西工大遭受网络攻击事件的思考

据环球网报道，在西北工业大学遭受美国国家安全局（NSA）特定入侵行动办公室（TAO）网络攻击事件中，TAO使用名为“饮茶”的嗅探窃密工具，植入西北工业大学内部网络服务器，窃取了SSH等远程管理和远程文件传输服务的登录密码，从而获得内网中其他服务器的访问权限，实现内网横向移动，并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器，造成大规模、持续性敏感数据失窃。

经技术分析与研判，“饮茶”不仅能够窃取所在服务器上的多种远程管理和远程文件传输服务的账号密码，并且具有很强的隐蔽性和环境适应性。网络安全专家介绍：“一旦用户名密码被TAO获取，就可以被用于进行下一阶段的攻击，即使用这些用户名密码访问其他服务器和网络设备，进而窃取服务器上的文件或投送其他网络武器。”

总结来看，在服务器使用过程中，通常存在以下跟密码相关的问题：

* 服务器密码基本一致，很难做到一机一密

* 服务器密码不能做到定期更换

* 服务器用户名通常为通用账户，比如appadmin、root等，无法审计到具体操作人员

* 操作人员大量使用便签、软件等记录密码，且账号密码经常需要分发，存在很大泄露风险

* 目前登录服务器的方式仍然是基于密码的单因子认证

* 在内网环境中，很难做到系统隔离，比如使用A服务器就可以访问B服务器

针对引起问题的根源--密码，以微软、华为、联想为主的科技公司，也宣布发起联合行动来“消灭密码”。通过简单便利的无密身份认证方法实现有效协调机构内外部系统的需求，减少认证过程中的复杂程度，从而减轻系统管理员的压力，提高系统安全性和运行效率。

消灭密码的方法，是使用基于硬件的密钥认证和生物特征的组合，完成身份确认。这种方式，已经成熟应用于金融、企业内部办公等场景。