LinkedIn泄露啟示：我們需要密碼數據庫存單

社交網絡和其他企業應當適當地保護用戶密碼，否則當一個攻擊者入侵盜取數據時，會帶來嚴重問題，Ullrich說道。事實已經證明，攻擊者高度覬覦帳戶憑據，因為這些數據提供了作為身份驗證用戶登錄系統的最簡單方法。LinkedIn的密碼泄露，是近年來帳戶憑據泄露事件中的一件，也是密碼安全失誤的又一例證。

在一次采訪中，Ullrich談到在網絡上采取各種密碼數據庫清單的重要性，部署適當的保護，移除那些以明文形式存儲密碼和其他個人信息的遺留應用。企業可以部署單點登錄，他補充道。

但類似的保護措施很難應用于電子郵件地址，Ullrich說道。應用程序經常需要查看明文的電子郵件地址，而企業需要可用的電子郵件地址來發信息給客戶。運用電子郵件加密可能會導致密鑰管理問題。

專家告訴我，LinkedIn的泄露突出了數據庫安全性的需要。如果你是一個企業的首席信息安全官，聽到這個泄露的消息你會怎么做?

Ullrich：我認為首先要做的是，對你網絡上所有的密碼數據庫列出清單。困難的是你通常不止有一個密碼數據庫。它們四處遍布是因為你可能在過去幾年不斷獲取不同的應用程序。努力得到一個好的清單并弄清楚它們是如何被保護的，這是第一步。當然，還會有不兼容且仍部署在許多網絡上的應用程序。它們要么是以明文形式存儲數據，要么是哈希運算不充分。努力想出一個過渡計劃似乎是不太可行的，所以你必須想出其他一些緩解控制。

為什么有些密碼數據庫企業可能不知道?

Ullrich：這是因為大多數網絡隨著時間推移而增長。你發現企業可能購買那些并不清楚它們是如何存儲密碼的應用程序。一個企業有幾十個應用，而這些應用都有自己的密碼存儲。理想情況下你可以分類實施單點登錄。如果我是一名首席信息安全官，這就是我的最終目標。但話又說回來，在所有的遺留應用程序上實現單點登錄通常是一個巨大的挑戰。這可不是你熬通宵就能完成的。

電子郵件地址和密碼是一起存儲的嗎?郵件地址是否應該像密碼那樣被保護?

Ullrich：電子郵件地址和用戶名通常是電子郵件地址的第一部分，往往將它們存在一起。我不認為對于保護電子郵件地址，你還有很多可以做，因為你需要明文的電子郵件地址來給用戶發郵件。有關密碼的一個事實是，應用程序從來都不需要知道密碼，因此可以使用哈希算法或其他加密方法。但對于電子郵件，你真的沒有什么選項。你可以加密電子郵件地址，但隨后你不得不做一些事情，因為應用程序需要解密。這樣一來，你將面臨密鑰管理問題。

過去幾年中我們看到了大量數據泄露事件，它們某種程度上都屬于社會工程。除了培訓外，還可以做什么來保護終端用戶免受社會工程的策略?

Ullrich：你還可以做訪問控制。當然，問題之一是社會工程能說服一位內部人士泄露所有的密碼。它并不需要是一個惡意攻擊。攻擊者能夠說服內部人士泄露信息，而不需要社會工程。我認為，解決社會工程需要內部和外部的控制。你針對惡意內幕人所做的同樣也對社會工程攻擊有效。

針對企業部署的監控系統增加的網絡流量，目前人們一直在推動“大數據”。這些系統只能部署在大型企業嗎?

Ullrich：對小型或中型企業來說，它們需要太多人力來部署和維護這類系統。需要有相當專業的技能才能操作系統。規模較小的企業，將在外包監測或由兼職系統管理員進行監測等其他類似的事情上遇到瓶頸。我不認為這些系統將幫助很大，因為它們往往在收集數據而沒有得到正確的監控。我認為較小的企業應該選擇網絡控制，這將會帶來最大的幫助。 

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]