【TechTarget中国原创】问:我是高级信息安全主管。我的公司想要使用一位员工的社会安全号码的最后四位数,妈妈的小名和出生的城市作为一个程序的密码认证系统。我应该干预那些安全问题呢?如果有,什么时候使用这些信息(特别是社会安全号码的后四位)呢?
答:在你描述的系统中存在巨大的安全风险。最小的风险是使用社会安全号码的一部分。
提议的认证系统应该取决于企业的大小和位置,认证系统可能存在可以被黑客利用的副本。可能有两个或者更多的人的姓例如“Smith”一样,而且作为了妈妈的小名,而且出生在同一座城市。如果你的企业位于一个大型城市,这些副本的结合可能比预期的更加常见。
编写脚本重复试验常见的姓何城市名称来破解密码系统对于黑客来说可能太复杂可。社会安全号码的最后四位数不可能出现重复,但是仍然存在问题,隐私问题。在0000到9999之间共有10000个,而脚本可以在一秒的若干分之一的时间内运行完毕。所以,社会安全号码对于顽固的入侵者构不成障碍。
如果入侵者是聪明的社会工程攻击者,而且做足了工作,就可以获得员工的名字,甚至在编写脚本前,这都是致命的问题。攻击者然后可能使用这些用户名编写细致的脚本,继续搜索密码,并获得对系统的无障碍的访问。
这种使用脚本重复普通单词和名字的攻击叫做字典攻击,因为这些信息可以从字典上获得。
我推荐使用不常见和更隐秘的字符来认证密码系统的用户。使用内部员工不在外面使用的数字结合其他不常见的出名字(妈妈的小名或者其他)之外的标识符和城市。还有,当然,确保你所使用的超过八个字符,而且是字母和数字的混合体,而且不是可以轻易被识别的单词或者常见名称。
并不存在可以提供使用员工标识符的安全密码系统的公式。尽管如此,提议的系统很脆弱。