精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

交友網(wǎng)站泄露事件過后:關(guān)于密碼安全的大討論

責(zé)任編輯:jackye

作者:Michael Heller

2016-12-01 09:33:10

摘自:TechTarget中國

在Friend Finder Network的4億用戶賬戶泄露事件后,專家開始對密碼安全的方方面面進行大討論。2016年最大宗的數(shù)據(jù)泄露案件使得超過4億用戶賬戶遭到泄露,引起了行業(yè)專家們圍繞密碼安全最佳實踐的大討論。

在Friend Finder Network的4億用戶賬戶泄露事件后,專家開始對密碼安全的方方面面進行大討論。

2016年最大宗的數(shù)據(jù)泄露案件使得超過4億用戶賬戶遭到泄露,引起了行業(yè)專家們圍繞密碼安全最佳實踐的大討論。

Friend Finder Network由一系列相親和成人娛樂網(wǎng)站組成,包括AdultFriendFinder以及Penthouse在內(nèi)的網(wǎng)站在十月份遭到攻擊,導(dǎo)致了六個業(yè)務(wù)域內(nèi)的超過4億1千2百萬用戶賬戶遭到泄露,其中包括用戶賬戶密碼、電子郵件地址以及最近一次登陸的IP地址,泄露的數(shù)據(jù)中還包括將近一千六百萬用戶已經(jīng)刪除的卻未從服務(wù)器清除的數(shù)據(jù)。

上個月推特上一位名為1x0123的黑客發(fā)布了AdultFriendFinder的網(wǎng)站截圖顯示,一份本地文件中包含的漏洞,允許攻擊者將位于服務(wù)器上的文件打包到某一特定應(yīng)用程序的輸出之中,目前該用戶的賬號已經(jīng)被凍結(jié)。

在Friend Finder Network(FFN)被曝光的超過4億份用戶賬戶中,大約1.256億份用戶賬戶的密碼存儲在純文本中,2.82億份用戶賬戶的密碼是用過時的SHA-1算法加密的,如谷歌、Mozilla以及微軟等公司已經(jīng)停止使用或不推薦使用此種算法。

Digital Shadows公司負責(zé)企業(yè)網(wǎng)絡(luò)安全意識戰(zhàn)略的副總裁Rick Holland表示,賬戶的非法交易、釣魚攻擊以及由此產(chǎn)生的勒索犯罪,僅僅是此次數(shù)據(jù)泄露事件中企業(yè)員工必須面對的風(fēng)險的一部分。

“從成人交友網(wǎng)站泄露的憑據(jù),使得網(wǎng)絡(luò)罪犯向潛在的受害者進行敲詐時得心應(yīng)手。大多數(shù)用戶希望對這些服務(wù)保持匿名,不想讓他們的公司或家人知道”,Holland告訴本站,“其中絕大部分的憑據(jù)會被用于勒索的目的,相關(guān)公司應(yīng)主動監(jiān)控與公司帳戶相關(guān)的憑證轉(zhuǎn)移存儲,并做強制要求更改密碼,即使這些憑證并沒有在事件中被泄露。”

其他專家也發(fā)表了自己的觀點,企業(yè)應(yīng)該從這樣巨大的數(shù)據(jù)泄露事件中警惕密碼的安全性。Alert Logic的首席安全顧問Stephen Coty認為,企業(yè)不應(yīng)該只關(guān)注自己業(yè)務(wù)域是否是在事件中遭到泄露。

Coty告訴本站:“這是公司要求重置密碼的絕佳機會。因為任何人能夠?qū)⑦@份數(shù)據(jù)下載下來,到相應(yīng)的網(wǎng)站上使用賬戶登錄,然而可能都會想到的是,那些使用個人郵件地址的用戶在其他地方也會使用相同的密碼。”

IOActive公司的咨詢服務(wù)總監(jiān)Daniel Messier認為,用戶們應(yīng)該對所有在線賬戶的密碼安全有所防范,“應(yīng)該更進一步,積極地為用戶提供有關(guān)賬戶安全的通知,告訴用戶他們應(yīng)該保護好自己在本站和其他站點的密碼安全”,Messier說道,“在這一角度上來看,密碼過弱和隨意分享是互聯(lián)網(wǎng)安全的一項主要問題。”

Imperva的CTO Amichai Shulman告訴本站他并不同意其他專家的觀點,他認為強制密碼重置會(對用戶)造成麻煩。

“如果每次發(fā)生大的泄漏事件,我們都重置一次密碼,將會陷入每天都需要操作的窘境,因此除非了解到我的很多客戶都受到了不良影響,否則我不會采取如此激進的措施”,更好的辦法是當(dāng)我們確信某些用戶已經(jīng)受到不良影響時,應(yīng)該考慮向他們發(fā)送一份提示信息。

加密透明度

FNN用來加密用戶數(shù)據(jù)的SHA-1算法已遭到嚴厲地批評,然而專家們并不認同將網(wǎng)站加密所使用的方式透明化的觀點。

“我認為他們應(yīng)該透明。這將迫使網(wǎng)站必須遵守行業(yè)規(guī)則”,Coty說,“缺點可能會使?jié)撛诘墓粽咧滥闼褂玫募用芊椒ǎ欢@就一定就不好嗎?(黑客)也許會得出要破解這些加密數(shù)據(jù)過于浪費時間而必須放棄的結(jié)論。”

Kevin Bocek是Venafi公司負責(zé)安全策略與威脅情報的副總裁,他認為業(yè)務(wù)合作伙伴和用戶應(yīng)該知曉網(wǎng)站加密其信息所使用的加密方式。

Bocek告訴本站,“公司和政府部門應(yīng)該敢于宣布自己在保護客戶數(shù)據(jù)安全方面所采用的加密等級和保護措施。但是,相反的是公司往往承認他們所使用的是較低級別的安全措施,并承受著較高的風(fēng)險。許多公司并不知道自己是否徹底根除了SHA-1有關(guān)的漏洞,不幸的是,如果未來幾個月瀏覽器最終決定停止對SHA-1的支持,他們將會學(xué)到寶貴的一課。”

Shulman說如果用戶不了解技術(shù),透明度并不會有所幫助。

“在我的信息安全職業(yè)生涯中,我還未遇到過因為使用了較弱或過時的摘要算法造成用戶流失的情況”,Shulman說道,“還有,大多數(shù)用戶并不了解摘要算法是什么以及它為何要用于進行密碼保護。”

Messier說除非密碼安全關(guān)乎企業(yè)利益,否則算法透明度不會有所幫助。“(透明度)對于任何網(wǎng)站來說,都無法幫助他們找出并溝通自身的保護策略,使用難以破解的算法也是同理”,Messier說,“大多數(shù)情況中的問題只是公司沒有將安全重視起來,而不是沒有聘請正確的專家,也并非沒有給予這些專家執(zhí)行必要變更的充分權(quán)力。”

LeakedSource.com一篇FNN泄露密碼事件的分析文章,收集和分析了泄露的數(shù)據(jù),發(fā)現(xiàn)有超過兩百萬密碼實例中,或者采用連續(xù)的字母,如“QWERTY”或“QWERTYUIOP”,或者干脆使用單詞“password”。許多專家表示如果采用密碼管理器將可以很大程度上提升密碼安全。

“你需要經(jīng)常培訓(xùn)用戶并提醒他們密碼安全的重要性,采取增強的IT策略經(jīng)常變更或升級密碼”,KnowBe4公司CEO Stu Sjouwerman告訴本站,“且采用密碼管理器便無需記錄那些復(fù)雜的的密碼,幫助用戶輕易保障安全。”

Coty說用戶無需嘗試記住復(fù)雜的密碼以及有關(guān)的詞句。

“我們需要開始思考詞句和密碼安全,我們需要更加聰明的密碼”,Coty說,“如果是個牛仔迷,你可能會使用‘Wh0 Misses D@n M@rino Number 16’作為密碼,將o替換為0,a替換為@——使用錯誤的人名和數(shù)字來額外提升復(fù)雜度。無需考慮那些復(fù)雜的難以記憶的密碼,記住那些來自電影、書本、哲學(xué)家或政治事件中的詞語并稍加改動就可以。”

Fidelis Cybersecurity公司威脅系統(tǒng)的兩位管理人員Bocek和John Bambenek說,業(yè)界需要遏制對于多因素驗證密碼的追求。

“有些工具已經(jīng)實施,用來要求用戶使用更加復(fù)雜的密碼”,Bambenek告訴本站,“然而,我們也注意到更加復(fù)雜的密碼需求的同時,用戶規(guī)避要求的技巧也在提高。密碼可能是曾經(jīng)使用過的驗證方式里最糟糕的一種。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 广西| 南陵县| 拜泉县| 光泽县| 丹阳市| 曲麻莱县| 抚松县| 和林格尔县| 龙山县| 潮州市| 临朐县| 观塘区| 吉安县| 克拉玛依市| 沙坪坝区| 喀喇沁旗| 山东| 周至县| 泗阳县| 洛阳市| 浮梁县| 株洲县| 揭阳市| 广水市| 盐源县| 宜君县| 建始县| 诸暨市| 徐水县| 库尔勒市| 凭祥市| 阿克| 阳东县| 车险| 平度市| 深圳市| 济源市| 福建省| 清流县| 依安县| 阿拉善右旗|