在查看不同 SIEM(Splunk、HP Logger Trial 和 AlienVault 平台的 SIEM)生成的日志后,我注意到由于某种原因,很多用户倾向于在用户名字段中输入密码时出错,无论是在操作系统域登录中,或在 Web 应用程序中。我猜这些人是不看键盘就无法打字的人,并且在尝试这样做时,做得很快,最终在错误的字段中输入密码。这意味着密码在网络中的任何地方都以纯文本形式发送,并最终记录在日志中,并带有类似以下内容的事件:
User P@$$w0rd does not exist [...]
或者
An account failed to login: P@$$w0rd [...]
(其中 P@$$w0rd 是实际用户的密码)
弄清楚密码属于谁变得非常明显:通常同一日志文件上的上一个或下一个(未)成功事件会告诉您由同一用户触发的事件。
任何其他分析员在查看日志时,都可能在正当所有者不知道的情况下获得其他人的凭据;最坏的情况是网络窃听或实际的日志文件泄露。
我正在寻找一般指导来帮助防止这种情况。我认为简单地屏蔽用户名是不可行的,即使是这样,这也可能会消除很多日志分析,因为无法分辨谁做了什么。
注意:已经有关于类似问题的帖子,但我正在尝试解决它的方法。 如果我不小心将密码输入到用户名字段(Windows 登录),会有什么风险?
接受的答案:我希望我能从列表中选择一些答案。不幸的是,我只能在论坛中坚持一个,但实际上我可以将它们结合起来。非常感谢所有的答案;我看到没有单一的解决方案。由于我同意添加“事物”会增加复杂性,从而增加安全漏洞的可能性,因此我必须同意大多数选民的观点,即@AJHenderson 作为第一种方法有最优雅和最简单的答案。绝对是 SSL 和服务器端甚至客户端的简单代码验证。因为我希望减轻的不是恶意用户,而是分心的用户,所以这会很好。一旦到位,我们就可以开始考虑在适当的情况下将实施扩展到恶意用户。再次感谢大家的意见。