|
|
51CTO旗下网站
|
|
移动端

管理:你的安全吗?

我们探讨一下公司在管理策略方面做出的一些常见错误。让在下面的讨论中,我们将提到“在线Bwin中国官网”和“离线Bwin中国官网”。在线Bwin中国官网是对应用程序登录页面的Bwin中国官网,Bwin中国官网者试图猜测用户的;离线Bwin中国官网是Bwin中国官网者获取数据库副本,并尝试计算存储在其中的用户的Bwin中国官网。

作者:可圈可点来源:今日头条|2019-06-14 15:10

互联网时代,与我们的生活息息相关。如何提高安全系数成为用户个人以及公司的关注重点。

虽然现在身份验证技术已经更加成熟,但是仍然是保护我们最敏感信息的主要途径。是bwin必赢潜在入侵者试图模仿另一个用户的第一道防线,但这样的防护往往比较弱。用户通常想创建易于记忆的,使用出生日期或纪念日,甚至写下来。开发人员则想尽可能少地投入管理策略中。毕竟,研发新功能比管理和存储更令人兴奋、更有趣。

许多本身安全性非常弱,很容易猜得到,Bwin中国官网者就会有机可乘。最糟糕的是,我们信任的存储系统和其它关键信息的系统也面临着许多安全挑战。bwin会反复尝试数据库进行盗窃,Bwin中国官网者同伙经常会破坏那些保护数据的模式。

我们探讨一下公司在管理策略方面做出的一些常见错误。让在下面的讨论中,我们将提到“在线Bwin中国官网”和“离线Bwin中国官网”。在线Bwin中国官网是对应用程序登录页面的Bwin中国官网,Bwin中国官网者试图猜测用户的;离线Bwin中国官网是Bwin中国官网者获取数据库副本,并尝试计算存储在其中的用户的Bwin中国官网。

管理:你的安全吗?

您已限制用户可以使用的字符数量或种类

推理

安全人员反复告诉开发人员验证所有输入以防止各种Bwin中国官网(例如,注入Bwin中国官网)。因此,根据某些规则来制定验证的规则必然是一个好主意,对吧?

Bwin中国官网:

限制中字符数量或种类的问题是减少了可能的总数。这使得在线和离线Bwin中国官网更容易。如果我知道只允许在中使用特殊字符!和@,那也就是我知道用户都没有包含#,$,%,<和>等字符。此外,如果我知道只允许长度为8到12个字符的,我也就知道所有用户都没有使用13个字符或更长的。如果我想猜测用户的,这些规则可以让我的工作变得更轻松。

但是SQL注入、跨站点脚本,命令注入和其它形式的注入Bwin中国官网呢?如果遵循存储最佳做法,您将在收到后立即计算的哈希值。然后,您将只处理哈希,不必担心注入Bwin中国官网。

bwin必赢:

允许用户选择包含任意字符的。指定最小长度为8个字符,但在可行的情况下允许任意长度的(例如,将它们限制为256个字符)。

您在使用组合规则

推理:

大多数用户选择容易猜到的。我们可以通过让用户选择包含几种不同类型字符的,以强制用户选择难以猜测的。

Bwin中国官网:

安全专业人员曾经认为,让用户选择包含各种字符类型的会增强的安全性。不幸的是,研究表明这通常没有帮助。 “Password1!”和“P @ ssw0rd”可能遵循了许多组合规则,但这些并不比“password”更强。组合规则只会让用户难以记住;它们不会让Bwin中国官网者的工作变得更加困难。

bwin必赢:

摆脱组成规则。在应用程序中添加复杂性检查功能,告诉用户他们的选择是否明显强度偏弱。但是,不要强制用户在其中添加数字、特殊字符等。稍后,我们将讨论如何使应用程序更安全,以防止安全性弱的用户。

管理:你的安全吗?

您没有安全地存储

推理:

哈希函数是单向函数。因此,存储哈希应该可以防止Bwin中国官网者计算出它们。

Bwin中国官网:

与前面讨论过的两个问题不同,这个问题通常只与离线Bwin中国官网有关。许多企业和组织的数据库都被盗了。当掌握了被盗库和强大的计算能力,Bwin中国官网者通常可以计算出许多用户的。

存储的常用方法是使用哈希函数,对进行哈希处理。如果最终用户选择完全随机的20+字符,这种方法将是完美的。例如设成:/K`x}x4%(_.C5S^7gMw)。不幸的是,人们很难记住这些。如果简单地对进行哈希处理,则使用彩虹表Bwin中国官网就很容易猜到用户选择的典型。

阻止彩虹表Bwin中国官网通常需要在对每个进行散列之前添加随机“盐”。“盐”可以与一起存储在清除中。不幸的是,加盐的哈希并没有多大帮助。 GPU非常擅长快速计算加盐哈希值。能够访问大量加盐哈希和GPU的Bwin中国官网者将能够使用暴力和字典Bwin中国官网等Bwin中国官网合理且快速地猜测到。

有太多不安全的存储机制,值得专门写篇文章去探讨。不过,我们先来看看您应该如何存储。

bwin必赢:

有两种主要机制可以防止Bwin中国官网者:一种是使哈希计算更加昂贵,另一种是向哈希添加一些不可估测的东西。

为了使哈希计算更加昂贵,请使用自适应哈希函数或单向密钥派生函数,而不是哈希函数来进行存储。哈希函数的一个特性是它们可以被计算出来;这个属性导致它们不适合用于存储。Bwin中国官网者可以简单地猜测并快速散列以查看生成的哈希值是否与数据库中的任何内容匹配。

另一方面,自适应哈希函数和单向密钥导出函数具有可配置的参数,这些参数可用于使哈希计算更加资源密集。如果使用得当,它们可以有助于充分减缓离线Bwin中国官网,以确保您有时间对正在受到Bwin中国官网的数据库做出反应。

这种方法的问题在于,每次要对用户进行身份验证时,都必须自己计算这些哈希值。这会给服务器带来额外负担,并可能使应用程序更容易受到DoS(拒绝服务)Bwin中国官网。

或者,您可以添加一些不可猜测的哈希值。例如,如果要生成一个长随机密钥,将其添加到哈希值以及唯一的随机盐,并且稳妥地保护密钥,那么被盗数据库对Bwin中国官网者来说将毫无用处。Bwin中国官网者需要窃取数据库以及能够使用离线Bwin中国官网计算出用户的密钥。当然,这也产生了一个需要解决的非常重要的密钥管理问题。

您完全依赖

推理

必须是验证用户身份的好方法。其他人都在使用它们!

Bwin中国官网:

即使用户执行上述所有操作,以使在线和离线Bwin中国官网更加困难,也无法阻止其它应用程序/网站执行不恰当的操作。用户经常在许多站点上重复使用相同的。Bwin中国官网者经常会在某平台尝试从其它平台盗取。

此外,用户成为Bwin中国官网的受害者,因为一些用户无论要求如何都会选择安全性弱的,等等。

bwin必赢:

要求用户使用多因素身份验证登录。请记住多因素身份验证的含义:使用至少两种不同因素进行身份验证(典型因素是您知道的事情、拥有的物品、以及生物识别等等)。使用两种不同的(例如,+安全问题的答案)不是多因素身份验证。同时使用和动态口令属于多因素验证的一种。此外,请记住,某些多因素身份验证机制比其它多因素身份验证机制更安全(例如,设备比基于SMS的一次性更安全)。无论如何,使用某种形式的多因素身份验证总是比仅依靠更安全。

如果必须仅使用进行身份验证,用户则还必须采取某种类型的设备身份验证。这可能涉及设备/浏览器指纹识别,检测用户是否从不寻常的IP地址登录,或类似的方式。

管理:你的安全吗?

结论

如您所见,处理用户时需要考虑很多事项。我们还没有谈到轮换策略、帐户锁定、帐户恢复、速率限制,防止反向暴力Bwin中国官网等等。

有一个很重要的问题需要考虑:您是否可以将用户身份验证转给其他人?如果你是一家金融机构,答案可能是否定的;如果您要把最新的猫咪宠物视频给别人看,在此之前需要验证,那这种情况下答案应该是可以的;如果您正在开发面向企业员工内部使用的应用程序,请考虑基于SAML的身份验证或LDAP集成;如果您正在开发面向公众的应用程序,请考虑使用社交登录(即使用Google,Facebook等登录)。许多社交网站已经投入大量精力来保护其身份验证机制,并为用户提供各种身份验证选项。您不需要全盘重来。

在不必要的情况下实施用户身份验证会给企业和用户都带来麻烦,甚至有潜在危险。创建安全的用户验证机制困难且耗时。可您是真的想要处理被盗用的数据库,还是Bwin中国官网者在身份验证机制中发现?而且用户有更重要的事情要做,而不是记住另一个!

作者:新思科技软件质量与安全部门管理顾问Olli Jarva

【编辑推荐】

  1. 小心bwin | 分类和Bwin中国官网类型,保护好自己的隐私
  2. 谷歌发现G Suite:部分明文存储长达十四年
  3. 信息泄漏时代,如何让自己的更安全?
  4. 八种无身份验证方式
  5. 设置需避开哪些雷区?
【责任编辑:未丽燕 TEL:(010)68476606】

点赞 0
大家都在看
猜你喜欢

订阅专栏+更多

20个局域网建设改造案例

20个局域网建设改造案例

网络搭建技巧
共20章 | 捷哥CCIE

361人订阅学习

WOT2019全球人工智能技术峰会

WOT2019全球人工智能技术峰会

通用技术、应用领域、企业赋能三大章节,13大技术专场,60+国内外一线人工智能精英大咖站台,分享人工智能的平台工具、算法模型、语音视觉等技术主题,助力人工智能落地。
共50章 | WOT峰会

0人订阅学习

Spring Boot 爬虫搜索轻松游

Spring Boot 爬虫搜索轻松游

全栈式开发之旅
共4章 | 美码师

86人订阅学习

视频课程+更多

Python编程之信息收集视频课程

Python编程之信息收集视频课程

讲师:曲广平40444人学习过

Wireshark入门到精通【基础篇】

Wireshark入门到精通【基础篇】

讲师:郭主任6767人学习过

缓冲区溢出-晚安PWN

缓冲区溢出-晚安PWN

讲师:Margin3816人学习过

读 书 +更多

C#入门经典(第3版)

本书将全面介绍C#编程的所有知识,共分为5篇:第1篇是C#语言:介绍了C#语言的所有内容,从基础知识到面向对象的技术,应有尽有。第2篇是Win...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客