密码数据库存单管理数据泄露挑战

   SANS协会的首席研究人员Johannes Ullrich表示，许多企业已经收集了以各种方法存储密码的应用程序和系统，无论是员工密码或客户密码，密码保护都是一个严重的问题。

    社交网络和其他企业应当适当地保护用户密码，否则当一个攻击者入侵盗取数据时，会带来严重问题，Ullrich说道。事实已经证明，攻击者高度觊觎帐户凭据，因为这些数据提供了作为身份验证用户登录系统的最简单方法。LinkedIn的密码泄露，是近年来帐户凭据泄露事件中的一件，也是密码安全失误的又一例证。

    在一次接受SearchSecurity.com的采访中，Ullrich谈到在网络上采取各种密码数据库清单的重要性，部署适当的保护，移除那些以明文形式存储密码和其他个人信息的遗留应用。企业可以部署单点登录，他补充道。

    但类似的保护措施很难应用于电子邮件地址，Ullrich说道。应用程序经常需要查看明文的电子邮件地址，而企业需要可用的电子邮件地址来发信息给客户。运用电子邮件加密可能会导致密钥管理问题。

    专家告诉我，LinkedIn的泄露突出了数据库安全性的需要。如果你是一个企业的首席信息安全官，听到这个泄露的消息你会怎么做？

    Ullrich:我认为首先要做的是，对你网络上所有的密码数据库列出清单。困难的是你通常不止有一个密码数据库。它们四处遍布是因为你可能在过去几年不断获取不同的应用程序。努力得到一个好的清单并弄清楚它们是如何被保护的，这是第一步。当然，还会有不兼容且仍部署在许多网络上的应用程序。它们要么是以明文形式存储数据，要么是哈希运算不充分。努力想出一个过渡计划似乎是不太可行的，所以你必须想出其他一些缓解控制。

    为什么有些密码数据库企业可能不知道？

    Ullrich:这是因为大多数网络随着时间推移而增长。你发现企业可能购买那些并不清楚它们是如何存储密码的应用程序。一个企业有几十个应用，而这些应用都有自己的密码存储。理想情况下你可以分类实施单点登录。如果我是一名首席信息安全官，这就是我的最终目标。但话又说回来，在所有的遗留应用程序上实现单点登录通常是一个巨大的挑战。这可不是你熬通宵就能完成的。[page]

    电子邮件地址和密码是一起存储的吗？邮件地址是否应该像密码那样被保护？

    Ullrich:电子邮件地址和用户名通常是电子邮件地址的第一部分，往往将它们存在一起。我不认为对于保护电子邮件地址，你还有很多可以做，因为你需要明文的电子邮件地址来给用户发邮件。有关密码的一个事实是，应用程序从来都不需要知道密码，因此可以使用哈希算法或其他加密方法。但对于电子邮件，你真的没有什么选项。你可以加密电子邮件地址，但随后你不得不做一些事情，因为应用程序需要解密。这样一来，你将面临密钥管理问题。

    过去几年中我们看到了大量数据泄露事件，它们某种程度上都属于社会工程。除了培训外，还可以做什么来保护终端用户免受社会工程的策略？

    Ullrich:你还可以做访问控制。当然，问题之一是社会工程能说服一位内部人士泄露所有的密码。它并不需要是一个恶意攻击。攻击者能够说服内部人士泄露信息，而不需要社会工程。我认为，解决社会工程需要内部和外部的控制。你针对恶意内幕人所做的同样也对社会工程攻击有效。

    针对企业部署的监控系统增加的网络流量，目前人们一直在推动“大数据”.这些系统只能部署在大型企业吗？

    Ullrich:对小型或中型企业来说，它们需要太多人力来部署和维护这类系统。需要有相当专业的技能才能操作系统。规模较小的企业，将在外包监测或由兼职系统管理员进行监测等其他类似的事情上遇到瓶颈。我不认为这些系统将帮助很大，因为它们往往在收集数据而没有得到正确的监控。我认为较小的企业应该选择网络控制，这将会带来最大的帮助。

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!