精选国产在线观看一区二区三区_日韩av大片在线一区二区_欧美日韩v在线观看不卡_日本无遮挡色又黄的视频在线_黄片免费在线AAA_午夜视频欧美亚洲污污污_国产精品自拍第一区_无码免费三级少妇_人妻系列影片无码专区50_蘑菇成年人午夜福利

行業(yè)新聞

您當(dāng)前的位置:首頁 > 新聞資訊 > 行業(yè)新聞

交友網(wǎng)站數(shù)據(jù)泄露事件過后 | 數(shù)據(jù)加密課堂

發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時(shí)間:2020-10-27 瀏覽次數(shù):

在Friend Finder Network的4億用戶賬戶泄露事件后,專家開始對(duì)密碼安全的方方面面進(jìn)行大討論。

2016年最大宗的數(shù)據(jù)泄露案件使得超過4億用戶賬戶遭到泄露,引起了行業(yè)專家們圍繞密碼安全最佳實(shí)踐的大討論。

Friend Finder Network由一系列相親和成人娛樂網(wǎng)站組成,包括AdultFriendFinder以及Penthouse在內(nèi)的網(wǎng)站在十月份遭到攻擊,導(dǎo)致了六個(gè)業(yè)務(wù)域內(nèi)的超過4億1千2百萬用戶賬戶遭到泄露,其中包括用戶賬戶密碼、電子郵件地址以及最近一次登陸的IP地址,泄露的數(shù)據(jù)中還包括將近一千六百萬用戶已經(jīng)刪除的卻未從服務(wù)器清除的數(shù)據(jù)。

上個(gè)月推特上一位名為1x0123的黑客發(fā)布了AdultFriendFinder的網(wǎng)站截圖顯示,一份本地文件中包含的漏洞,允許攻擊者將位于服務(wù)器上的文件打包到某一特定應(yīng)用程序的輸出之中,目前該用戶的賬號(hào)已經(jīng)被凍結(jié)。

在Friend Finder Network(FFN)被曝光的超過4億份用戶賬戶中,大約1.256億份用戶賬戶的密碼存儲(chǔ)在純文本中,2.82億份用戶賬戶的密碼是用過時(shí)的SHA-1算法加密的,如谷歌、Mozilla以及微軟等公司已經(jīng)停止使用或不推薦使用此種算法。

Digital Shadows公司負(fù)責(zé)企業(yè)網(wǎng)絡(luò)安全意識(shí)戰(zhàn)略的副總裁Rick Holland表示,賬戶的非法交易、釣魚攻擊以及由此產(chǎn)生的勒索犯罪,僅僅是此次數(shù)據(jù)泄露事件中企業(yè)員工必須面對(duì)的風(fēng)險(xiǎn)的一部分。“從成人交友網(wǎng)站泄露的憑據(jù),使得網(wǎng)絡(luò)罪犯向潛在的受害者進(jìn)行敲詐時(shí)得心應(yīng)手。

大多數(shù)用戶希望對(duì)這些服務(wù)保持匿名,不想讓他們的公司或家人知道”,Holland告訴本站,“其中絕大部分的憑據(jù)會(huì)被用于勒索的目的,相關(guān)公司應(yīng)主動(dòng)監(jiān)控與公司帳戶相關(guān)的憑證轉(zhuǎn)移存儲(chǔ),并做強(qiáng)制要求更改密碼,即使這些憑證并沒有在事件中被泄露。”其他專家也發(fā)表了自己的觀點(diǎn),企業(yè)應(yīng)該從這樣巨大的數(shù)據(jù)泄露事件中警惕密碼的安全性。

Alert Logic的首席安全顧問Stephen Coty認(rèn)為,企業(yè)不應(yīng)該只關(guān)注自己業(yè)務(wù)域是否是在事件中遭到泄露。

Coty告訴本站:“這是公司要求重置密碼的絕佳機(jī)會(huì)。

因?yàn)槿魏稳四軌驅(qū)⑦@份數(shù)據(jù)下載下來,到相應(yīng)的網(wǎng)站上使用賬戶登錄,然而可能都會(huì)想到的是,那些使用個(gè)人郵件地址的用戶在其他地方也會(huì)使用相同的密碼。”IOActive公司的咨詢服務(wù)總監(jiān)Daniel Messier認(rèn)為,用戶們應(yīng)該對(duì)所有在線賬戶的密碼安全有所防范,“應(yīng)該更進(jìn)一步,積極地為用戶提供有關(guān)賬戶安全的通知,告訴用戶他們應(yīng)該保護(hù)好自己在本站和其他站點(diǎn)的密碼安全”,Messier說道,“在這一角度上來看,密碼過弱和隨意分享是互聯(lián)網(wǎng)安全的一項(xiàng)主要問題。”Imperva的CTO Amichai Shulman告訴本站他并不同意其他專家的觀點(diǎn),他認(rèn)為強(qiáng)制密碼重置會(huì)(對(duì)用戶)造成麻煩。“如果每次發(fā)生大的泄漏事件,我們都重置一次密碼,將會(huì)陷入每天都需要操作的窘境,因此除非了解到我的很多客戶都受到了不良影響,否則我不會(huì)采取如此激進(jìn)的措施”,更好的辦法是當(dāng)我們確信某些用戶已經(jīng)受到不良影響時(shí),應(yīng)該考慮向他們發(fā)送一份提示信息。

加密透明度FNN用來加密用戶數(shù)據(jù)的SHA-1算法已遭到嚴(yán)厲地批評(píng),然而專家們并不認(rèn)同將網(wǎng)站加密所使用的方式透明化的觀點(diǎn)。“我認(rèn)為他們應(yīng)該透明。

這將迫使網(wǎng)站必須遵守行業(yè)規(guī)則”,Coty說,“缺點(diǎn)可能會(huì)使?jié)撛诘墓粽咧滥闼褂玫募用芊椒?,然而這就一定就不好嗎?(黑客)也許會(huì)得出要破解這些加密數(shù)據(jù)過于浪費(fèi)時(shí)間而必須放棄的結(jié)論。”Kevin Bocek是Venafi公司負(fù)責(zé)安全策略與威脅情報(bào)的副總裁,他認(rèn)為業(yè)務(wù)合作伙伴和用戶應(yīng)該知曉網(wǎng)站加密其信息所使用的加密方式。

Bocek告訴本站,“公司和政府部門應(yīng)該敢于宣布自己在保護(hù)客戶數(shù)據(jù)安全方面所采用的加密等級(jí)和保護(hù)措施。

但是,相反的是公司往往承認(rèn)他們所使用的是較低級(jí)別的安全措施,并承受著較高的風(fēng)險(xiǎn)。

許多公司并不知道自己是否徹底根除了SHA-1有關(guān)的漏洞,不幸的是,如果未來幾個(gè)月瀏覽器最終決定停止對(duì)SHA-1的支持,他們將會(huì)學(xué)到寶貴的一課。”Shulman說如果用戶不了解技術(shù),透明度并不會(huì)有所幫助。“在我的信息安全職業(yè)生涯中,我還未遇到過因?yàn)槭褂昧溯^弱或過時(shí)的摘要算法造成用戶流失的情況”,Shulman說道,“還有,大多數(shù)用戶并不了解摘要算法是什么以及它為何要用于進(jìn)行密碼保護(hù)。”Messier說除非密碼安全關(guān)乎企業(yè)利益,否則算法透明度不會(huì)有所幫助。“(透明度)對(duì)于任何網(wǎng)站來說,都無法幫助他們找出并溝通自身的保護(hù)策略,使用難以破解的算法也是同理”,Messier說,“大多數(shù)情況中的問題只是公司沒有將安全重視起來,而不是沒有聘請(qǐng)正確的專家,也并非沒有給予這些專家執(zhí)行必要變更的充分權(quán)力。”LeakedSource.com一篇FNN泄露密碼事件的分析文章,收集和分析了泄露的數(shù)據(jù),發(fā)現(xiàn)有超過兩百萬密碼實(shí)例中,或者采用連續(xù)的字母,如“QWERTY”或“QWERTYUIOP”,或者干脆使用單詞“password”。

許多專家表示如果采用密碼管理器將可以很大程度上提升密碼安全。“你需要經(jīng)常培訓(xùn)用戶并提醒他們密碼安全的重要性,采取增強(qiáng)的IT策略經(jīng)常變更或升級(jí)密碼”,KnowBe4公司CEO Stu Sjouwerman告訴本站,“且采用密碼管理器便無需記錄那些復(fù)雜的的密碼,幫助用戶輕易保障安全。”Coty說用戶無需嘗試記住復(fù)雜的密碼以及有關(guān)的詞句。“我們需要開始思考詞句和密碼安全,我們需要更加聰明的密碼”,Coty說,“如果是個(gè)牛仔迷,你可能會(huì)使用‘Wh0 Misses D@n M@rino Number 16’作為密碼,將o替換為0,a替換為@——使用錯(cuò)誤的人名和數(shù)字來額外提升復(fù)雜度。

無需考慮那些復(fù)雜的難以記憶的密碼,記住那些來自電影、書本、哲學(xué)家或政治事件中的詞語并稍加改動(dòng)就可以。”Fideps Cybersecurity公司威脅系統(tǒng)的兩位管理人員Bocek和John Bambenek說,業(yè)界需要遏制對(duì)于多因素驗(yàn)證密碼的追求。“有些工具已經(jīng)實(shí)施,用來要求用戶使用更加復(fù)雜的密碼”,Bambenek告訴本站,“然而,我們也注意到更加復(fù)雜的密碼需求的同時(shí),用戶規(guī)避要求的技巧也在提高。

密碼可能是曾經(jīng)使用過的驗(yàn)證方式里最糟糕的一種。


  • 上一篇:10個(gè)技巧以防止內(nèi)部人員的安全威脅
  • 下一篇:從 Verizon 數(shù)據(jù)泄露報(bào)告看醫(yī)療行業(yè)數(shù)據(jù)安全
  • Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有

    粵ICP備2021016007號(hào)