交友网站泄露事件过后:关于密码安全的大讨论

日期:2016-12-1作者:Michael Heller翻译:朱文浩 来源:TechTarget中国 英文

【TechTarget中国原创】

在Friend Finder Network的4亿用户账户泄露事件后,专家开始对密码安全的方方面面进行大讨论。

2016年最大宗的数据泄露案件使得超过4亿用户账户遭到泄露,引起了行业专家们围绕密码安全最佳实践的大讨论。

Friend Finder Network由一系列相亲和成人娱乐网站组成,包括AdultFriendFinder以及Penthouse在内的网站在十月份遭到攻击,导致了六个业务域内的超过4亿1千2百万用户账户遭到泄露,其中包括用户账户密码、电子邮件地址以及最近一次登陆的IP地址,泄露的数据中还包括将近一千六百万用户已经删除的却未从服务器清除的数据。

上个月推特上一位名为1x0123的黑客发布了AdultFriendFinder的网站截图显示,一份本地文件中包含的漏洞,允许攻击者将位于服务器上的文件打包到某一特定应用程序的输出之中,目前该用户的账号已经被冻结。

在Friend Finder Network(FFN)被曝光的超过4亿份用户账户中,大约1.256亿份用户账户的密码存储在纯文本中,2.82亿份用户账户的密码是用过时的SHA-1算法加密的,如谷歌、Mozilla以及微软等公司已经停止使用或不推荐使用此种算法。

Digital Shadows公司负责企业网络安全意识战略的副总裁Rick Holland表示,账户的非法交易、钓鱼攻击以及由此产生的勒索犯罪,仅仅是此次数据泄露事件中企业员工必须面对的风险的一部分。

“从成人交友网站泄露的凭据,使得网络罪犯向潜在的受害者进行敲诈时得心应手。大多数用户希望对这些服务保持匿名,不想让他们的公司或家人知道”,Holland告诉本站,“其中绝大部分的凭据会被用于勒索的目的,相关公司应主动监控与公司帐户相关的凭证转移存储,并做强制要求更改密码,即使这些凭证并没有在事件中被泄露。”

其他专家也发表了自己的观点,企业应该从这样巨大的数据泄露事件中警惕密码的安全性。Alert Logic的首席安全顾问Stephen Coty认为,企业不应该只关注自己业务域是否是在事件中遭到泄露。

Coty告诉本站:“这是公司要求重置密码的绝佳机会。因为任何人能够将这份数据下载下来,到相应的网站上使用账户登录,然而可能都会想到的是,那些使用个人邮件地址的用户在其他地方也会使用相同的密码。”

IOActive公司的咨询服务总监Daniel Messier认为,用户们应该对所有在线账户的密码安全有所防范,“应该更进一步,积极地为用户提供有关账户安全的通知,告诉用户他们应该保护好自己在本站和其他站点的密码安全”,Messier说道,“在这一角度上来看,密码过弱和随意分享是互联网安全的一项主要问题。”

Imperva的CTO Amichai Shulman告诉本站他并不同意其他专家的观点,他认为强制密码重置会(对用户)造成麻烦。

“如果每次发生大的泄漏事件,我们都重置一次密码,将会陷入每天都需要操作的窘境,因此除非了解到我的很多客户都受到了不良影响,否则我不会采取如此激进的措施”,更好的办法是当我们确信某些用户已经受到不良影响时,应该考虑向他们发送一份提示信息。

加密透明度

FNN用来加密用户数据的SHA-1算法已遭到严厉地批评,然而专家们并不认同将网站加密所使用的方式透明化的观点。

“我认为他们应该透明。这将迫使网站必须遵守行业规则”,Coty说,“缺点可能会使潜在的攻击者知道你所使用的加密方法,然而这就一定就不好吗?(黑客)也许会得出要破解这些加密数据过于浪费时间而必须放弃的结论。”

Kevin Bocek是Venafi公司负责安全策略与威胁情报的副总裁,他认为业务合作伙伴和用户应该知晓网站加密其信息所使用的加密方式。

Bocek告诉本站,“公司和政府部门应该敢于宣布自己在保护客户数据安全方面所采用的加密等级和保护措施。但是,相反的是公司往往承认他们所使用的是较低级别的安全措施,并承受着较高的风险。许多公司并不知道自己是否彻底根除了SHA-1有关的漏洞,不幸的是,如果未来几个月浏览器最终决定停止对SHA-1的支持,他们将会学到宝贵的一课。”

Shulman说如果用户不了解技术,透明度并不会有所帮助。

“在我的信息安全职业生涯中,我还未遇到过因为使用了较弱或过时的摘要算法造成用户流失的情况”,Shulman说道,“还有,大多数用户并不了解摘要算法是什么以及它为何要用于进行密码保护。”

Messier说除非密码安全关乎企业利益,否则算法透明度不会有所帮助。“(透明度)对于任何网站来说,都无法帮助他们找出并沟通自身的保护策略,使用难以破解的算法也是同理”,Messier说,“大多数情况中的问题只是公司没有将安全重视起来,而不是没有聘请正确的专家,也并非没有给予这些专家执行必要变更的充分权力。”

LeakedSource.com一篇FNN泄露密码事件的分析文章,收集和分析了泄露的数据,发现有超过两百万密码实例中,或者采用连续的字母,如“QWERTY”或“QWERTYUIOP”,或者干脆使用单词“password”。许多专家表示如果采用密码管理器将可以很大程度上提升密码安全。

“你需要经常培训用户并提醒他们密码安全的重要性,采取增强的IT策略经常变更或升级密码”,KnowBe4公司CEO Stu Sjouwerman告诉本站,“且采用密码管理器便无需记录那些复杂的的密码,帮助用户轻易保障安全。”

Coty说用户无需尝试记住复杂的密码以及有关的词句。

“我们需要开始思考词句和密码安全,我们需要更加聪明的密码”,Coty说,“如果是个牛仔迷,你可能会使用‘Wh0 Misses D@n M@rino Number 16’作为密码,将o替换为0,a替换为@——使用错误的人名和数字来额外提升复杂度。无需考虑那些复杂的难以记忆的密码,记住那些来自电影、书本、哲学家或政治事件中的词语并稍加改动就可以。”

Fidelis Cybersecurity公司威胁系统的两位管理人员Bocek和John Bambenek说,业界需要遏制对于多因素验证密码的追求。

“有些工具已经实施,用来要求用户使用更加复杂的密码”,Bambenek告诉本站,“然而,我们也注意到更加复杂的密码需求的同时,用户规避要求的技巧也在提高。密码可能是曾经使用过的验证方式里最糟糕的一种。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Michael Heller
Michael Heller

SearchSecurity高级记者。

密码管理>更多

  • 密码终结者:FIDO身份验证标准来袭

    很多在线服务无法保护用户密码免受攻击者的攻击威胁,同时,密码作为身份验证方式存在固有弱点,这正迫使政府和IT行业构建可行的长期的替代方案……

  • 交友网站泄露事件过后:关于密码安全的大讨论

    在Friend Finder Network的4亿用户账户泄露事件后,专家开始对密码安全的方方面面进行大讨论……

  • 对企业来说,云端自行加密是可行之道吗?

    服务提供商可在需要的情况下访问加密数据。例如,当服务提供商收到执法部门访问数据的请求时,他们对访问数据并没有技术屏障,尽管数据被加密。同样地,服务提供商在技术或管理保护(密钥管理、过期或密钥访问)方面的缺陷可能会使数据处于风险之中。

  • TeamViewer攻击事件:究竟谁之过?

    过去一个月,用户的抱怨充斥着论坛,他们都在说类似的问题——即TeamViewer账户被攻破。用户指责TeamViewer攻击事件的责任在开发人员,而开发人员则称是用户的失误……

相关推荐

技术手册>更多

  • 跨站脚本攻击防御

    跨站脚本攻击(cross-site scripting,XSS)是Web开发人员面对的严重安全问题。这种攻击允许恶意网站操作人员滥用Web用户对不相关的第三方网站的信任,在终端用户系统上执行任意脚本。XSS攻击发生时,恶意人士在其他用户的浏览器中运行恶意浏览器脚本。本专题将介绍跨站脚本攻击(XSS)以及如何进行防御。

  • 数据安全和云

    当决定是否采用云服务提供商时,围绕合规性和安全性的问题成为必须考虑的因素。本技术手册为您提供关于数据安全与云的指导。我们将和您一起探索云数据安全,讨论如何迎接风险管理挑战。

  • VPN应用指南

    虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行全方位的讲解。

  • 如何选择应用防火墙

    Web应用防火墙(Web application firewall)或应用层防火墙是一种旨在保护Web应用程序免受攻击和数据泄露危害的装置或软件。那些急于达到PCI安全标准的企业在选择Web应用防火墙(WAF)时往往无所适从。怎样才知道该选择什么产品?如何才能有效地部署和管理这些工具和软件?如何把它们与现有的基础架构有机组合起来?下面我们将列出在评估产品时帮助你遵从法规的需要着重考虑的几点。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算