it-swarm-tr.com

Reddedilen şifreleri kaydetmek yaygın bir uygulama mıdır?

Her amaç için benzersiz şifreler seçmek harika bir fikir olsa da, pratikte bu nadiren olur. Bu nedenle, birçok kişi kolayca hatırlanabilen kişisel bir şifre havuzundan şifreleri seçer. Nadiren kullanılan sistemlerde kimlik doğrulaması yapılırken, bu havuzdaki bir dizi parolanın sırayla denenmesi çok olasıdır. Alternatif olarak, başarısız parolalar yazım hatası durumunda gerçek parolaya çok yakındır.

Neredeyse hiç kimse, reddedilen şifrelerin nasıl ele alındığı da dahil olmak üzere, şifre politikasını yürürlüğe koyduğu için, bunların en yüksek teklif verene satılan bir veritabanında toplandığını varsayalım mı?

Bir uygulama kılavuzu var mı? Bu reddedildiğinde genellikle bir aday şifresiyle ne olur? Çöp toplanıncaya kadar oturum açılıyor, hemen atılıyor veya takılmak üzere bırakılıyorlar mı? Başarısız şifre işleme prosedürleri denetlenmiş kontrollerin bir parçası mı? Geçerli şifrelerin nasıl ele alınması gerektiğine dair çok sayıda uygulama gereksinimi ve tavsiyesi olduğu, ancak reddedilen şifre değerleriyle ilgili belirsiz olduğu görülmektedir.

[~ # ~] düzenlemek [~ # ~]

Burada, bu prosedürün ne kadar yaygın olduğu hakkında bir fikir edinmek için başarısız giriş güvenliği kimlik bilgilerini günlüğe kaydeden çeşitli uygulamaları listelemeye çalışacağım:

İçerik Yönetim Sistemleri:

Giriş Başarısız Günlüğü eklentisi üzerinden Joomla

Bu Küçük Eklenti, Joomla sitenizin yöneticisinin her başarısız giriş girişimi hakkında günlük toplar ve bunların her biri hakkında sitenin süper yöneticisine kullanıcı adı, şifre, ip adresi ve hata içeren bir e-posta gönderir.

KPlaylist v1.3 ve v1.4 - ücretsiz bir PHP İnternet üzerinden müzik koleksiyonu.

başarısız oturum açma girişimlerinin kullanıcı adlarını ve şifrelerini Apache hata günlüğüne kaydediyor

Drupal 5.19 sürümünden önce 5.x ve Drupal 6.x .

Anonim bir kullanıcı, kullanıcı adı veya şifresinin yanlış yazılması nedeniyle giriş yapamazsa ve bulunduğu sayfada sıralanabilir bir tablo varsa, (yanlış) kullanıcı adı ve şifre tablodaki bağlantılara eklenir. Kullanıcı bu bağlantıları ziyaret ederse, HTTP yönlendiricisi aracılığıyla şifre harici sitelere sızabilir.

Bağımsız yazılım

Symantec Client Security 3.1 ve SAV CE 10.1 dahil Raporlama Sunucusu

Symantec Reporting Server yönetici parolası, başarısız bir oturum açma girişiminden sonra açıklanabilir.

Linux:

Değiştirilmiş auth-passwd.c ile OpenSSH ; pam_sm_authenticate işlevini aşırı yükleyerek PAM kullanma

DÜZENLEME # 2

Bir fikir birliği var gibi görünüyor ve başarısız şifrelerin veya PIN'lerin kaydedilmesi ciddi/büyük bir güvenlik riski olarak kabul ediliyor, ancak bildiğim kadarıyla, aşağıdaki standartlar bu riski özellikle ele alan hiçbir rehberlik, denetlenmiş prosedür veya kontrol sağlamıyor:

  • PCI-DSS : 8.4'te ele alınan parola prosedürleri. ve 8.5. (başarısız parolalar yalnızca iletim sırasında korunur; doğrulamadan sonra parolalar dikkate alınmaz, bu nedenle korunması gerekmez)

  • FIPS140-2 : Kimlik doğrulama 4.3'te adreslendi (başarısız kimlik doğrulama verilerinin yaşam döngüsü yalnızca kısmen ele alındı)

61
Drew Lex

Başarısız bir parola girişiminin (açık metin veya başka bir şekilde) günlüğe kaydedilmesi bir güvenlik önleme modeli gibi görünür. Bunu yapan bir web uygulaması görmedim ve SSH gibi herhangi bir varsayılan sistem hizmetinin de farkında değilim. Aşağıdaki @tylerl tarafından belirtildiği gibi, çoğu sistem bir erişim girişimi (ör. Kullanıcı adı, saat, belki IP adresi, vb.) Hakkındaki meta bilgileri kaydetmektedir.

Bu Neden Bir Güvenlik Karşıtlığı Olmalı

Hatalı, başarısız bir şifre girişiminin değerini günlüğe kaydetmenin kötü bir fikir olmasının üç sebebini düşünebilirim:

1. Kullanıcı Yazımları

İnsanların bir veya iki karakterden oluşan bir parolayı yanlış yazması son derece yaygındır. Başarısız girişimlerin bir günlük dosyasını incelemek, özellikle başarısız bir girişimi başarılı bir kimlik doğrulamasıyla karşılaştırabiliyorsanız, bunların çoğunun anlaşılmasını kolaylaştıracaktır.

2. Tahmin ve Kontrol

Birçok insan her şey için iki veya üç şifre geçirir. Sonuç olarak, ne zaman belirli bir sitede hangi şifreyi kullandıklarını unuturlar, bir eşleşme bulana kadar hepsinde dolaşırlar. Bu, hesaplarını diğer sitelerde hacklemeyi önemsiz hale getirir.

. Günlük Bloat

Başarısız şifrelerin saklanması, günümüzde üretimdeki kimlik doğrulama hizmetlerinin büyük çoğunluğu için yararlı bir amaca hizmet etmemektedir. Bazı Edge vakaları olsa da, çoğu insan için bu verileri depolamak sadece disk alanını atıyor.

İlgili Mevzuat/Standartlar Üzerine

Başarısız giriş denemelerini saklamak için prosedürleri ele alan herhangi bir standart (PCI, HIPAA vb.) şifreler de başarısız şifre girişimleri için de geçerli olmalıdır. Başka bir deyişle, başarısız bir parolanın kategorik olarak bir parola olduğunu ve bu nedenle aynı standartlara tabi olduğunu gösteren yasal bir argüman yapabilirsiniz.

Kesinlikle bir avukat olmasam da, bir yargıçın ihmal edip etmediğime veya endüstri standartlarını ihlal edip etmediğime karar vermesini istemem çünkü başarısız parolalar açık bir şekilde saklandı ve tüketiciler sonuçlara maruz kaldı. Bunun olumlu bir kararla biteceğini düşünmüyorum.

OP'ye çeşitli standart organlarının bu konuyu özellikle ele almasının yararlı olabileceğini kabul ediyorum (eğer henüz yapmadılarsa). Bu amaçla önerim, başarısız şifre girişimlerinin değerini hiç saklamamak için bir uyum standardı oluşturmak olacaktır.

68
Mark

Herhangi bir uygulama için düz metin parolaları günlüğe kaydetmenin meşru bir amacı yoktur; özellikle yanlış giriş için. Şans eseri kaydedilebilir - Başka amaçlar için rasgele auth.log 'A baktım ve bir kullanıcının yanlışlıkla giriş alanına şifrelerini yazdığını gördüm (ve hangi hesapların denendiğini görmek için giriş alanlarını kaydediyorum giriş yapmalıyım) - ancak kullanıcıyı bilgilendirdim ve şifrelerini değiştirdiler.

Kapak tarafında, bir kullanıcı olarak muhafazakâr varsayım, kullandığınız her rastgele uygulamanın yanlış girişimlerin her şifresini günlüğe kaydettiğini söylemektir. Bu nedenle, şifrelenmiş bir şifre listesinde (muhtemelen keepass gibi bir araç kullanarak) yönetilen her site için benzersiz bir şifreye karşılık, geçiş yaptığınız küçük bir (üç) rastgele şifrenin olması kötü bir fikirdir.

Bu notta, Mark Zuckerberg (facebook kurucusu) businessinsider.com tarafından e-postayı kesmek için thefacebook.com 'Dan (facebook'un erken bir sürümü) günlük giriş/şifre kombinasyonlarını (yanlış girişlerden bile) kullanmakla suçlanmıştır. onu araştıran Harvard Crimson gazetecilerinin açıklamaları. Günlük postadan: :

Bununla birlikte, başka iddialar ortaya çıktıktan sonra, Zuckerberg, kağıdın sonuçta onun hakkında bir hikaye yayınlayacağından endişe duydu.

Business Insider, bir arkadaşına Crimson personelinin hesaplarına nasıl hacklendiğini söylediğini iddia etti.

İddiaya göre arkadaşına, Crimson kadrosu olduğunu söyleyen üyeleri aramak için TheFacebook.com'u kullandığını söyledi.

Daha sonra, iddia edilen Kırmızı üyelerin herhangi birinin TheFacebook.com'a yanlış bir şifre girip girmediğini görmek için başarısız giriş raporunu inceledi.

Ayrıca biraz alakalı xkcd (kötü hesapların da giriş yaptıkları başarı oranlarını artırmak için şifreleri denedi düşünün).

17
dr jimbob

Yukarıda bazı müthiş cevaplar var, bu yüzden ABD hükümeti gizli bilgileri işleyen bilgisayar sistemlerini yönetme politikalarından hızlı ve basitleştirilmiş bir bakış açısı.

(1) Tüm bilgisayar sistemi, o makinede herhangi bir veri için gerekli olan en yüksek standarda göre korunmalıdır. Bu, makinenin üzerinde veya dışında depolanan günlükleri içerir.

Örneğin, kasıtlı olarak veya yanlışlıkla bir bilgisayara "gizli" veri koyarsanız, o bilgisayarın her bir parçasının artık "gizli" bilgi olarak korunması gerekir. Sınıflandırılmış bilgileri içeren bir e-posta alan (örneğin evde olduğu gibi) sınıflandırılmamış bir bilgisayarınız olsa bile durum budur. Tüm bilgisayar ve üzerindeki her şey artık "gizli" olarak sınıflandırıldı.

(2) Bu makinenin şifreler değeri, o makinedeki herhangi bir verinin gerektirdiği en yüksek koruma düzeyinde de sınıflandırılır.

Örneğin, söz konusu makinede "gizli" verileriniz varsa, şifreyi nerede saklarsanız saklayın, aynı düzeyde koruma gerektirir.

Sorunuza uygulandığı şekliyle, PCI-DSS, NISPOM vb.Gibi uyguladığınız standarttan bağımsız olarak, gereksinimlerin korunmaları (karma ve tuzlu gibi) olması durumunda günlüklerde açık metin olarak parolalara sahip olamazsınız. .

Yani özet olarak, söz konusu bilgisayar sisteminize any düzenleme şeması uygulanırsa ve bu düzenleme açık metin parolalara sahip olamayacağınızı söylüyorsa, günlüklerinizde net metin parolaları olamaz.

6
OnTheShelf

Bir kimlik doğrulama girişiminin başarısız olduğu ve hangi kullanıcı için olduğu gerçeğini günlüğe kaydetmek nadir değildir. Bu, adli sorun gidermede çok yararlı olabilir. Reddedilen parolanın ne olduğunu günlüğe kaydetmek, güvenlik açısından son derece nadirdir ve sorumsuzdur. Bu bilgi yararlı bir amaca hizmet etmez ve size karşı kullanılabilir.

DÜZENLEMEK
Siz umarım saygın ve iyi organize olmuş bir şirketin şifre bilgilerinizi satmamasını bekleyebilirsiniz. Eğer öğrenildiyse onlar için kötü. Ancak kendi güvenliğiniz için, her zaman size karşı kullanılmak üzere verdiğiniz bilgilere hazırlıklı olmalısınız, çünkü bu her zaman bir olasılıktır. Bu, itibarını güvenilir bir şekilde kuramayacağınız kuruluşlar için iki katına çıkar.

6
tylerl

Hayır. Kullanıcıların bir parola havuzuna sahip olmaları ve belirli bir site için hangisinin kullanıldığını anlamaya çalışmak için bunlar arasında geçiş yapmaları yaygındır. Günlüğe kaydetme, tehlikeye düştüğünüzde, alternatiflerinin sizi vuranın kraker havuzuna ekleneceği anlamına gelir.

2
John Haugeland