En 400-6655-581
5
返回列表
> 资源中心 > 技术干货 | 如何防护企业系统密码泄漏

技术干货 | 如何防护企业系统密码泄漏

2020-03-09浏览次数:863

随着信息化的快速发展,企业内部会部署各种系统来帮助我们提高工作效率,那么系统中就存在这企业内部的各种核心数据,这些数据就变成了不法分子眼中的“香饽饽”,为了保护企业内部的核心数据不被泄漏,各个企业的IT安全防护人员和不法分子斗智斗勇,各种防火墙、防毒/杀毒软件等系统在企业内部得到广泛应用,那么如果不法分子拿到了我们系统的账户名和密码,依旧可以轻而易举地访问我们的核心系统,获取我们的核心数据,那么该文章主要介绍如何防护密码不被泄漏。

密码泄漏大事件


2019年11月1号重要新闻:全球500强公司的2100万登录信息惊现于暗网上!http://netsecurity.51cto.com/art/201911/605253.htm?from=timeline)


主要内容如下:


1、其中大多数来自科技公司,紧随其后的是金融业组织。医疗保健、能源、电信、零售、工业、运输、航空航天和国防等领域的企业组织也榜上有名。

2、研究人员发布了一个令人担忧的统计数据:“95%的登录信息含有未加密的或已被攻击者蛮力破解的明文密码。”

3、其中只有490万条是不重复的,“这表明许多用户在使用相同或相似的密码。”据报告显示,最弱的登录信息来自零售业,几乎一半的密码长度不到8个字符,可以在常用词典中找到。研究人员特别指出,来自数据泄密的密码中约11%是相同的。使用默认密码(机器人程序创建账户)可以解释这点。

4、ImmuniWeb称,另一种可能是密码重置程序为大量账户创建相同的密码。此外,Web安全等级较差(C或F)的子域数量与泄漏的登录信息之间也存在着正比联系。



由此可见,在目前互联网及saas应用的大环境下,如果仅仅在防火墙,网络设备、防病毒软件等方面做防护的话是远远不够的,这也是近年来《零信任架构》提出的原因,一切都以安全认证为前提,如果用户名和密码泄漏出去,那么依旧会有很严重的威胁。因此,国家也出台了一系列政策来要求企业对系统密码进行更高级的防护。


在10月26号,十三届全国人大常委会第十四次会议,表决通过了《密码法》,自2020年1月1日起施行。旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。


所以,保护我们的系统密码不被泄漏,刻不容缓。


在保护之前,首先我们得明白密码是怎么泄漏出去的,密码泄漏的主要原因有以下几点:



?  暴力破解

?  远程下载数据库文件

?  利用web应用漏洞拖库

?  利用web服务器漏洞拖库

?  利用网站挂马拖库

?  传播恶意文件拖库



简单点讲,无非两种,第一:拖库,就是把数据库文件拿到,通过反编译,也就拿到了密码;第二:撞库,通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他系统后,得到一系列可以登录的用户。


了解了密码怎么泄漏,那么我们就可以做针对性的防护:


1、密码加密

首先我们来说说密码加密。现在很少系统会直接保存用户的密码,至少也是会计算密码的 md5 后保存。md5 这种不可逆的加密方法理论上已经很安全了,但是随着彩虹表的出现,使得大量长度不够的密码可以直接从彩虹表里反推出来。

只对密码进行 md5 加密是肯定不够的。聪明的程序员想出了个办法,即使用户的密码很短,只要我在他的短密码后面加上一段很长的字符,再计算 md5 ,那反推出原始密码就变得非常困难了。加上的这段长字符,我们称为盐(Salt),通过这种方式加密的结果,我们称为 加盐 Hash 。

当然,也可以采用更加安全的国密算等。


2、启用动态密码

无论采用哪种加密方式,但是总有方式被破解和解密,因此更多的方式出来了,OTP的盛行也是这个原因,动态密码是根据专门的算法产生变化的随机数字组合,主流产生形式有手机短信、硬件令牌、手机令牌。动态密码作为最安全的身份认证技术之一,目前已经被越来越多的行业所应用。由于它使用便捷,且与平台无关性,随着移动互联网的发展,动态口令技术已成为身份认证技术的主流,被广泛应用于企业、网游、金融等领域,国内外从事动态口令相关研发和生产的企业也越来越多,其优势在于与各种业务系统快速无缝互操作,其完全自主研发的号令动态口令身份认证软件系统稳定、高效、支持多种认证模式,其解决方案可以服务不同规模企业。


3、启用生物识别技术

动态密码的确是身份认证中比较安全的技术,但是动态密码依旧存在一个问题,无论是手机动态口令,还是动态口令设备,都会存在丢失、借用等情况。在目前企业里面系统权限管控严格的情况下,动态密码依旧会面临着安全性不足的问题,那么我们可以使用更高级别的认证方式:指纹密码、人脸识别、静脉血等,来对安全等级要求较高的系统进行防护,更大的程度来防护系统安全性。


那么如果我们直接采用上述方法又会给企业带来其他的烦恼,经常遇到的问题如下:



1、系统数量多,每套都增加这样的功能投入将会非常大

2、员工登录系统的繁琐性将会大大增加

3、IT运维工作量将会增大

4、依旧无法实现账号的统一管理,不符合企业未来规划

5、离职员工如果账号没有及时关闭,依旧存在系统安全性问题

......



企业又一次进入了两难的境地,如果实施,阻力大;如果不实施,安全性太低,那么针对这样的问题,我们又当怎么解决?


首先,我们可以架构统一身份管理中心,就是将企业内部的账户身份进行统一管理,实现比较规范的账户全生命周期管理,当人员入职的时候,自动开通账号,当人员离职的时候自动关闭系统账号,这样可以大大减少僵尸账号的存在。


其次,我们去构建统一的认证中心,实现单点登录,这样就能通过统一的登录入入口,减少员工登录次数,大大员工的操作复杂度,同时在统一登录入口增加动态口令、指纹、人脸等高强度认证,来保证系统安全性。


第三,引入智能风险因子认证方法,根据用户的网络环境、访问行为、登录设备自动判断所需要等认证级别,既能保证其安全,又不增加登录的复杂性。


第四,实现统一的授权中心,实现大门级授权,直接控制用户有没有访问某系统的权限,甚至去实现基于角色的细颗粒授权【技术干货|企业信息系统统一权限管理】,来保证运维的简便性和员工调岗后的权限变更的安全性。


第五,构建集中的审计中心,基于用户的访问行为和操作行为进行统一审计,对一些风险行为进行提醒甚至是阻断,管理人员可对用户的风险行为进行分析,将进一步提高系统的安全性。



通过以上方式,即可通过“一道墙”对访问行为进行拦截和管理,那么既增加了系统的安全性,同时又减少了投入,可以方便解决我们的问题。


派拉软件十年以来一直专注企业身份安全领域,为超过500家大型企业提供整体的身份安全方案,在整车行业、制造行业、医药行业、零售行业、地产行业、国企政府、银行业等18个行业均有成功案例,可以为企业提供最安全、最全面、最合适的身份安全解决方案。