全校师生：

随着学校信息化建设不断推进，各类业务系统在师生的日常工作学习中扮演着越来越重要的角色，系统登录密码作为最常用的身份验证方式之一，其安全强度也成为不可忽视的问题。

网信处在近期关于排查系统弱口令的专项检测中发现还有部分业务的用户账号存在弱口令问题，鉴于此前其他地区已发生过由于弱口令问题造成的网络安全攻击，特此对我校师生再次进行安全提示。

一、弱口令的危害

弱口令，即容易被他人猜到或被破解工具破解的口令，其危害不容小觑。具体表现为：

信息泄露：弱口令一旦被破解，攻击者可以轻易登录用户账户，获取用户的敏感信息，如个人资料、学术成果、财务信息等。

安全攻击：攻击者通过弱口令登录账户后，可以进行各种操作，如修改密码、发布虚假信息、篡改数据等，导致用户失去对账户的控制。

系统瘫痪：对于业务系统而言，弱口令可能成为网络攻击的媒介。攻击者通过弱口令登录系统后，可以对系统进行恶意操作，导致系统瘫痪或数据泄露。

法律责任：在某些情况下，因弱口令导致的安全事件可能使个人或学校面临法律责任。

二、弱口令的处置方法

为了防止弱口令带来的危害，建议用户避免多个系统使用同一套密码，校内师生尽量使用统一身份认证账号登录业务系统。并对登录口令采取以下措施：

设定复杂密码：

1.密码长度不少于10位，包含大小写字母、数字和特殊字符。

2.避免使用生日、姓名拼音、电话号码等个人信息作为密码。

3.禁用键盘上临近键或常见姓名等简单组合。

4.定期更换密码。

启用多因子认证：

通过验证码、限制IP登录频次等方式，增强系统安全性。

建议使用TOTP令牌（Time-based One-Time Password基于客户端的动态口令和动态口令验证服务器的时间比对，一般每60秒产生一个新口令）、人脸识别、指纹识别等多因子认证方式。

监控异常登录活动：

对异地登录、非常规时间登录等异常行为进行警报和反应。定期检查业务系统登录日志，及时发现并处理潜在威胁。

使用密码管理工具：

可以使用密码管理器等工具来存储和管理复杂的密码。确保密码管理器本身的安全性，避免密码泄露。

让我们共同努力，营造一个安全、稳定的网络安全环境。

网络与信息化管理处

2024年11月8日