Dropbox侵入是对传统认证方式的末日将近的最新提醒。聚光灯下:Dropbox从一个新的方向进入云。
四年可以发生很多事。一名总统可以服务满他/她的任期;一项全新的技术可以浮现;一个发型可以回到某个造型,;或者在Dropbox侵入的案例里,你的密码可以在暗网上流通。
本月初,我们发现6800万用户的email地址和密码受到2012年发生的黑客事件的牵连,比当初报道的情况更加的糟糕。证书开始在网上泄露。
“该黑客事件有趣的地方是,它凸显出被偷的证书可以在暗网潜伏多久,然后抬起它们丑陋的头进入未来,常常还是有效的,” Stephen Cox说。他是认证平台SecureAuth的首席安全架构师。
Dropbox申明大多数密码是用强密码加密的,但是其余则不是。云存储公司上周发送通知给那些曾在2012年后改过密码的用户。
起初的Dropbox侵入是由于Dropbox员工在他的LinkedIn和企业Dropbox账户使用相同的密码。LinkedIn被攻破,也在2012年,泄露了密码,使黑客能进入Dropbox的网络并通过加密的密码访问了数据库。该事件引发大家对传统密码安全方式和企业安全文化的质疑。
安全专家说密码重复使用,不幸的是,在我们中间很普遍,这是“生物的习惯”。披露:我对此感到内疚
“考虑到选择,人们通常会选择简单的密码,因为它们便于记忆,” Gartner 安全和风险管理策略研究室主任Michael Isbitski说。“尤其考虑到我们每天使用的应用的数量,所有都要求单独的登录。”
Dropbox侵入的影响遍及6800万用户,它引发对人们传统认证的疑问。
使用认证证书来访问账户——又名账户接管,已经变成黑客中间流行的策略,软件公司Tripwire的高级安全研究工程师 Travis Smith说道。自从使用了认证证书的方式,黑客冒的风险更小,因为与其他漏洞利用的方式相比,认证证书更有可能不被安全工具监测到。
单一密码最后的杰作
CIO和IT执行官们能做什么事,来防范账户接管和密码被黑?确保员工绝不使用同一密码超过一次,选择复杂密码并经常更换密码只是一个开端,Nathan Wenzler说。他是独立安全咨询公司AsTech Consulting的首席安全架构师。根据VASCO Data Security 企业通讯的副总John Gunn的说法,密码管理员也是一个好工具,但是当介绍附加风险时,他们可能提供安全的错觉,
我交谈过的安全专家们的一致意见,包括Gunn是传统的单一密码安全措施不能简单的阻止被黑;IT执行官需要记笔记。
“该Dropbox事件增强了密码危险无时不在的事实,” Gunn说。“教导员工频繁更换密码或者使用独特密码并不会减少有30年历史、过时的安全技术的固有弱点。”
Gartner的Isbitski注意到,大规模密码泄露仅仅有助于进一步促进增长迅速的密码安全技术的采用,多因素认证。
“既然许多用户如今都拥有接收SMS短信的智能手机,多因素认证是一个增加附加有效的安全层的划算的方法,”他说。
自从2012年发生的Dropbox被黑事件,公司已经实施了所有内部系统强制的多因素认证,做安全专家认可的事情,也是朝正确方向迈进了一步。
“双因素认证应该是强制的,也是选择排除选项,因此用户自己必须决定不使用它,” Joseph Carson说。他是位于华盛顿的特殊账户管理方案的供应商Thycotic的全球战略联盟的主管。
Gunn 说,Biometrics(生物统计学)是一种新兴的多因素认证形式,它使验证时用户能更少繁琐,比以前更安全。但是,Isbitski是没有被确证,生物统计学认证已经准备登上主要企业的舞台。
“由于对硬件的要求,基于Biometrics的认证系统难以大规模部署。因为技术限制,它无法被广泛采用,或者被认为太具侵略性而遭遇用户抵制。”他说。
当安全专家继续推向衍变密码,并测试biometrics认证的有效性时,黑客则持续挖掘现存的漏洞。这是为什么出现更多的认证选择,供IT执行官探索其中较好的选择。基于云的身份和访问管理供应商Bitium的CISO Conrad Smith说道。
“随着网络犯罪的多样性和数据泄露的损失持续上升,风险太大以至于无法多样化你的安全策略,”他说。
密码安全受训
人类错误比任何其他外部威胁都大,跨国数据损失预防软件公司的CEO Roman Foeckl说。借力当前的密码安全技术和流程对于帮助减少人类错误是非常重要的,但是问题越陷越深。
我交谈过的安全专家一致认为,教育员工和管理层是减少安全事故和激发以企业处理密码安全的方式进行文化移入的关键。
“为了建立聚焦安全的企业文化,高管们的示范至关重要 1)指挥,并且参与,意识训练;2)建立和加强有效的安全实践;3)通过把握另一个负责的来定调子,” 安全供应商GreyCastle Security 的CEO Reg Harnish说。
让安全到位的责任应该由IT和业务部门共同承担,Ankur Laroia说。他是商业软件平台Alfresco Software的解决策略和安全主管。
专门从事泄露探测和响应的Preempt Security的CEO Ajit Sancheti建议到,为了警觉程序有效,训练应该多于理论说教;它必须实时,并与实际安全事故相关联,比如Dropbox侵入。
鉴于主要的Myspace、Tumblr、LinkedIn和Dropbox的泄露,说明了今年以来,结合实际事故的训练不会太难做。