FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序把安全装进口袋
1.企业对于密码有没有比较好的存储和管理方式,尤其涉及到存在一些共享密码的情况?
2.对弱密码有何监测手段?已经泄露的密码该如何反向定位影响范围?
4.企业有没有引入特权账号安全管理的方案?
A1:
域策略强制3个月修改一次密码,8位以上特殊字符大小写组合,密码历史5次以上(ISO27001要求)。
A2:
A3:
虽然涉及到共享密码也只有密码管理工具比较好用,但是用的那个工具数据一旦泄露,所有数据全都要遭殃。
A4:
我看到挺多密码存储工具出现泄露,那么就不共享,统一做SSO登入,一套密码就好了。
A5:
可以参照JRT0255-2022金融行业信息系统商用密码应用基本要求建设。
A6:
主要问的设备密码管理吧,可以用XLS、专用文件服务器权限管理、密码文件加密,我是XLS加密、再压缩加密、放文件服务器权限管控。
A7:
FIDO这个有没有人了解的?
FIDO(FastIDentityOnline)联盟,www.fidoalliance.org,成立于2012年7月,旨在解决强认证技术之间缺乏互操作性的问题,并解决用户创建和记忆多个用户名和密码所面临的问题。FIDO联盟正在改变认证的性质,采用更简单、更强的认证标准,定义一组开放、可伸缩、可互操作的机制,减少对密码的依赖。在对在线服务进行身份验证时,FIDO身份验证更强、私有且更容易使用。
A8:
有能力都自开、没能力买这种小众产品合规也不需要、成本划不来。
A9:
HIDS或者EDR都可以检测。
A10:
A11:
禁用弱口令,改密码的时候,就禁止,如果知道他们常用什么密码,直接加进弱密码库。
A12:
A13:
这个其实主要看资产的,不同的资产采取的手段也不一样。但是殊途同归。我觉得检测不是目的杜绝才是目的。至于如何检测我觉得这个首先要有类似于资产管理系统。就是需要能够读取和识别密码。我一般都是正则匹配对弱密码识别和通知整改的。如果没有系统,要检测和识别就很困难。对于已经泄漏的密码,一般也是通过资产管理系统进行处理的。资产管理系统会有密码和存储位置。方面进行资源定位。如果没有的情况下,建议建立一个这种系统。
A14:
Redis空口令的问题,有安全厂家也是,通知他们整改,最后出个说明,解释说没问题改不了。
A15:
弱口令的问题,光下通知就下多少次了。执行起来是真难。考虑到用户方困难,所以现在准备转换方向,考虑零信任方向。
A16:
定期漏扫,HIDS盘点,结合CMDB定位到责任人和直接主管,上级主管,发邮件通报。
A17:
我们自己做了系统加固、SDL、上线安全检测,还是能搞出弱口令。很多部门直接用云服务、RDS这些,就不可控。
A18:
说明了一个基本问题,复杂强口令与人性相违背。就像路,人总会选择最简单的路走,不会按照指示走。举个例子,大领导好多都是弱口令,年龄大记不住,有啥办法,谁敢去改啊。
A19:
分级分类口令啊,存在哪些弱口令、哪些必须改、危害性有多大,还是得有办法。大领导也就登陆个电脑,办公系统,危害大的是vpn之类登陆密码,和业务框架的密码。
A20:
其实人员账号口令我们还好,因为我们应用大部分走SSO或者LDAP。但是开发框架,数据库这些是目前只能靠开发人员自己意识。
A21:
默认锁定:
2.锁定密码未变更用户
3.锁定弱口令用户
最大并发1000,登陆3次失败锁一个钟头,紧急的话管理员直接解锁。
依据什么标准?还是自己定的?
我们是自己定义的,根据自身业务、行业特性定义的。
我们是5次错误锁定1小时。我看到有人上SSO,其实SSO死的更快,AD一破,SSO厂家塞点后门,更惨。
没办法,不上SSO员工会有意见,一个平台一个账号密码,谁受得了?领导都受不了,必须上。
A9:
各位上零信任呢?
零信任其实挺好,但是甲方很少有能弄明白的,意味着网络隔离、网络分区啥的传统方式都可能被破坏。可以上SDWAN,基于互联网的SDWAN,替代部分网络准入+身份认证+VPN。
曾经想引入,测试了3家以后发现不满足需求。
技术限制问题,给操作系统、数据库、中间件、应用系统开发管理接口、账密接口、认证接口,其实相当难,以单一厂家根本实现不了。操作系统、数据库、中间件、应用程序,如果是商用产品,厂家一般不给你开接口,比如Linux,我测试的几家都是类似RSH方式。
设想了一下:
1、前面使用指纹,IC+密码(人脸)之类的方式;
3、离职注销就各系统每天扫描人事的信息表,离职就注销(停用)本系统账号权限。
特权账号放到配置中心统一管理,再加上审计,这样感觉应该算是一个解决的办法。
你应该要考虑网络准入+网络准入的身份认证,所以SDWAN+VPN也需要考虑。而且你SSO不应该直接接客,应该有前置,要不SSO攻破就全玩完。主思路没有问题,细节各方面还可以(也应该)完善。
门户平台的钥匙被攻破才是玩完,SSO的钥匙有AD域密码、企微扫码认证等,所以还是要在基础层面把密码抓牢,不需要什么高大上的技术。
SSO应该分为5-6个部分:
1.门户,仅供内部自服务用,不能对外;
2.管理门户,后台管理用;
3.审计+监控,后台作业;
4.后台接口、API配置部分;
5.前台接口、API配置部分;
6.密钥、账户、算法、证书库,纯后台。
这6个部分,1应该仅对VPN放开,2-6绝对不对外,这样可以有效地保护SSO,因为SSO存放了所有人的账号、密码、算法、证书、密钥。我审计别人的时候,只要AD/SSO对互联网直接开放,直接判断不合格,SSO一旦被攻破,很容易被提权和全量账密泄露,甚至狠一点,伪账号很容易搞出来一大堆。
我当年计的是这个架构,AD/SSO/LDAP都深藏后端。
A6:
SSO呈现在用户面前的只是一个门户,至于后面管理端功能,那就是一个静态密码管理后台了。
这个过程可以用算号器类的工具,记录bit层面的变化,比如我密码设成1,可能对应是比如3B4C,然后密码设成2,可能对应单独是3D4C。我只是举个例子,这样就知道输入1和2的差距在于第2位。而且一般SSO厂家的日志信息、日志库都不会从文件、数据层面去设防,比如加密、脱敏啥的,差一点的厂家,可能整个运行目录都被人Copy走了,回去搭个模拟环境,啥都有了。
不过防护不了内部或有正常身份的合作伙伴之类的,用零信任的持续认证落地费用和改造都不容易。
A10:
不一定零信任,VPN/SDWAN/零信任前置认证接口门户,叠加短信验证码、证书、校验码等,成为内网第一道门户,这才是企业内网安全最要命的地方,大门口不安全。
零信任你的用AD/SSO这类系统做用户验证。那就还的加上其它认证做叠加,然后你会发现都是窟窿。
必然的,看数据源了。
A13:
所以,内网尽量做到窟窿最小是最优解。
这些是必然要做的,但是门口防护也重要,大门不弄好,里面再好也没用,你不能放苍蝇蚊子臭虫进来乱试乱搞吧。
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】