交友网站泄露事件过后:关于密码安全的大讨论

日期:2016-12-1作者:Michael Heller翻译:朱文浩来源:TechTarget中国 英文

【TechTarget中国原创】

在Friend Finder Network的4亿用户账户泄露事件后,专家开始对密码安全的方方面面进行大讨论。

2016年最大宗的数据泄露案件使得超过4亿用户账户遭到泄露,引起了行业专家们围绕密码安全最佳实践的大讨论。

Friend Finder Network由一系列相亲和成人娱乐网站组成,包括AdultFriendFinder以及Penthouse在内的网站在十月份遭到攻击,导致了六个业务域内的超过4亿1千2百万用户账户遭到泄露,其中包括用户账户密码、电子邮件地址以及最近一次登陆的IP地址,泄露的数据中还包括将近一千六百万用户已经删除的却未从服务器清除的数据。

上个月推特上一位名为1x0123的黑客发布了AdultFriendFinder的网站截图显示,一份本地文件中包含的漏洞,允许攻击者将位于服务器上的文件打包到某一特定应用程序的输出之中,目前该用户的账号已经被冻结。

在Friend Finder Network(FFN)被曝光的超过4亿份用户账户中,大约1.256亿份用户账户的密码存储在纯文本中,2.82亿份用户账户的密码是用过时的SHA-1算法加密的,如谷歌、Mozilla以及微软等公司已经停止使用或不推荐使用此种算法。

Digital Shadows公司负责企业网络安全意识战略的副总裁Rick Holland表示,账户的非法交易、钓鱼攻击以及由此产生的勒索犯罪,仅仅是此次数据泄露事件中企业员工必须面对的风险的一部分。

“从成人交友网站泄露的凭据,使得网络罪犯向潜在的受害者进行敲诈时得心应手。大多数用户希望对这些服务保持匿名,不想让他们的公司或家人知道”,Holland告诉本站,“其中绝大部分的凭据会被用于勒索的目的,相关公司应主动监控与公司帐户相关的凭证转移存储,并做强制要求更改密码,即使这些凭证并没有在事件中被泄露。”

其他专家也发表了自己的观点,企业应该从这样巨大的数据泄露事件中警惕密码的安全性。Alert Logic的首席安全顾问Stephen Coty认为,企业不应该只关注自己业务域是否是在事件中遭到泄露。

Coty告诉本站:“这是公司要求重置密码的绝佳机会。因为任何人能够将这份数据下载下来,到相应的网站上使用账户登录,然而可能都会想到的是,那些使用个人邮件地址的用户在其他地方也会使用相同的密码。”

IOActive公司的咨询服务总监Daniel Messier认为,用户们应该对所有在线账户的密码安全有所防范,“应该更进一步,积极地为用户提供有关账户安全的通知,告诉用户他们应该保护好自己在本站和其他站点的密码安全”,Messier说道,“在这一角度上来看,密码过弱和随意分享是互联网安全的一项主要问题。”

Imperva的CTO Amichai Shulman告诉本站他并不同意其他专家的观点,他认为强制密码重置会(对用户)造成麻烦。

“如果每次发生大的泄漏事件,我们都重置一次密码,将会陷入每天都需要操作的窘境,因此除非了解到我的很多客户都受到了不良影响,否则我不会采取如此激进的措施”,更好的办法是当我们确信某些用户已经受到不良影响时,应该考虑向他们发送一份提示信息。

加密透明度

FNN用来加密用户数据的SHA-1算法已遭到严厉地批评,然而专家们并不认同将网站加密所使用的方式透明化的观点。

“我认为他们应该透明。这将迫使网站必须遵守行业规则”,Coty说,“缺点可能会使潜在的攻击者知道你所使用的加密方法,然而这就一定就不好吗?(黑客)也许会得出要破解这些加密数据过于浪费时间而必须放弃的结论。”

Kevin Bocek是Venafi公司负责安全策略与威胁情报的副总裁,他认为业务合作伙伴和用户应该知晓网站加密其信息所使用的加密方式。

Bocek告诉本站,“公司和政府部门应该敢于宣布自己在保护客户数据安全方面所采用的加密等级和保护措施。但是,相反的是公司往往承认他们所使用的是较低级别的安全措施,并承受着较高的风险。许多公司并不知道自己是否彻底根除了SHA-1有关的漏洞,不幸的是,如果未来几个月浏览器最终决定停止对SHA-1的支持,他们将会学到宝贵的一课。”

Shulman说如果用户不了解技术,透明度并不会有所帮助。

“在我的信息安全职业生涯中,我还未遇到过因为使用了较弱或过时的摘要算法造成用户流失的情况”,Shulman说道,“还有,大多数用户并不了解摘要算法是什么以及它为何要用于进行密码保护。”

Messier说除非密码安全关乎企业利益,否则算法透明度不会有所帮助。“(透明度)对于任何网站来说,都无法帮助他们找出并沟通自身的保护策略,使用难以破解的算法也是同理”,Messier说,“大多数情况中的问题只是公司没有将安全重视起来,而不是没有聘请正确的专家,也并非没有给予这些专家执行必要变更的充分权力。”

LeakedSource.com一篇FNN泄露密码事件的分析文章,收集和分析了泄露的数据,发现有超过两百万密码实例中,或者采用连续的字母,如“QWERTY”或“QWERTYUIOP”,或者干脆使用单词“password”。许多专家表示如果采用密码管理器将可以很大程度上提升密码安全。

“你需要经常培训用户并提醒他们密码安全的重要性,采取增强的IT策略经常变更或升级密码”,KnowBe4公司CEO Stu Sjouwerman告诉本站,“且采用密码管理器便无需记录那些复杂的的密码,帮助用户轻易保障安全。”

Coty说用户无需尝试记住复杂的密码以及有关的词句。

“我们需要开始思考词句和密码安全,我们需要更加聪明的密码”,Coty说,“如果是个牛仔迷,你可能会使用‘Wh0 Misses D@n M@rino Number 16’作为密码,将o替换为0,a替换为@——使用错误的人名和数字来额外提升复杂度。无需考虑那些复杂的难以记忆的密码,记住那些来自电影、书本、哲学家或政治事件中的词语并稍加改动就可以。”

Fidelis Cybersecurity公司威胁系统的两位管理人员Bocek和John Bambenek说,业界需要遏制对于多因素验证密码的追求。

“有些工具已经实施,用来要求用户使用更加复杂的密码”,Bambenek告诉本站,“然而,我们也注意到更加复杂的密码需求的同时,用户规避要求的技巧也在提高。密码可能是曾经使用过的验证方式里最糟糕的一种。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Michael Heller
Michael Heller

SearchSecurity高级记者。

密码管理>更多

  • 独立管理员账号有多重要?

    我在考虑创建独立管理员账号时受到一些阻力。请问在大型企业中是否已有这类的政策成功部署?独立管理员账号是最好的方法吗?

  • 身份和访问管理策略:是时候走向现代化了吗?

    IT一直在不断发展,企业运作和交互方式也正以前所未有的速度发生变化。现在,是时候对你的身份和访问管理策略进行评估并迈向现代化了。

  • 数据泄露后:是否应强制执行密码重置?

    据报道,在重大数据泄露事故后,雅虎公司信息安全团队希望公司强制对所有电子邮件账户进行密码重置,但被管理层拒绝。那么,对于遭遇数据泄露的公司,应强制执行密码重置吗?这种做法有什么缺点?

  • 1024位密钥加密已不再安全

    因为“陷阱”素数(‘trapdoored' primes)的出现,使用1024位密钥加密算法已不再安全。在本文中,专家Michael Cobb解释了加密后门的工作机制。

相关推荐

  • 数据泄露后:是否应强制执行密码重置?

    据报道,在重大数据泄露事故后,雅虎公司信息安全团队希望公司强制对所有电子邮件账户进行密码重置,但被管理层拒绝。那么,对于遭遇数据泄露的公司,应强制执行密码重置吗?这种做法有什么缺点?

  • 信任危机:Mozilla开发人员公布Symantec证书颁发机构问题

    日前,Mozilla开发人员公布了Symantec证书颁发机构的14个“已确认或疑似存在”的问题,以便Symantec正式解决这些问题。

  • CISO的真正挑战:密码管理、IoT安全&合规性

    在企业责任方面CISO似乎越来越接近其他的高管。不过有些CISO尚不知道如何与其他高管合作,另外一些CISO则仍然在试图弥合技术和业务之间的沟通鸿沟……那么,CISO面临的共同挑战是什么?

  • TeamViewer攻击事件:究竟谁之过?

    过去一个月,用户的抱怨充斥着论坛,他们都在说类似的问题——即TeamViewer账户被攻破。用户指责TeamViewer攻击事件的责任在开发人员,而开发人员则称是用户的失误……

技术手册>更多

  • 企业安全日志管理指南

    安全规范(Regulations)通常要求对日志数据进行收集、存储,而且还要求对这样大规模的数据进行审核、并作相应处理。过去,你的系统管理员可能经常通过分析日志文件来追踪一些设备上出现的问题,好让应急响应团队能及时发现可疑破坏或严重事故的关键所在。但是PCI、HIPPA、GLBA、SOX以及其它一些规范戏剧性地改变了这一惯例。现在,不管是财富500强企业,还是小型零售连锁店,还是当地的小医院,日志管理都已经变成一了项巨大的挑战。

  • 跨站脚本攻击防御

    跨站脚本攻击(cross-site scripting,XSS)是Web开发人员面对的严重安全问题。这种攻击允许恶意网站操作人员滥用Web用户对不相关的第三方网站的信任,在终端用户系统上执行任意脚本。XSS攻击发生时,恶意人士在其他用户的浏览器中运行恶意浏览器脚本。本专题将介绍跨站脚本攻击(XSS)以及如何进行防御。

  • 身份认证技术指南

    一次RSA遭攻击事件,让安全认证成为热点。如何才能实现有效的身份认证和访问管理?本技术手册,将从三个方面为你详细介绍有关认证的知识,帮助你选择合适的认证方案。

  • BYOD安全指南

    随着越来越多的移动设备涌入企业,BYOD已经不再是一个趋势,而是无可置疑的事实。但是,BYOD在给我们带来便捷的同时,也常常会导致安全问题。这个安全需要考虑很多因素。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算