it-swarm-eu.dev

Je běžnou praxí zaznamenávat odmítnutá hesla?

Výběr jedinečných hesel pro každý účel je skvělý nápad, v praxi se to však zřídka stává. Mnoho hesel si proto vybírá z osobního souboru hesel, které si snadno zapamatujete. Při autentizaci do systémů, které jsou používány jen zřídka, je velmi pravděpodobné, že se řada hesel z takového fondu vyzkouší postupně. Jinak se neúspěšná hesla velmi podobají skutečnému heslu v případě překlepu.

Protože téměř nikdo nepopisuje použitou politiku hesel, včetně toho, jak se nakládá s odmítnutými hesly, měl by člověk začít předpokládat, že jsou shromažďována v databázi, která je prodávána nejvyššímu uchazeči?

Existuje implementační pokyny? Co se obvykle stane s heslem kandidáta, když je odmítnuto? Jsou protokolovány, okamžitě zahozeny nebo ponechány viset, dokud nejsou shromážděny odpadky? Jsou postupy při selhání hesla součástí auditovaných kontrol? Zdá se, že existuje spousta implementačních požadavků a doporučení týkajících se toho, jak by mělo být nakládáno s platnými hesly, ale vágní ohledně odmítnutých hodnot hesel.

[~ # ~] upravit [~ # ~]

Pokusím se zde uvést různé implementace, které zaznamenávají neúspěšné přihlašovací údaje zabezpečení, abych získal představu o tom, jak je tento postup rozšířen:

Systémy správy obsahu:

Joomla přes Přihlášení se nezdařilo plugin

Tento malý modul plug-in shromažďuje protokoly o každém neúspěšném pokusu o přihlášení správce vašeho webu Joomla a odešle e-mail o každém z nich superadministrátorovi webu s uživatelským jménem, ​​heslem, IP adresou a chybou.

KPlaylist v1.3 a v1.4 - bezplatný PHP systém, který dělá váš hudební kolekce dostupná přes internet.

zaznamenává uživatelská jména a hesla neúspěšných pokusů o přihlášení do protokolu chyb Apache

Drupal 5.x před verzí 5.19 a Drupal 6.x před verzí 6.1 .

Pokud se anonymní uživatel nepřihlásí z důvodu chybného zadání svého uživatelského jména nebo hesla a stránka, na které se nachází, obsahuje tabulku, je v odkazech v tabulce zahrnuto (nesprávné) uživatelské jméno a heslo. Pokud uživatel navštíví tyto odkazy, může být heslo přeneseno na externí weby prostřednictvím referreru HTTP.

Samostatný software

Reporting Server zahrnutý do Symantec Client Security 3.1 a SAV CE 10.1

Heslo správce serveru Symantec Reporting Server bylo možné odhalit po neúspěšném pokusu o přihlášení.

Linux:

OpenSSH prostřednictvím modifikovaného auth-passwd.c ; pomocí PAM přes přetížení pam_sm_authenticate funkce

ÚPRAVA # 2

Zdá se, že existuje konsenzus a zaznamenávání neúspěšných hesel nebo PINS je považováno za vážné/velké bezpečnostní riziko, i když pokud vím, následující standardy neposkytují žádné pokyny, auditované postupy nebo kontroly, které se konkrétně zabývají tímto rizikem:

  • PCI-DSS : Heslové postupy adresované v 8.4. a 8,5. (neúspěšná hesla jsou chráněna pouze během přenosu; po ověření se hesla nepovažují, proto nemusí být chráněna)

  • FIPS140-2 : Ověřování adresováno v 4.3 (Životní cyklus neúspěšných autentizačních dat je adresován pouze částečně)

61
Drew Lex

Protokolování hodnoty neúspěšného pokusu o heslo (prostý text nebo jinak) se jeví jako bezpečnostní anti-vzor. Nikdy jsem neviděl webovou aplikaci, která to dělá, a nejsem si vědom žádných výchozích systémových služeb, jako je SSH, které to také dělají. Jak uvádí @tylerl níže, většina systémů jednoduše zaznamenává meta-informace o pokusu o přístup (např. Uživatelské jméno, čas, možná IP adresa atd.).

Proč by to měl být bezpečnostní vzor

Ihned si vzpomenu na tři důvody, proč je protokolování hodnoty neúspěšného pokusu o heslo špatný nápad:

1. Uživatelské překlepy

Je velmi běžné, že si lidé špatně zadali heslo jedním nebo dvěma znaky. Zkoumáním souboru protokolu neúspěšných pokusů by se mnoho z nich snadno zjistilo, zejména pokud byste mohli porovnat posloupnost neúspěšných pokusů s úspěšným autorem.

2. Hádej a kontroluj

Mnoho lidí má dvě nebo tři hesla, kterými procházejí pro všechno. V důsledku toho kdy zapomněli, jaké heslo použili na daném webu, pouze procházejí všemi, dokud nenajdou shodu. Proto by bylo triviální hacknout jejich účty na jiné weby.

. Log Bloat

Ukládání chybných hesel neslouží žádnému účelu pro převážnou většinu autentizačních služeb v produkci dnes. I když mohou existovat některé případy Edge, pro většinu lidí je ukládání těchto dat prostě zahodit místo na disku.

O příslušných právních předpisech/normách

Nevím o jakýchkoli normách (PCI, HIPAA atd.), Které se konkrétně zabývají postupy pro ukládání neúspěšných pokusů o přihlášení, ale domnívám se, že při výše uvedených skutečnostech lze učinit dobrý právní argument pro to, proč stejné standardy, které platí pro ukládání hesla by se obecně měla vztahovat také na pokusy o selhání hesla. Jinými slovy, můžete uvést legální argument, že heslo se nezdařeným heslem je stále kategoricky heslo a jako takové podléhá stejným standardům.

I když rozhodně nejsem právník, nechtěl bych, aby soudce musel rozhodnout, zda jsem byl nedbalý nebo porušil průmyslové standardy, protože neúspěšná hesla byla uložena v jasném textu a spotřebitelé utrpěli důsledky. Nemyslím si, že by to skončilo příznivým rozhodnutím.

Souhlasím s operačním programem, že by pro různé normalizační orgány mohlo být užitečné tuto otázku konkrétně vyřešit (pokud tak již neučinily). Za tímto účelem by mým návrhem bylo vytvořit standard shody, který by neukládal hodnotu neúspěšných pokusů o heslo.

68
Mark

Neexistuje žádný legitimní účel pro protokolování hesel prostého textu pro jakoukoli aplikaci; zejména pro nesprávné přihlášení. Může to být zaznamenáno náhodou - nedbale jsem se podíval na auth.log pro jiné účely, a viděl uživatele omylem zadejte své heslo do přihlašovacího pole (a já zaznamenávám přihlašovací pole, abych viděl, jaké účty se pokoušejí být přihlášeni) - nicméně jsem to oznámil uživateli a změnil své Heslo.

Na druhé straně, jako uživatel, konzervativní předpoklad znamená, že každá náhodná aplikace, kterou používáte, zaznamenává každé heslo nesprávných pokusů. To je důvod, proč je špatné mít malé (tři) náhodná hesla, kterými procházíte, oproti jedinečnému heslu pro každý web spravovanému v zašifrovaném seznamu hesel (možná pomocí nástroje, jako je keepass).

V této poznámce byl Mark Zuckerberg (zakladatel facebooku) obviněn firmou businessinsider.com z používání protokolů kombinací přihlášení/hesla (i z nesprávných údajů) z thefacebook.com (raná verze facebooku) proniknout do e-mailových účtů novinářů Harvarda Crimsona, kteří ho vyšetřovali. Z denní pošty: :

Poté, co se objevily další požadavky, se Zuckerberg zjevně začal obávat, že noviny o něm nakonec povedou příběh.

Business Insider prohlásil, že pak řekl příteli, jak se vloupal do účtů Crimsonových zaměstnanců.

Údajně řekl příteli, že použil web TheFacebook.com k vyhledání členů, kteří uvedli, že jsou zaměstnanci Crimsonu.

Poté údajně prozkoumal zprávu o neúspěšných přihlášeních, aby zjistil, zda některý z členů Crimsonu do TheFacebook.com nikdy nevložil nesprávné heslo.

Také poněkud relevantní xkcd (představte si, že se zlé účty také přihlásily, pokusili se hesla zvýšit svou úspěšnost).

17
dr jimbob

Existuje několik úžasných odpovědí výše, takže toto je jen rychlá a zjednodušená perspektiva z vládních politik USA na správu počítačových systémů, které zpracovávají utajované informace.

(1) Celý počítačový systém musí být chráněn na nejvyšší úrovni požadované jakákoli data na tomto počítači. To zahrnuje protokoly uložené na nebo mimo stroj.

Pokud například úmyslně nebo omylem vložíte do počítače „tajná“ data, musí být každá část tohoto počítače nyní chráněna jako „tajná“ informace. Je tomu tak i v případě, že jste měli neklasifikovaný počítač (například doma), který obdržel e-mail s utajovanými informacemi. Celý počítač a všechno na něm je nyní klasifikováno jako „tajné“.

(2) hesla k tomuto stroji jsou také klasifikována na nejvyšší úrovni ochrany, jakou vyžadují data na tomto stroji.

Například, pokud máte na tomto počítači jakákoli „tajná“ data, kdekoli ukládáte heslo, vyžaduje to stejnou úroveň ochrany.

Podle vaší otázky, bez ohledu na normu, kterou používáte, jako jsou PCI-DSS, NISPOM atd., Nemůžete mít v protokolech hesla v jasném textu, pokud je požadováno, aby byla chráněna (například hashovaná a solená). .

V souhrnu tedy platí, že pokud je na váš počítačový systém aplikováno nějaké regulační schéma a toto nařízení říká, že nemůžete mít jasná textová hesla, pak nemůžete mít jasná textová hesla ve vašich protokolech.

6
OnTheShelf

Není neobvyklé zaznamenávat skutečnost, že pokus o ověření selhal a pro kterého uživatele byl. To se může ukázat jako velmi užitečné při forenzním řešení problémů. Z pohledu zabezpečení je velmi neobvyklé a nezodpovědné zaznamenávat, jaké heslo bylo odmítnuto. Tyto informace neslouží žádnému účelu a mohou být použity proti vám.

UPRAVIT
Vy byste snad měli očekávat, že renomovaná a dobře organizovaná společnost nebude prodávat vaše informace o heslech, protože by to opravdu bylo špatné pro ně, pokud to bylo zjištěno. Ale v zájmu vaší vlastní bezpečnosti byste měli být vždy připraveni na informace, které poskytnete, aby byly použity proti vám, protože je to vždy možnost. Pro každou organizaci, jejíž reputaci si nemůžete spolehlivě založit, se to zdvojnásobí.

6
tylerl

Ne. Je běžné, že uživatelé mají k dispozici soubor hesel a procházejí jimi, aby zjistili, které z nich se používají pro daný web. Protokolování znamená pouze to, že když dojde k ohrožení, jejich náhradníci se přidají do crackerového fondu toho, kdo tě zasáhl.

2
John Haugeland