数据泄露后:是否应强制执行密码重置?

日期:2017-4-19作者:Mike O. Villegas翻译:邹峥 来源:TechTarget中国 英文

【TechTarget中国原创】

据报道,在重大数据泄露事故后,雅虎公司信息安全团队希望公司强制对所有电子邮件账户进行密码重置,但被管理层拒绝。那么,对于遭遇数据泄露的公司,应强制执行密码重置吗?这种做法有什么缺点?

Mike O. Villegas :2016年12月,雅虎公司确认其曾在2013年8月遭遇数据泄露事故,涉及超过10亿雅虎用户账户。此前在2016年9月,雅虎透露在2014年至少5亿用户账户被盗。被盗信息包括姓名、电子邮件地址、电话号码、出生日期、密码,以及加密或未加密的安全问题和答案。那些信息被泄露的用户都收到通知要求更改密码。

当雅虎公司信息安全团队请求管理层对所有用户账户强制执行重新设置密码时,雅虎的管理层拒绝了该请求,他们认为强制重置密码会让雅虎电子邮件用户流失而转向其他服务。然而最终很多雅虎用户都被迫更改密码。

大多数网络安全领域人士可能都会认同:在数据泄漏事故发生后,至少应强制执行重置密码以确保基本控制。雅虎和其他服务提供商支持两步验证和多因素身份验证以确保用户的正常访问。

强制密码重置的缺点是,为了确保安全的登录,用户需要设置更高强度的密码,而很多用户不太关心这个问题,推迟密码更改。但企业还是应该咬紧牙关执行强制密码重置。这样才更安全,不会让大多数用户信息暴露在外。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
惊浪 发表于:2017-05-09 15:06 回复
好的,知道了。
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Mike O. Villegas
Mike O. Villegas

技术咨询公司K3DES LLC副总裁

密码管理>更多

  • 独立管理员账号有多重要?

    我在考虑创建独立管理员账号时受到一些阻力。请问在大型企业中是否已有这类的政策成功部署?独立管理员账号是最好的方法吗?

  • 身份和访问管理策略:是时候走向现代化了吗?

    IT一直在不断发展,企业运作和交互方式也正以前所未有的速度发生变化。现在,是时候对你的身份和访问管理策略进行评估并迈向现代化了。

  • 1024位密钥加密已不再安全

    因为“陷阱”素数(‘trapdoored' primes)的出现,使用1024位密钥加密算法已不再安全。在本文中,专家Michael Cobb解释了加密后门的工作机制。

  • 密码终结者:FIDO身份验证标准来袭

    很多在线服务无法保护用户密码免受攻击者的攻击威胁,同时,密码作为身份验证方式存在固有弱点,这正迫使政府和IT行业构建可行的长期的替代方案……

相关推荐

技术手册>更多

  • 配置IPS 主动保护网络安全

    入侵防御系统(Intrusion Prevention System,IPS)是这段时间网络安全业内比较热门的一个词,这种既能及时发现又能实时阻断各种入侵行为的安全产品,自面世那天起,就受到各大安全厂商和用户的广泛关注。本指南将帮助你深入了解IPS,并介绍专家对IPS未来的预测。

  • Snort入侵检测工具使用指南(附软件下载)

    最好的入侵检测系统(IDS)是免费的、开源的Snort工具。它拥有大量的用户,而且有商业公司Sourcefire的支持,使得Snort成为受到欢迎的入侵检测系统工具。这个工具本身是免费的。它所需要的是一些在上面运行的硬件以及安装、配置和维护的时间。

  • 安全密码管理

    在使用电脑的过程中,我们无时无刻不在与密码打交道。如果自己设置的密码被别人猜到或破译,那么则会重要资料、个人隐私被泄露。因此安全密码的管理是与每个人都相关的一件大事。本专题中将用实例介绍如何安全密码的创建、管理和破解。

  • 企业渗透测试指南

    正确执行的渗透测试是秘密的测试,其中由咨询人员或者内部人员扮演恶意攻击者,攻击系统的安全性。因为最终目的是渗透,这种测试不会发出警告,完全保密(当然,上层管理人员同意进行测试并且理解秘密的要求)。理想的是,应该没有来自企业的支持……或者,最大限度的是指出哪些是渗透测试团队应该避免的。在本指南中将全面介绍渗透测试和道德黑客,以及渗透测试的作用和执行方式,此外,希望本指南也能为想要成为渗透测试人员,也就是道德黑客的技术人员提供帮助。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算