您的公司能否成为渴望获得密码的黑客的下一个机会?
在LinkedIn,eHarmony和其他在线站点上出现黑客入侵的不间断消息导致数百万个密码泄露后,您可能想知道您的企业是否准备得更好或受到保护。考虑到风险,这是一个很好的问题。使入侵者访问您的系统的密码被盗可能导致昂贵的诈骗和欺诈,破坏公司的声誉,迅速吸引客户流失并产生大量的清理费用。
安全专家说,很少公司能正确存储密码,即使这样做通常并不困难。大多数Web开发人员都没有接受当前最佳实践的教育,并且无法实施足够强大的安全技术。总部位于纽约的网络广播初创公司Cinchcast的首席技术官,豪华购物网站Gilt Groupe的前安全负责人Aleksandr Yampolskiy说,他们通常会忽略安全性或计划在以后添加安全性。他说:“后来问题几乎永远不会解决。”
如果在公司成立之初就采用了弱密码系统,那么随着公司发展成为社交网络巨头,它通常不会受到影响。到那时,该公司的技术基础设施变得更加复杂,并且改造成本很高,从而导致更多的延迟。
马萨诸塞州伯灵顿市Web安全公司Veracode的首席技术官Chris Wysopal说:“希望新公司从LinkedIn上开始学习,他们将正确建立密码存储。”
幸运的是,如果您需要提高密码存储的安全性,成为一名企业家会很有优势。网络安全培训提供商SANS Technology Institute的首席研究员Johannes B. Ullrich说,这项任务“对于小型公司来说比较容易,因为它们的系统不太复杂,用户也不必担心。”初学者可以在五分钟内完成。
您可以采取一些预防措施来加强公司免受密码窃贼的侵害:
保护您的网站。
大多数密码盗窃都是从对受害者公司网站的攻击开始的。由Web安全专家检查您的站点是否存在软件漏洞和编码错误,这些漏洞会创建通往密码数据库的路径,或者您自己对其进行扫描以查找缺陷并修复所有错误。
安全地存储密码。
乌尔里希说,如果黑客进入您的站点,最好的防御措施就是对密码进行高度加密,从而使破解它们的过程变得非常缓慢或几乎不可能。公司应使用强大的加密技术“散列”密码,或使用算法将其混搭,然后仅存储生成的“散列”版本。在此过程中,他们还应该向每个密码添加“盐”或其他随机数据,以进一步使破解它们的工作复杂化。这也有助于要求用户设置长密码和复杂密码,这比短密码或普通密码难得多。
不幸的是,许多公司使用过时的加密技术来散列密码,例如1970年代的SHA-1。(LinkedIn使用SHA-1时不加盐。)专家们说,SHA-1,MD5和其他仍很流行的技术很久以前就已被黑客破解,几乎没有提供保护。
公司应该使用为密码设计的加密方法,例如免费的开源Bcrypt,它通过一种加密算法多次运行密码,因此破解它们实际上需要花费数年的时间。尽管这可能很耗时,但是只有在用户创建或更改密码时才需要这样做。
考虑两因素身份验证。
有些人认为密码已经存在,只需要用更强大的密码代替即可。那就是“双重身份验证”,它需要您知道的一些东西(密码)和您拥有的东西。第二个因素通常是一种设备,它提供了用户难以输入的一次性密码以及密码。
Wysopal说,如果您的密码解锁了特别敏感的信息,则可能需要考虑采用两因素身份验证。
多亏了Google,近年来,小型企业实施两因素身份验证变得更加容易。Google允许企业免费使用OpenID连接到其系统以进行身份验证,身份验证可以包括“两步验证”以及通过短信发送至智能手机的信息。或者,公司可以使用开放源代码Google Authenticator自己实施这种两因素身份验证。
以书面形式进行验证。
雇用Web开发人员时,请在您的要求中包括密码安全性,以便开发人员必须解决所有问题。Ullrich建议走得更远,并要求您的开发人员致力于解决由非营利组织OWASP确定的十大Web应用程序安全风险,其中包括不安全的密码存储。
另外,请确保您使用的任何第三方软件(例如Web表单和内容管理系统)都具有安全的密码安排。聘请安全专家,即使是一天,也要检查您的密码系统和其他站点安全措施,并确保它们安全无虞。