近日在美國(guó)猶他州發(fā)生的數(shù)據(jù)泄露事故暴露了超過25.5萬人的社會(huì)安全號(hào)碼,這個(gè)事故再次突出了一個(gè)長(zhǎng)期存在��,但常常被企業(yè)低估風(fēng)險(xiǎn)的問題:使用弱密碼和默認(rèn)密碼���。
據(jù)調(diào)查�����,猶他州衛(wèi)生署的這次泄露事故源自服務(wù)器身份驗(yàn)證層的配置錯(cuò)誤����,很多安全分析家認(rèn)為這次事故是因?yàn)楸恍孤兜姆⻊?wù)器使用了默認(rèn)的管理密碼或者容易被猜到的密碼��。通過利用這個(gè)錯(cuò)誤�,攻擊者能夠繞過IT管理員部署的用于保護(hù)服務(wù)器上數(shù)據(jù)的外圍、網(wǎng)絡(luò)和應(yīng)用程序級(jí)的安全控制����。
這樣的錯(cuò)誤雖然容易避免,但是卻非常常見��。在今年三月�����,美國(guó)能源部總檢察長(zhǎng)發(fā)布了邦納維爾電力管理局(主要負(fù)責(zé)西北太平洋區(qū)域的公用事業(yè)提供30% 的電力資源)的信息安全審計(jì)結(jié)果��,根據(jù)這個(gè)審計(jì)結(jié)果顯示����,對(duì)用于支持邦納維爾電力局關(guān)鍵財(cái)務(wù)、人力資源和安全管理職能的九個(gè)應(yīng)用程序的漏洞掃描發(fā)現(xiàn)��,11 臺(tái)服務(wù)器使用了容易被猜出的密碼。
利用這些漏洞的攻擊者能夠獲取對(duì)該系統(tǒng)的完整訪問權(quán)���。其中四臺(tái)服務(wù)器被配置為允許任何遠(yuǎn)程用戶訪問和修改共享文件�,一臺(tái)管理員賬戶的服務(wù)器竟然只使用了默認(rèn)密碼保護(hù)�����。
本月早些時(shí)候��,支付處理公司Global Payments遭遇了數(shù)據(jù)泄露事故�����,事故導(dǎo)致150萬人的信用卡信息和借記卡信息被泄露�����,分析公司Gartner認(rèn)為這次事故的發(fā)生是弱身份驗(yàn)證機(jī)制所致��,讓攻擊者獲取了管理員賬戶���。而去年開源WineHQ數(shù)據(jù)庫(kù)的泄露事故同樣也被認(rèn)為是因?yàn)楣芾韱T賬戶使用了較弱密碼所致����。
企業(yè)可能擁有數(shù)百到數(shù)千個(gè)賬戶名和密碼。這些賬戶中很多具有對(duì)應(yīng)用程序�、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)和操作系統(tǒng)的優(yōu)先訪問權(quán)限�。雖然對(duì)于企業(yè)而言,并不是所有賬戶都是很關(guān)鍵的��,但是有很多賬戶如果遭遇泄露的話����,可能對(duì)企業(yè)造成嚴(yán)重影響�。
之前的研究數(shù)據(jù)表明,因?yàn)榫S護(hù)目的或者修復(fù)和升級(jí)工作需要對(duì)系統(tǒng)的管理訪問權(quán)限的人要比管理人員知道或者跟蹤的數(shù)量要多得多�����。然而�,很多公司允許用戶或者管理員使用較簡(jiǎn)單的密碼,或者甚至使用默認(rèn)密碼來保護(hù)對(duì)這些賬戶的訪問����。
當(dāng)使用多因素身份驗(yàn)證時(shí),這些措施往往涉及相對(duì)容易攻破的基于知識(shí)的身份驗(yàn)證(KBA)機(jī)制�����,用戶會(huì)被要求回答一個(gè)安全問題,例如第一只寵物的名字或者最喜愛的電影的名字等�。
Verizon公司上個(gè)月發(fā)布的一份報(bào)告顯示,在零售業(yè)和餐飲行業(yè)�,利用弱密碼的攻擊仍然非常普遍。攻擊者仍然可以訪問供應(yīng)商的網(wǎng)站��,獲取客戶名單�����,然后簡(jiǎn)單地選擇那些使用默認(rèn)密碼或者容易被猜到的用戶名-密碼組合的用戶����,就可以成功發(fā)起攻擊。Verizon在其報(bào)告中指出���,“這些都是相對(duì)容易的攻擊�����,只需要一點(diǎn)知識(shí)或者創(chuàng)造力即可���。”
Gartner分析師John Pescatore表示�,另外一個(gè)常見問題就是�����,很多人往往會(huì)為自己的不同賬戶使用相同的密碼�����。
“Anonymous黑客組織的很多成功攻擊都源自于在獲取用戶的外部服務(wù)密碼后�,發(fā)現(xiàn)用戶的機(jī)密內(nèi)部應(yīng)用程序或者電子郵件系統(tǒng)使用了相同的密碼,”Pescatore表示���,“我們將這種現(xiàn)象稱之為‘重復(fù)使用密碼的詛咒’。”
為提高安全性���,企業(yè)可以采取的最重要的措施之一是提高密碼和身份驗(yàn)證機(jī)制的“門檻”���。他表示:“這就好比開汽車時(shí),如果你不將腳放在剎車上的話�,就無法從‘停車狀態(tài)’變?yōu)?lsquo;開動(dòng)狀態(tài)’,在任何軟件中都會(huì)有“安全聯(lián)鎖”���,如果不修改默認(rèn)密碼的話�����,將很難啟動(dòng)��。”
密碼管理軟件供應(yīng)商Cyber-Ark公司企業(yè)發(fā)展執(zhí)行副總裁Adam Bosnian表示�,企業(yè)面臨的問題非常復(fù)雜。要求管理員使用復(fù)雜的密碼是一回事�����,而管理這些復(fù)雜的密碼又是另一回事了�。經(jīng)常發(fā)生的情況是,多個(gè)管理員可能需要訪問同一個(gè)系統(tǒng)����,往往大家傾向于使用默認(rèn)密碼或者容易記住的密碼來控制對(duì)系統(tǒng)的訪問。
當(dāng)使用復(fù)雜密碼時(shí)�����,管理員需要部署三個(gè)程序:一用于安全地共享彼此的密碼;另一個(gè)用于在需要時(shí)修改密碼���,第三個(gè)用于通知大家修改密碼的情況�����。這些程序在較大型企業(yè)特別難以執(zhí)行���,因?yàn)閮?yōu)先訪問權(quán)限賬戶的數(shù)量非常驚人�����。
“事實(shí)是��,任何試圖保護(hù)重要資產(chǎn)的人都應(yīng)該使用多因素身份驗(yàn)證和/或互補(bǔ)控制來保護(hù)自己�����,”Spire Security公司分析師Peter Lindstrom表示��,“密碼存在太多缺陷,包括人自身的問題����。”
大多數(shù)沒有受到另一種身份驗(yàn)證形式或鎖定控制保護(hù)的密碼機(jī)制都很容易受到攻擊者的暴力破解,他們會(huì)使用自動(dòng)化工具來猜測(cè)密碼�,“在IT的現(xiàn)階段來看,實(shí)在是找不到理由來使用默認(rèn)密碼了��。”
