我的雇主想要/想要在我的个人手机上安装第 3 方应用程序。我们仍然没有看到一致的问题之一是关于安全性。
以下是我关心的一些问题:
我的老板用了一个汽车类比,暗示我要求的安全性类似于“全防滚架、5 点式安全带、头盔和 HANS 装置,以及灭火系统”。我已经指出,该应用程序的安全性更像是福特 Pinto。我将他的汽车安全类比比作“更像是使用 2 因素身份验证和 32 个字符随机生成的密码,使用小写、大写、数字和特殊字符的组合,通过加盐密码(低效)散列存储,每个用户都有不同的随机生成的盐”。
我不是安全专家。也许我对他的反应是不正确的。有人可以指出我更好的回应(例如无偏见的来源)吗?
更新 一些人问它是什么类型的应用程序。我可以解释它的最佳方式是仅适用于我们公司的社交媒体应用程序。
让我们一一解决您的观点。
- 第 3 方在公司范围内的电子邮件中向我们公司的每个人发送了相同的密码。
每个人都知道的密码不是密码。这就像把钥匙留在垫子下面,只是没有垫子把它藏起来。
- 该应用程序无法更改密码。
因此,如果您丢失了钥匙或认为其他人可能拥有它们,您将无法更换锁具 - 从第 1 点开始,我们知道您的钥匙已经在其他人手中。
- 我们所有的用户名都是预先确定的并且很容易猜到。
所以,拥有你钥匙的人也知道你住在哪里。
- 可以从任何设备以任何人的身份登录到此应用程序。
把前三个放在一起——其他人有你的钥匙,他们知道你住在哪里,而且你不能换锁——是的,这就是结果。任何人都可以进入一个应该属于你的地方。用回收你雇主的汽车类比,他要求所有员工锁好他们的汽车,但把钥匙留在门里,然后把车停在公司停车场,下面有他们名字的标志。
最重要的是,他要求您在您的个人手机上执行此操作。您的雇主无权触摸该设备。根据此应用程序的功能,由于您无法控制的第三方安全漏洞,这可能会使您的个人数据面临风险。
即使第三方应用程序没有恶意并且没有做任何会导致风险的事情,也不能保证它 100% 没有可能导致安全漏洞或为其他恶意方提供机会的意外缺陷或错误利用。鉴于这家第三方公司对“不要发送电子邮件密码”、“不要重复使用密码”和“始终允许用户更改密码”等基本安全做法的粗暴处理,他们的应用程序完全安全的可能性,安全且没有漏洞的看起来非常苗条。
我的建议是尝试从基于风险的方法中解释安全隐患。如果您安装了安全性如此差的应用程序会发生什么?您不必解释如何利用应用程序中较差的安全性,而只需暴露风险即可。对于许多经理来说,单独模仿是一个非常重要的转折点,有人可能会做坏事并责怪另一个人,即使作为恶作剧也可能导致严重的后果。
根据我的经验,管理者需要平衡风险与收益,一旦他们看到可能出现的问题,他们就会开始怀疑这是否真的值得。
虽然类比在向完全不熟悉该领域的人解释基本概念时很有用,但它们会积极损害专业讨论。理解每个类比都是主观的,不代表任何特定领域的细节。实际上,汽车类比尤其糟糕,因为它混淆了安全性和保障性。最重要的是,请谨慎使用类比,并在您感到被带走的那一刻停止使用它们。
相反,我会询问您的雇主如何处理您可以识别的特定威胁。一方面,这个应用程序似乎很容易被冒充。告诉你的老板你可以如何使用这个应用程序来伪装成别人,并询问他将采取什么对策来防止这种情况发生。
在不了解该程序可以访问的数据类型的更多信息的情况下,我无法真正为您提供建议,但这听起来确实像糟糕的安全做法。你的老板对安全的类比也是一个非常糟糕的类比:这是漏洞开始的众多方式之一。
如果在被违反后的审计过程中,发现贵公司的安全标准低于标准且极其不合格(例如他现在的建议),他可能会对客户数据的任何损害承担责任。
该应用程序无法更改密码。现在这太可怕了。如果其中一个被黑客入侵,或者员工心怀不满而离开,会发生什么?
我们所有的用户名都是预先确定的并且很容易猜到。实际上,过去我在用户名和密码中都遇到过其中的几个实现。使用用户名,这样的事情是可以预料的。例如,许多公司将您的电子邮件地址设置为lastfirst和first.last其他变体。在这种情况下,我会更担心密码。
以下是我关心的一些事情: 我以前见过这个。它可能完全不同,也可能相同。把这个和一粒盐一起吃。
这听起来像是你的雇主试图要求每个人在他们的个人手机上安装一些东西,这样他们就可以像特洛伊木马一样监控你的手机使用情况。告诉您的雇主,如果提供公司电话,您将非常乐意允许这样做。
请记住,您的公司电话上不应包含任何私人信息。你的雇主可以而且将会四处窥探。事实上,即使在您的个人手机上使用公司交换电子邮件也可以让您的雇主完全控制它。当您尝试设置公司电子邮件时,它就在请求的权限中,即使它在您的个人手机上。不要这样做。
我认为不应该允许 BYOD,所有连接到机器的设备都应该属于雇主。就个人而言,我不会在雇主的网络上使用我的个人电话或设备。我不希望不小心将易受攻击的设备引入网络,也不希望他们将易受攻击的应用程序引入我的设备。