第三届爱名奖优秀企业官网:湖北暖家石墨烯科技有限公司的获奖介绍...
2024-11-25 6
当今互联网给人们的生活带来便利的同时,也让网络安全、信息安全成为当下热议的话题。比如,数据泄露问题或者密码泄露问题都给大众带来了极大的担忧。就密码管理而言,如今许多公司都会制定密码管理策略,但是在制定密码管理策略时,会有哪些常见的问题也需要引起高度关注。
虽然现在身份验证技术已经更加成熟,但是密码仍然是保护我们最敏感信息的主要途径。密码是防御潜在入侵者试图模仿另一个用户的第一道防线,但这样的防护往往比较弱。用户通常想创建易于记忆的密码,使用出生日期或纪念日,甚至写下来。开发人员则想尽可能少地投入密码管理策略中。毕竟,研发新功能比密码管理和存储更令人兴奋、更有趣。
许多密码本身安全性非常弱,很容易猜得到,攻击者就会有机可乘。最糟糕的是,我们信任的密码存储系统和其它关键信息的系统也面临着许多安全挑战。黑客会反复尝试密码数据库进行盗窃,攻击者同伙经常会破坏那些保护数据的模式。
我们探讨一下公司在密码管理策略方面做出的一些常见错误。让在下面的讨论中,我们将提到“在线攻击”和“离线攻击”。在线攻击是对应用程序登录页面的攻击,攻击者试图猜测用户的密码;离线攻击是攻击者获取密码数据库副本,并尝试计算存储在其中的用户密码的攻击。
您已限制用户可以使用的字符数量或种类
但是SQL注入、跨站点脚本,命令注入和其它形式的注入攻击呢?如果遵循密码存储最佳做法,您将在收到密码后立即计算密码的哈希值。然后,您将只处理哈希密码,不必担心注入攻击。
您在使用密码组合规则
您没有安全地存储密码
存储密码的常用方法是使用加密哈希函数,对密码进行哈希处理。如果最终用户选择完全随机的20+字符密码,这种方法将是完美的。例如密码设成:/K`x}x4%(_.C5S^7gMw)。不幸的是,人们很难记住这些密码。如果简单地对密码进行哈希处理,则使用彩虹表攻击就很容易猜到用户选择的典型密码。
阻止彩虹表攻击通常需要在对每个密码进行散列之前添加随机“盐”。“盐”可以与密码一起存储在清除中。不幸的是,加盐的哈希并没有多大帮助。 GPU非常擅长快速计算加盐哈希值。能够访问大量加盐哈希和GPU的攻击者将能够使用暴力破解和字典攻击等攻击合理且快速地猜测到密码。
有太多不安全的密码存储机制,值得专门写篇文章去探讨。不过,我们先来看看您应该如何存储密码。
为了使哈希计算更加昂贵,请使用自适应哈希函数或单向密钥派生函数,而不是密码哈希函数来进行密码存储。加密哈希函数的一个特性是它们可以被计算出来;这个属性导致它们不适合用于密码存储。攻击者可以简单地猜测密码并快速散列以查看生成的哈希值是否与密码数据库中的任何内容匹配。
另一方面,自适应哈希函数和单向密钥导出函数具有可配置的参数,这些参数可用于使哈希计算更加资源密集。如果使用得当,它们可以有助于充分减缓离线攻击,以确保您有时间对正在受到攻击的密码数据库做出反应。
这种方法的问题在于,每次要对用户进行身份验证时,都必须自己计算这些哈希值。这会给服务器带来额外负担,并可能使应用程序更容易受到DoS(拒绝服务)攻击。
或者,您可以添加一些不可猜测的密码哈希值。例如,如果要生成一个长随机密钥,将其添加到密码哈希值以及唯一的随机盐,并且稳妥地保护密钥,那么被盗密码数据库对攻击者来说将毫无用处。攻击者需要窃取密码数据库以及能够使用离线攻击计算出用户密码的密钥。当然,这也产生了一个需要解决的非常重要的密钥管理问题。
您完全依赖密码
此外,用户成为网络钓鱼攻击的受害者,因为一些用户无论密码要求如何都会选择安全性弱的密码,等等。
如果必须仅使用密码进行身份验证,用户则还必须采取某种类型的设备身份验证。这可能涉及设备/浏览器指纹识别,检测用户是否从不寻常的IP地址登录,或类似的方式。
结论
如您所见,处理用户密码时需要考虑很多事项。我们还没有谈到密码轮换策略、帐户锁定、帐户恢复、速率限制,防止反向暴力攻击等等。
有一个很重要的问题需要考虑:您是否可以将用户身份验证转给其他人?如果你是一家金融机构,答案可能是否定的;如果您要把最新的猫咪宠物视频给别人看,在此之前需要验证,那这种情况下答案应该是可以的;如果您正在开发面向企业员工内部使用的应用程序,请考虑基于SAML的身份验证或LDAP集成;如果您正在开发面向公众的应用程序,请考虑使用社交登录(即使用Google,Facebook等登录)。许多社交网站已经投入大量精力来保护其身份验证机制,并为用户提供各种身份验证选项。您不需要全盘重来。
在不必要的情况下实施用户身份验证会给企业和用户都带来麻烦,甚至有潜在危险。创建安全的用户验证机制困难且耗时。可您是真的想要处理被盗用的密码数据库,还是攻击者在身份验证机制中发现漏洞?而且用户有更重要的事情要做,而不是记住另一个密码!
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8261;邮箱:jenny@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户 » 密码设置需避开哪些雷区?
相关文章
网站是现代企业品牌建设的标准配置。想要企业更好的发展,创建属于自己的网站是非常重要的。在吉安青原区搭建网站,选择一个美观、大方、商务的网站模板对于网站...
2024-11-25 1
想要做好企业可持续发展,其中网站建设就是非常重要的一步,福州闽侯县网站搭建有什么用?福州闽侯县网站搭建有什么优势?...
2024-11-25 1
想要做好企业可持续发展,其中网站建设就是非常重要的一步,池州东至县网站搭建有什么用?池州东至县网站搭建有什么优势?...
2024-11-25 1