新技术论坛
搜索
查看: 921|回复: 0
打印 上一主题 下一主题

[安全运维] 你母亲的娘家姓是4tz9Ru#p 你的童年好友是b2p^fqw

[复制链接]
  • TA的每日心情
    开心
    2016-12-9 18:18
  • 签到天数: 85 天

    连续签到: 1 天

    [LV.6]常住居民II

    扫一扫,手机访问本帖
    楼主
    跳转到指定楼层
    发表于 2016-10-16 08:31:47 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
      随机强口令的使用几乎已成主流,略有一点安全意识的人都清楚:"password1"或"1234567"这种口令不会给他们带来任何好处。但即便口令安全有所改善,却有更严重的问题潜藏其下:安全问题。

      由于雅虎数据泄露事件,如果你正好有个雅虎账户,那恭喜你,恐怕你得另找个新妈妈,或者在另一个城市成长了。多个站点间安全问题及答案的重复使用,意味着雅虎数据泄露的影响,相当于生态灾害的网络安全版。
      上个月底,雅虎曝出大规模黑客事件,至少5亿用户数据被国家支持的入侵者盗取。且该公司被盗数据列表中不仅包括了通常的口令字散列值和电子邮件地址,还有受害者用以重置口令而设的安全问题和答案你最喜欢的度假地点或你成长的街道等本应私密的信息。雅虎的数据大泄洪,昭示出这些无伤大雅的问题依然是我们网上身份验证验证系统的薄弱环节。安全社区对这种安全问题的态度是:这玩意儿早该废弃了而在尚未废弃之时,你也不应诚实回答。
      安全问题既容易被猜出来,在遭遇重大泄露事件(如近期的雅虎)之后又难以修改,作为口令的应急机制,实在是太不合格了。它们本应作为可靠的最后救援手段:即便忘记了复杂的口令,思路是不会变的,母亲娘家姓氏或自己出生的城市是不会忘记的。但是,依靠这些根本不保密的真实数据Web和社交媒体搜索常会暴露出人们的成长地点或第一辆车的牌子,安全问题方法会让账户处于风险之中。而且,鉴于你第一只宠物的名字通常不会改变,如果你对这些安全问题的回答被数字窥探或数据泄露披露了,那么多个数字服务的安全问题也就同时没用了。
      母亲的娘家姓还是重设一下吧
      所有这些都让安全专家无比期待它们的消亡。既然口令都不安全了,那为什么安全问题能享受特殊待遇一直生存下去?每发生一起数据泄露,就有更多的个人信息暴露出来,猜解安全问题答案会变得更简单,黑客也可以重用被泄安全答案染指其他服务。只要收集整合各起泄露事件成果,攻击者总能获得越来越多的用户信息。
      甚至联邦政府都已经准备好抛弃安全问题。7月,美国国家标准技术局(NIST)发布了一份新提交的草案数字身份验证指南,该指南的上一个版本还将"预先登记的知识令牌",也就是安全问题,列入身份验证推荐技术中,但新草案就完全没提到此类方法。换句话说,NIST不再将安全问题作为保护联邦账户的措施之一。就连因泄露事件而提供用户账户保护工具的雅虎自身,现在也特别指出,"为保护您的账户,我们建议您禁用安全问题。"
      2015年,2名谷歌安全研究员曾在文章中分析了安全问题方法的弱点。他们认为:"安全问题既不安全,又不可靠,不足以用作独立的账户恢复机制。其存在根本性缺陷:这些答案要么安全,要么好记,但极少两者兼备。"
      其实早在这份研究出炉之前,谷歌就已经在逐步淘汰安全问题,转而要求用户设置短信和备份电子邮件来提交账户恢复了。
      无法一蹴而就
      然而,从安全问题上转型并不容易。公司需要实现另外的意外事件解决方案,比如发送口令重置指令到备份电子邮件地址,要求用户提供实体验证加密狗,或者使用安全身份验证App发来的实时验证码。但是,情况依然在恶化,因为甚至发送短信到预定义手机号,这种当前流行的安全问题替代方案,也有其自身的安全弊端。出品了流行口令管理器  1Password  的AgilBite公司产品安全官就说过,"问题很难解决,(不)安全问题很棘手。谈论它们引发的糟糕安全漏洞很容易,提供替代方案却十分困难。"
      不过NIST负责标准修订的高级标准与技术顾问保罗格拉西倒是觉得,安全问题的可用替代方案很多,足以支持让安全问题退出历史舞台,即便是联邦政府这么庞大复杂的机构也够用。一招通杀的万灵药肯定没有,但值得欣喜的是,各家机构都在出品很多东西。想要谷歌Prompts?拿来用就是了。想要U2F,用呗!就算想要寄到府上的书面凭证也行啊。
      流行Web服务正试图从安全问题迁移到这些更高级的方法,不过,各自的迁移进程不同。大多数网站都会在登录页面显示"忘记口令?"链接,引导用户去向口令修改工具。但想要修改安全问题本身,你就得翻遍账户选项了。
      推特似乎根本没采用安全问题的方法来进行账号恢复。Facebook首选预留的备份电子邮件地址和手机号,安全问题只是以上二者都不可用情况下的最后手段。不过,Facebook不允许用户更新或改善他们的问题。亚马逊支付与Facebook策略相同。很多银行,比如花旗银行、道明银行、富达银行,依然高度依赖安全问题作为账户恢复技术。
      我第一辆车是Y^i72b(lV$
      鉴于安全问题还不会很快消亡,可以暂时先采取些措施加固一下至少在某些服务上。强化安全问题的最佳方法,就是在答案中撒谎,最好是用随机字符串作为答案,而不是提交有意义的信息。这么做,即便有问题问的是鲜为人知的生活细节,你也不会曝露出可能在安全事件中被泄的答案。


    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    手机版|Archiver|开发者俱乐部 ( ICP/ISP证:辽B-2-4-20110106号 IDC证:辽B-1-2-20070003号 )

    GMT+8, 2024-12-23 18:28 , Processed in 0.129502 second(s), 21 queries .

    X+ Open Developer Network (xodn.com)

    © 2009-2017 沈阳讯网网络科技有限公司

    快速回复 返回顶部 返回列表