在Friend Finder Network的4亿用户账户泄露事件后,专家开始对密码安全的方方面面进行大讨论。
2016年最大宗的数据泄露案件使得超过4亿用户账户遭到泄露,引起了行业专家们围绕密码安全最佳实践的大讨论。
Friend Finder Network由一系列相亲和成人娱乐网站组成,包括AdultFriendFinder以及Penthouse在内的网站在十月份遭到攻击,导致了六个业务域内的超过4亿1千2百万用户账户遭到泄露,其中包括用户账户密码、电子邮件地址以及最近一次登陆的IP地址,泄露的数据中还包括将近一千六百万用户已经删除的却未从服务器清除的数据。
上个月推特上一位名为1x0123的黑客发布了AdultFriendFinder的网站截图显示,一份本地文件中包含的漏洞,允许攻击者将位于服务器上的文件打包到某一特定应用程序的输出之中,目前该用户的账号已经被冻结。
在Friend Finder Network(FFN)被曝光的超过4亿份用户账户中,大约1.256亿份用户账户的密码存储在纯文本中,2.82亿份用户账户的密码是用过时的SHA-1算法加密的,如谷歌、Mozilla以及微软等公司已经停止使用或不推荐使用此种算法。
Digital Shadows公司负责企业网络安全意识战略的副总裁Rick Holland表示,账户的非法交易、钓鱼攻击以及由此产生的勒索犯罪,仅仅是此次数据泄露事件中企业员工必须面对的风险的一部分。
“从成人交友网站泄露的凭据,使得网络罪犯向潜在的受害者进行敲诈时得心应手。大多数用户希望对这些服务保持匿名,不想让他们的公司或家人知道”,Holland告诉本站,“其中绝大部分的凭据会被用于勒索的目的,相关公司应主动监控与公司帐户相关的凭证转移存储,并做强制要求更改密码,即使这些凭证并没有在事件中被泄露。”
其他专家也发表了自己的观点,企业应该从这样巨大的数据泄露事件中警惕密码的安全性。Alert Logic的首席安全顾问Stephen Coty认为,企业不应该只关注自己业务域是否是在事件中遭到泄露。
Coty告诉本站:“这是公司要求重置密码的绝佳机会。因为任何人能够将这份数据下载下来,到相应的网站上使用账户登录,然而可能都会想到的是,那些使用个人邮件地址的用户在其他地方也会使用相同的密码。”
IOActive公司的咨询服务总监Daniel Messier认为,用户们应该对所有在线账户的密码安全有所防范,“应该更进一步,积极地为用户提供有关账户安全的通知,告诉用户他们应该保护好自己在本站和其他站点的密码安全”,Messier说道,“在这一角度上来看,密码过弱和随意分享是互联网安全的一项主要问题。”
Imperva的CTO Amichai Shulman告诉本站他并不同意其他专家的观点,他认为强制密码重置会(对用户)造成麻烦。
“如果每次发生大的泄漏事件,我们都重置一次密码,将会陷入每天都需要操作的窘境,因此除非了解到我的很多客户都受到了不良影响,否则我不会采取如此激进的措施”,更好的办法是当我们确信某些用户已经受到不良影响时,应该考虑向他们发送一份提示信息。
加密透明度
FNN用来加密用户数据的SHA-1算法已遭到严厉地批评,然而专家们并不认同将网站加密所使用的方式透明化的观点。
“我认为他们应该透明。这将迫使网站必须遵守行业规则”,Coty说,“缺点可能会使潜在的攻击者知道你所使用的加密方法,然而这就一定就不好吗?(黑客)也许会得出要破解这些加密数据过于浪费时间而必须放弃的结论。”
Kevin Bocek是Venafi公司负责安全策略与威胁情报的副总裁,他认为业务合作伙伴和用户应该知晓网站加密其信息所使用的加密方式。
Bocek告诉本站,“公司和政府部门应该敢于宣布自己在保护客户数据安全方面所采用的加密等级和保护措施。但是,相反的是公司往往承认他们所使用的是较低级别的安全措施,并承受着较高的风险。许多公司并不知道自己是否彻底根除了SHA-1有关的漏洞,不幸的是,如果未来几个月浏览器最终决定停止对SHA-1的支持,他们将会学到宝贵的一课。”
Shulman说如果用户不了解技术,透明度并不会有所帮助。
“在我的信息安全职业生涯中,我还未遇到过因为使用了较弱或过时的摘要算法造成用户流失的情况”,Shulman说道,“还有,大多数用户并不了解摘要算法是什么以及它为何要用于进行密码保护。”
Messier说除非密码安全关乎企业利益,否则算法透明度不会有所帮助。“(透明度)对于任何网站来说,都无法帮助他们找出并沟通自身的保护策略,使用难以破解的算法也是同理”,Messier说,“大多数情况中的问题只是公司没有将安全重视起来,而不是没有聘请正确的专家,也并非没有给予这些专家执行必要变更的充分权力。”
LeakedSource.com一篇FNN泄露密码事件的分析文章,收集和分析了泄露的数据,发现有超过两百万密码实例中,或者采用连续的字母,如“QWERTY”或“QWERTYUIOP”,或者干脆使用单词“password”。许多专家表示如果采用密码管理器将可以很大程度上提升密码安全。
“你需要经常培训用户并提醒他们密码安全的重要性,采取增强的IT策略经常变更或升级密码”,KnowBe4公司CEO Stu Sjouwerman告诉本站,“且采用密码管理器便无需记录那些复杂的的密码,帮助用户轻易保障安全。”
Coty说用户无需尝试记住复杂的密码以及有关的词句。
“我们需要开始思考词句和密码安全,我们需要更加聪明的密码”,Coty说,“如果是个牛仔迷,你可能会使用‘Wh0 Misses D@n M@rino Number 16’作为密码,将o替换为0,a替换为@——使用错误的人名和数字来额外提升复杂度。无需考虑那些复杂的难以记忆的密码,记住那些来自电影、书本、哲学家或政治事件中的词语并稍加改动就可以。”
Fidelis Cybersecurity公司威胁系统的两位管理人员Bocek和John Bambenek说,业界需要遏制对于多因素验证密码的追求。
“有些工具已经实施,用来要求用户使用更加复杂的密码”,Bambenek告诉本站,“然而,我们也注意到更加复杂的密码需求的同时,用户规避要求的技巧也在提高。密码可能是曾经使用过的验证方式里最糟糕的一种。”