可以进入。

所以，在近四个月的时间里，访问国防部部分服务器和计算机的密码一直是最简单的：admin、123456。

安全专家的建议是，设置密码满足这三点：1、密码长度最好8位或以上；2、密码没有明显的组成规律；3、尽量使用三种以上符号，如“字母+数字+特殊符号”。

你设置密码的时候又有什么小窍门呢？欢迎留言，我保证不会说出去。