LinkedIn泄露啟示：我們需要密碼數(shù)據(jù)庫(kù)存單

社交網(wǎng)絡(luò)和其他企業(yè)應(yīng)當(dāng)適當(dāng)?shù)乇Ｗo(hù)用戶密碼，否則當(dāng)一個(gè)攻擊者入侵盜取數(shù)據(jù)時(shí)，會(huì)帶來嚴(yán)重問題，Ullrich說道。事實(shí)已經(jīng)證明，攻擊者高度覬覦帳戶憑據(jù)，因?yàn)檫@些數(shù)據(jù)提供了作為身份驗(yàn)證用戶登錄系統(tǒng)的最簡(jiǎn)單方法。LinkedIn的密碼泄露，是近年來帳戶憑據(jù)泄露事件中的一件，也是密碼安全失誤的又一例證。

在一次采訪中，Ullrich談到在網(wǎng)絡(luò)上采取各種密碼數(shù)據(jù)庫(kù)清單的重要性，部署適當(dāng)?shù)谋Ｗo(hù)，移除那些以明文形式存儲(chǔ)密碼和其他個(gè)人信息的遺留應(yīng)用。企業(yè)可以部署單點(diǎn)登錄，他補(bǔ)充道。

但類似的保護(hù)措施很難應(yīng)用于電子郵件地址，Ullrich說道。應(yīng)用程序經(jīng)常需要查看明文的電子郵件地址，而企業(yè)需要可用的電子郵件地址來發(fā)信息給客戶。運(yùn)用電子郵件加密可能會(huì)導(dǎo)致密鑰管理問題。

專家告訴我，LinkedIn的泄露突出了數(shù)據(jù)庫(kù)安全性的需要。如果你是一個(gè)企業(yè)的首席信息安全官，聽到這個(gè)泄露的消息你會(huì)怎么做?

Ullrich：我認(rèn)為首先要做的是，對(duì)你網(wǎng)絡(luò)上所有的密碼數(shù)據(jù)庫(kù)列出清單。困難的是你通常不止有一個(gè)密碼數(shù)據(jù)庫(kù)。它們四處遍布是因?yàn)槟憧赡茉谶^去幾年不斷獲取不同的應(yīng)用程序。努力得到一個(gè)好的清單并弄清楚它們是如何被保護(hù)的，這是第一步。當(dāng)然，還會(huì)有不兼容且仍部署在許多網(wǎng)絡(luò)上的應(yīng)用程序。它們要么是以明文形式存儲(chǔ)數(shù)據(jù)，要么是哈希運(yùn)算不充分。努力想出一個(gè)過渡計(jì)劃似乎是不太可行的，所以你必須想出其他一些緩解控制。

為什么有些密碼數(shù)據(jù)庫(kù)企業(yè)可能不知道?

Ullrich：這是因?yàn)榇蠖鄶?shù)網(wǎng)絡(luò)隨著時(shí)間推移而增長(zhǎng)。你發(fā)現(xiàn)企業(yè)可能購(gòu)買那些并不清楚它們是如何存儲(chǔ)密碼的應(yīng)用程序。一個(gè)企業(yè)有幾十個(gè)應(yīng)用，而這些應(yīng)用都有自己的密碼存儲(chǔ)。理想情況下你可以分類實(shí)施單點(diǎn)登錄。如果我是一名首席信息安全官，這就是我的最終目標(biāo)。但話又說回來，在所有的遺留應(yīng)用程序上實(shí)現(xiàn)單點(diǎn)登錄通常是一個(gè)巨大的挑戰(zhàn)。這可不是你熬通宵就能完成的。

電子郵件地址和密碼是一起存儲(chǔ)的嗎?郵件地址是否應(yīng)該像密碼那樣被保護(hù)?

Ullrich：電子郵件地址和用戶名通常是電子郵件地址的第一部分，往往將它們存在一起。我不認(rèn)為對(duì)于保護(hù)電子郵件地址，你還有很多可以做，因?yàn)槟阈枰�明文的電子郵件地址來給用戶發(fā)郵件。有關(guān)密碼的一個(gè)事實(shí)是，應(yīng)用程序從來都不需要知道密碼，因此可以使用哈希算法或其他加密方法。但對(duì)于電子郵件，你真的沒有什么選項(xiàng)。你可以加密電子郵件地址，但隨后你不得不做一些事情，因?yàn)閼?yīng)用程序需要解密。這樣一來，你將面臨密鑰管理問題。

過去幾年中我們看到了大量數(shù)據(jù)泄露事件，它們某種程度上都屬于社會(huì)工程。除了培訓(xùn)外，還可以做什么來保護(hù)終端用戶免受社會(huì)工程的策略?

Ullrich：你還可以做訪問控制。當(dāng)然，問題之一是社會(huì)工程能說服一位內(nèi)部人士泄露所有的密碼。它并不需要是一個(gè)惡意攻擊。攻擊者能夠說服內(nèi)部人士泄露信息，而不需要社會(huì)工程。我認(rèn)為，解決社會(huì)工程需要內(nèi)部和外部的控制。你針對(duì)惡意內(nèi)幕人所做的同樣也對(duì)社會(huì)工程攻擊有效。

針對(duì)企業(yè)部署的監(jiān)控系統(tǒng)增加的網(wǎng)絡(luò)流量，目前人們一直在推動(dòng)“大數(shù)據(jù)”。這些系統(tǒng)只能部署在大型企業(yè)嗎?

Ullrich：對(duì)小型或中型企業(yè)來說，它們需要太多人力來部署和維護(hù)這類系統(tǒng)。需要有相當(dāng)專業(yè)的技能才能操作系統(tǒng)。規(guī)模較小的企業(yè)，將在外包監(jiān)測(cè)或由兼職系統(tǒng)管理員進(jìn)行監(jiān)測(cè)等其他類似的事情上遇到瓶頸。我不認(rèn)為這些系統(tǒng)將幫助很大，因?yàn)樗鼈兺�往在收集�?shù)據(jù)而沒有得到正確的監(jiān)控。我認(rèn)為較小的企業(yè)應(yīng)該選擇網(wǎng)絡(luò)控制，這將會(huì)帶來最大的幫助。 

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]