你们中的许多人可能已经看到Apple 和 Amazon 的安全漏洞如何导致 My Epic Hacking,其中有线记者的 Amazon、Apple、Gmail 和 Twitter 帐户被成功入侵。黑客遵循了一系列精心设计的步骤,每一步都使用一个 Web 服务上的密码恢复过程来获取攻击下一个 Web 服务上的报告者帐户所需的信息。攻击者能够成功地利用不同服务对执行密码重置所需的要求的差异,链接他的攻击并最终成功地对可怜的连线记者发动了灾难性的攻击。
鉴于此,Web 服务应遵循哪些做法,以保护其密码重置功能并防止此类故障再次发生?该行业需要做些什么来确保这种情况不会再次发生?
实际上,我一直在围绕这个领域研究一些想法,所以到目前为止,这里是我的一些想法。我提前为这个答案的荒谬长度道歉。
密码重置机制的设计必须牢记三个主要目标:
对于一个好的机制,我们需要在三者之间取得平衡。
在开始之前我想做出一些断言:
对,进入实际答案!
多因素身份验证(MFA) 是最安全的帐户恢复方法之一,通常是人工身份验证。对于那些不熟悉 MFA 的人,它的工作原理是您必须拥有多个凭证才能进行身份验证:
需要注意的是具有一种类型的多个,例如两个密码,或者密码和脚,并不能算作MFA。我在看着你,网上银行网站。
重置密码时,验证用户身份的常用方法是问他们一些问题。不幸的是,这些问题通常是诸如“你上哪所学校?”之类的问题。和“你母亲的娘家姓是什么?”,攻击者很容易通过社交网络找到这些信息。此外,许多用户在注册时不喜欢回答这些问题,所以他们只是敲了一堆键,使问题的目的无效。
对于电子商务网络应用程序和其他存储私人个人信息(例如地址/电话号码)的网络应用程序,人们可能会要求提供该信息。但是,请记住,这些信息也可能在网上找到。
另一种方法是根据用户在网站上的体验提出上下文问题。例如,Hotmail 会要求您提供最近与之通信的电子邮件地址,以及有关您帐户活动的其他一些信息。这适用于大多数类型的 webapp,但并不总是适用。
通常,网站会将链接或一次性密码通过电子邮件发送到您的电子邮件地址作为 MFA 的一种形式。我断言这是一个错误的假设。用户在帐户之间共享密码。这是一个绝对的事实,你无法阻止它。因此,您必须假设攻击者已经可以访问用户的电子邮件地址。稍后我们将介绍它的含义。
手机的普及使它们成为一种很好的双因素身份验证机制,作为带外检查的一种形式。SMS 重置令牌易于用户理解和使用,攻击者不太可能访问手机。然而,这种方法并非没有缺陷。最大的问题是当用户丢失手机或更换提供商时。这完全使手机无法作为可用的重置设备。另一个问题是用户并不总是随身携带手机。
在智能手机上使用应用程序部分解决了这个问题。如果用户更改了他们的提供商,该应用程序仍保留在手机上。允许基于 SMS 和基于应用程序的重置允许对可靠性有合理的期望。
或者,允许用户关联一个登录提供商帐户(例如 OpenID)并使用该帐户的有效登录作为“您知道的事情”证明。
其他潜在机制:
这就是事情变得有趣和科幻的地方。生物特征认证是最近变得越来越流行的东西。相当多的笔记本电脑包括指纹扫描仪,您可以以相对较低的成本购买便宜的 USB 笔记本电脑。另一种流行的生物识别机制是通过网络摄像头进行的面部识别。如果做得好,这两者在安全性方面都非常出色,但它们都有一些问题:
总而言之,“你是什么”模型适用于个人身份识别,但对于 web 应用程序来说实际上并不可行,除非你为客户提供指纹扫描仪和适当的软件。
单因素身份验证是不够的。正如我们从最近的所有 违规行为中看到的那样,很难保证密码的安全,即使它们经过哈希处理,它们仍然可以被破解。MFA 对于登录和密码恢复都是必需的。只要移动设备仍然可用,用于恢复目的的移动身份验证就可以解决大多数问题。在无法进行移动身份验证的情况下,您必须有一个手动验证过程,他们必须让人们相信他们是真正的交易。
那里有许多不同的密码重置方法,其中许多在安全性方面落后了。我将讨论一些我在野外看到的,解释它们的优点和缺点,并提出一些更好的建议。
最基本的机制是将用户的密码通过电子邮件发送给他们。请永远不要这样做。可怕到无法估量。首先,它要求您以明文或至少以可逆格式存储密码。您必须 正确地散列密码,并遵循加盐的最佳做法。其次,您通过明文协议通过 Internet 以明文形式通过电子邮件发送用户密码。为这样做的人保留了一个特殊的地狱级别。
一些网站会生成一个新的随机密码,对其进行哈希处理,然后通过电子邮件将其发送给用户。由于很多原因,这不是一个好主意,尽管其中大多数都可以通过某种方式得到缓解。最根本的问题是您正在通过电子邮件将可用密码以明文形式发送给用户。此方法的其他问题包括:
这是更好的(谢天谢地,更受欢迎的)机制之一。它涉及对用户进行身份验证,然后通过电子邮件向他们发送一次性重置链接。使用重置链接后,系统会提示用户设置新密码。完成后,链接无效。通过在链接中包含到期时间,并在设置密码或用户会话超时后强制链接无效,可以提供进一步的安全性。
这种方法的失败在于我们记得我们之前的假设。用户的电子邮件帐户不安全。它不能算作“你知道的东西”。虽然攻击者的时间窗口很短,但他们仍然可以闯入。当然,如果(或者更确切地说,当)用户忘记了他们的电子邮件密码,所有这些都会进一步失效。
这确实是圣杯,但只能与强大的多因素身份验证一起使用。一旦用户使用安全问题、带外检查(例如手机)、密钥文件、生物特征、人工验证等组合来验证自己的身份,他们就会立即重定向到密码更改表单。这完全绕过了使用电子邮件地址的需要。
如果您确实认为有必要使用电子邮件地址发送链接,请考虑提供无电子邮件重置选项,以增加您需要通过的检查数量。
在最好的情况下很难平衡安全性、可用性和可靠性,但这种情况直接与已经证明自己不可靠的用户打交道。我不是在任何贬低的意义上说这句话,而是说我们都容易犯错。
重要的是要保持密码重置系统的可用性和简单性,而不要忽视安全性。在对您的 web 应用程序的各个方面实施大规模的 3 因素身份验证过程之前,请考虑您要保护的内容。如果您只是一家在网上销售商品的小公司,您可能可以通过基本的 2 因素来摆脱困境。如果您是大型零售商、银行或社交网站,您应该在恢复时使用强大的 2 因子(每种类型有多种),并在来自无法识别的来源的登录时使用 2 因子。
一句话:保持简单,想想你的听众。
“史诗般的黑客攻击”的问题在于,多个账户(twitter、gmail)被链接到一个账户(icloud),然后被入侵,允许黑客请求和拦截链接账户的密码重置链接。
如果您想防止这种情况(用作其他帐户参考的电子邮件帐户被盗用)恕我直言,除了使用Google提供的 2 因素身份验证之外别无他法。如果通过社会工程学获得的临时密码被发送到 icloud-account 所有者的手机上,这一切都不会发生。
在我看来,Web 服务无法保护密码重置功能,原因很简单,即用户。
让我们考虑一下我发现的最常见的密码重置形式:秘密问题。通常会出现两种情况。
1)如实回答问题——很多用户选择这条路线。不幸的是,大多数秘密问题的答案都非常容易从互联网上挖掘出来。诸如您的第一所学校或您母亲的娘家姓之类的信息几乎不是秘密。攻击者可以通过执行简单的在线搜索轻松挖掘此类信息。这使得秘密问题变得无用。
2)用垃圾回答问题,然后忘记答案——我认识的大多数人都这样做,包括我。这有效地使秘密问题变得无用,因为它不能用于确认密码重置请求的合法性。
处理秘密问题的最好方法是用垃圾回答,但把它写在某个地方,这样你就不会忘记。然而,大多数用户不会这样做,主要是因为他们在发生某些事情之前并不关心安全性。
触发密码重置的其他常见方法有哪些?
电子邮件 - 许多服务将您的帐户链接到“恢复”电子邮件。但是,如果您忘记了恢复电子邮件的密码会怎样?这是一条永无止境的链条。
许多更安全的方法(例如两因素身份验证)对用户来说是个麻烦。Web 服务必须考虑可用性与安全性。毕竟,如果没有人使用它,拥有不可破解的 Web 服务又有什么意义呢?
那篇文章的主要缺陷是作者有多个帐户链接到一封电子邮件,这使攻击者可以轻松破坏他的所有在线帐户。尽可能地尝试分散您的在线身份。但是,这成为用户的责任。
尽管我们认为安全应该是 Web 服务的主要关注点,但我们必须考虑可用性的观点。在最终用户意识到它的重要性并采取措施保护自己之前,整体安全性不会得到改善。毕竟,服务提供商能做的只有这么多。
实际上,他们使用他的电子邮件来破解所有内容。因此,通过智能入侵检测和密码恢复保护您的电子邮件安全,最好自己做,在这种情况下可以防止这种黑客攻击。
云中的数据也是如此。智能加密和系统保护(如密钥管理)对于您保持安全以及远程备份和快照非常重要,因此不可能以菊花链方式连接。
这两个关键文件和通信,必须是安全的,因此它不适合专业使用的云,因为有人会删除它,仅此而已。所以最好是使用可以合法恢复的企业/个人域。
通过智能自动化对其进行法律、物理和物理保护,您可以将其用于商业用途,如果您被黑客入侵,它基本上应该知道通过电子邮件恢复密码,基本上在您的网络邮件中,您应该将密码恢复过滤到您的另一个邮箱需要通过 ssh 访问,以确保安全。
苹果呢?当您使用带有苹果遥控器的儿童硬件时,就会发生这种情况。它是 ipod 的一个很好的解决方案,但它在真实的 PC 世界中不起作用。微软收集数据的时候大家是多么的恼火,但现在苹果把所有的应用程序都控制了,在某种程度上还可以,但主要是为了家庭娱乐和娱乐,而不是专业工作。OSX 的安全飞跃是巨大的,OSX 被跨平台入侵一点也不奇怪。
对于一个安全的电子邮件,最好的也是有信誉的公司的域名,所以它也不能被黑客入侵。
