检测到弱密码

Question

在我的应用程序上运行漏洞扫描之后，Netsparker返回了一个弱密码问题。

该解析告诉我修改注册表的方式如下：

·单击Run，键入regedt32或regedit，然后单击OK。

·在注册表编辑器中，查找以下注册表项: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders

将以下注册表项的“启用”DWORD设置为"0x0“：

SCHANNEL\密码器\DES 56/56

SCHANNEL\密码\RC4 64/128

SCHANNEL\密码\RC4 40/128

SCHANNEL\密码\RC2 56/128

SCHANNEL\密码\RC2 40/128

SCHANNEL\密码\NULL

SCHANNEL\Hashes\MD5

但当我使用密码时，我所看到的只是“默认”。

我是不是遗漏了什么？如何纠正这个问题？

Answer 1

大多数情况下，配置设置都有默认值；如果它们不存在，则必须创建它们。

Answer 2

RC4 (http://en.wikipedia.org/wiki/RC4)或ARCFOUR等密码被认为是弱密码，因为这些密码算法中存在已知的漏洞。它的意思是，它要求你禁用那些密码。微软提供了这样做的指南，http://support.microsoft.com/kb/245030。同样，这一切都取决于您的威胁分析或建模。您阅读了威胁建模，然后决定是否要这样做，否则您可以这样做。