交友网站泄露事件过后:关于密码安全的大讨论

日期:2016-12-1作者:Michael Heller翻译:朱文浩来源:TechTarget中国 英文

【TechTarget中国原创】

在Friend Finder Network的4亿用户账户泄露事件后,专家开始对密码安全的方方面面进行大讨论。

2016年最大宗的数据泄露案件使得超过4亿用户账户遭到泄露,引起了行业专家们围绕密码安全最佳实践的大讨论。

Friend Finder Network由一系列相亲和成人娱乐网站组成,包括AdultFriendFinder以及Penthouse在内的网站在十月份遭到攻击,导致了六个业务域内的超过4亿1千2百万用户账户遭到泄露,其中包括用户账户密码、电子邮件地址以及最近一次登陆的IP地址,泄露的数据中还包括将近一千六百万用户已经删除的却未从服务器清除的数据。

上个月推特上一位名为1x0123的黑客发布了AdultFriendFinder的网站截图显示,一份本地文件中包含的漏洞,允许攻击者将位于服务器上的文件打包到某一特定应用程序的输出之中,目前该用户的账号已经被冻结。

在Friend Finder Network(FFN)被曝光的超过4亿份用户账户中,大约1.256亿份用户账户的密码存储在纯文本中,2.82亿份用户账户的密码是用过时的SHA-1算法加密的,如谷歌、Mozilla以及微软等公司已经停止使用或不推荐使用此种算法。

Digital Shadows公司负责企业网络安全意识战略的副总裁Rick Holland表示,账户的非法交易、钓鱼攻击以及由此产生的勒索犯罪,仅仅是此次数据泄露事件中企业员工必须面对的风险的一部分。

“从成人交友网站泄露的凭据,使得网络罪犯向潜在的受害者进行敲诈时得心应手。大多数用户希望对这些服务保持匿名,不想让他们的公司或家人知道”,Holland告诉本站,“其中绝大部分的凭据会被用于勒索的目的,相关公司应主动监控与公司帐户相关的凭证转移存储,并做强制要求更改密码,即使这些凭证并没有在事件中被泄露。”

其他专家也发表了自己的观点,企业应该从这样巨大的数据泄露事件中警惕密码的安全性。Alert Logic的首席安全顾问Stephen Coty认为,企业不应该只关注自己业务域是否是在事件中遭到泄露。

Coty告诉本站:“这是公司要求重置密码的绝佳机会。因为任何人能够将这份数据下载下来,到相应的网站上使用账户登录,然而可能都会想到的是,那些使用个人邮件地址的用户在其他地方也会使用相同的密码。”

IOActive公司的咨询服务总监Daniel Messier认为,用户们应该对所有在线账户的密码安全有所防范,“应该更进一步,积极地为用户提供有关账户安全的通知,告诉用户他们应该保护好自己在本站和其他站点的密码安全”,Messier说道,“在这一角度上来看,密码过弱和随意分享是互联网安全的一项主要问题。”

Imperva的CTO Amichai Shulman告诉本站他并不同意其他专家的观点,他认为强制密码重置会(对用户)造成麻烦。

“如果每次发生大的泄漏事件,我们都重置一次密码,将会陷入每天都需要操作的窘境,因此除非了解到我的很多客户都受到了不良影响,否则我不会采取如此激进的措施”,更好的办法是当我们确信某些用户已经受到不良影响时,应该考虑向他们发送一份提示信息。

加密透明度

FNN用来加密用户数据的SHA-1算法已遭到严厉地批评,然而专家们并不认同将网站加密所使用的方式透明化的观点。

“我认为他们应该透明。这将迫使网站必须遵守行业规则”,Coty说,“缺点可能会使潜在的攻击者知道你所使用的加密方法,然而这就一定就不好吗?(黑客)也许会得出要破解这些加密数据过于浪费时间而必须放弃的结论。”

Kevin Bocek是Venafi公司负责安全策略与威胁情报的副总裁,他认为业务合作伙伴和用户应该知晓网站加密其信息所使用的加密方式。

Bocek告诉本站,“公司和政府部门应该敢于宣布自己在保护客户数据安全方面所采用的加密等级和保护措施。但是,相反的是公司往往承认他们所使用的是较低级别的安全措施,并承受着较高的风险。许多公司并不知道自己是否彻底根除了SHA-1有关的漏洞,不幸的是,如果未来几个月浏览器最终决定停止对SHA-1的支持,他们将会学到宝贵的一课。”

Shulman说如果用户不了解技术,透明度并不会有所帮助。

“在我的信息安全职业生涯中,我还未遇到过因为使用了较弱或过时的摘要算法造成用户流失的情况”,Shulman说道,“还有,大多数用户并不了解摘要算法是什么以及它为何要用于进行密码保护。”

Messier说除非密码安全关乎企业利益,否则算法透明度不会有所帮助。“(透明度)对于任何网站来说,都无法帮助他们找出并沟通自身的保护策略,使用难以破解的算法也是同理”,Messier说,“大多数情况中的问题只是公司没有将安全重视起来,而不是没有聘请正确的专家,也并非没有给予这些专家执行必要变更的充分权力。”

LeakedSource.com一篇FNN泄露密码事件的分析文章,收集和分析了泄露的数据,发现有超过两百万密码实例中,或者采用连续的字母,如“QWERTY”或“QWERTYUIOP”,或者干脆使用单词“password”。许多专家表示如果采用密码管理器将可以很大程度上提升密码安全。

“你需要经常培训用户并提醒他们密码安全的重要性,采取增强的IT策略经常变更或升级密码”,KnowBe4公司CEO Stu Sjouwerman告诉本站,“且采用密码管理器便无需记录那些复杂的的密码,帮助用户轻易保障安全。”

Coty说用户无需尝试记住复杂的密码以及有关的词句。

“我们需要开始思考词句和密码安全,我们需要更加聪明的密码”,Coty说,“如果是个牛仔迷,你可能会使用‘Wh0 Misses D@n M@rino Number 16’作为密码,将o替换为0,a替换为@——使用错误的人名和数字来额外提升复杂度。无需考虑那些复杂的难以记忆的密码,记住那些来自电影、书本、哲学家或政治事件中的词语并稍加改动就可以。”

Fidelis Cybersecurity公司威胁系统的两位管理人员Bocek和John Bambenek说,业界需要遏制对于多因素验证密码的追求。

“有些工具已经实施,用来要求用户使用更加复杂的密码”,Bambenek告诉本站,“然而,我们也注意到更加复杂的密码需求的同时,用户规避要求的技巧也在提高。密码可能是曾经使用过的验证方式里最糟糕的一种。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Michael Heller
Michael Heller

SearchSecurity高级记者。

密码管理>更多

  • 密码终结者:FIDO身份验证标准来袭

    很多在线服务无法保护用户密码免受攻击者的攻击威胁,同时,密码作为身份验证方式存在固有弱点,这正迫使政府和IT行业构建可行的长期的替代方案……

  • 交友网站泄露事件过后:关于密码安全的大讨论

    在Friend Finder Network的4亿用户账户泄露事件后,专家开始对密码安全的方方面面进行大讨论……

  • 对企业来说,云端自行加密是可行之道吗?

    服务提供商可在需要的情况下访问加密数据。例如,当服务提供商收到执法部门访问数据的请求时,他们对访问数据并没有技术屏障,尽管数据被加密。同样地,服务提供商在技术或管理保护(密钥管理、过期或密钥访问)方面的缺陷可能会使数据处于风险之中。

  • TeamViewer攻击事件:究竟谁之过?

    过去一个月,用户的抱怨充斥着论坛,他们都在说类似的问题——即TeamViewer账户被攻破。用户指责TeamViewer攻击事件的责任在开发人员,而开发人员则称是用户的失误……

相关推荐

技术手册>更多

  • 笔记本电脑安全防护手册

    笔记本——多个身份——盗窃”这个话题好像已经重复了很多次了。不管是谁,饭店的清洁人员还是把笔记本放在车里的知名的审计员(他会在每年检查时想客户重复这些不注意的地方),笔记本和其他物理上不安全的电脑都在大量的丢失或者被窃。丢失笔记本已经不再只是不方便的事情了。最重要的是,这样会导致很多敏感信息处于风险之中。

  • 企业数据安全防护

    数据安全是降低敏感数据向内、外部泄露风险的最有效层面之一。在该层面,防护的焦点在于数据本身,其目的在于确保数据安然无恙,而不论其传播途径如何。数据的移动性正日益加强,因此数据安全防护至关重要。

  • 虚拟化安全手册

    未来企业在IT基础架构建设中,将侧重于建设领先的虚拟化IT环境。但虚拟化环境面临着不同于物理环境的安全问题,本技术手册将为你详细介绍虚拟化安全挑战,并提供解决策略和方法。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算