如何部署用户账户安全来阻止密码恢复攻击(二)

日期: 2012-09-18 作者:Randall Gamby翻译:邹铮 来源:TechTarget中国 英文

密码恢复是如何出错的

  在攻击者获取CloudFlare公司CEO的Gmail账户名称后,他联系谷歌的客户服务来进行密码重设。在数星期的尝试后,攻击者说服谷歌的账户恢复系统来添加一个虚假的恢复电子邮件地址,这让攻击者可以更改CEO的Gmail密码以及获取该账户的访问权。

  无论企业使用多么强大的密码(在这个案例中,使用的是20+字符长的高度随机的密码),只要企业的密码重置程序很薄弱,攻击者都能够通过获取用户的个人详细信息,绕过破解高强度密码,直接更改密码。例如,在用户注册账户时,都会要求用户设置一个简单的易于猜测的问题来重置账户密码。而在Facebook、LinkedIn和其他休闲和专业社交媒体网站存储了大量个人资料,因此,员工必须假设其生活的主要因素现在都已经公之于众了。大部分网民的很多信息都可以很容易地在网上找到,例如最喜爱的宠物、高中名称、母亲的婚前姓氏等。这意味着随着企业开始向互联网暴露更多后端业务系统或者使用云服务(CloudFlare的案例中),企业需要采用更强大的身份验证方法(例如双因素身份验证或者生物识别技术),来保护面向瞬息万变的互联网的账户,

  对于大多数面向互联网的攻击,遵循这些简单的步骤都能够阻止攻击。但在CloudFlare的案例中,CEO的账户受到双因素身份验证保护,却仍然受到攻击。这只能表明这名攻击者非常娴熟、聪明且坚定。为了重置该CEO的Gmail账户,这名攻击者必须提供被发送到该CEO的AT&T移动账户的PIN码。

  攻击者甚至找到了一种方法来克服这一挑战。根据事故调查员表示,这名攻击者呼叫了AT&T,并假冒这名CEO。虽然攻击者无法回答CEO的账户验证安全问题,但他能够向客服人员提供该CEO社会安全号码的最后四位数字。但由于该账户是企业账户,不应该被链接到CEO的社会安全号码。这让该攻击者将CEO的语音邮件重定向到受攻击者控制的电话号码。攻击者再次使用受害者的个人信息获取了对账户(这个案例中是CEO的移动运营商)的控制,恰恰利用了密码重置过程的最薄弱的环节。这表明这名攻击者非常熟悉谷歌的密码重置过程。在此事件后,AT&T和谷歌已经更改了他们的身份验证过程以加强保护。

  结论

  这些事件让我们意识到,为了获取高价值账户,攻击者可能会走向极端。16岁网络奇才坐在他父母的地下室执行这种攻击的普遍看法已经过时了。从这个事件和其他最近网络欺诈事件来看,很显然,这些攻击是反文化组织针对美国企业的深思熟虑的有计划的攻击。

  当企业架构其互联网身份验证系统时,他们必须意识到身份验证过程可能超出他们的控制范围,而延伸到业务合作伙伴和供应商。企业必须充分理解云合作伙伴、互联网服务提供商、移动ISP和其他供应商是如何管理和维护密码重置、账户管理和财务支付流程的,并及时发现和纠正错误。

  从这次事件得到的好消息是,在CloudFlare调查此次攻击时,谷歌和AT&T充分与其合作,但在CloudFlare事件发生前,即使是这些大公司也没有意识到其程序缺陷。只有将身份和访问控制看作是完整的生态系统(从用户到互联网到云环境),才能够发现缺陷。CloudFlare现在明白了攻击者将会不惜一切代价来获取目标账户的控制权,问题是,你的企业知道攻击者会采取何种手段来获取你的数据吗?

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • RSAC 2017:小组讨论话题涵盖加密趋势、选举等

    每年在RSA大会开幕演讲后,世界顶级密码学家都会齐聚舞台上分享他们对加密趋势的看法以及意见。今年,这个小组讨论会连续第四次由Rambus公司加密研究分支总裁Paul Kocher主持……

  • 身份认证技术指南

    一次RSA遭攻击事件,让安全认证成为热点。如何才能实现有效的身份认证和访问管理?本技术手册,将从三个方面为你详细介绍有关认证的知识,帮助你选择合适的认证方案。

  • 你需要对网络说谎

    你不会把你的月收入告诉周围的人,但为何要告诉网络调查/会员公司?如果从未担心过信息外泄的问题,那么你应该要开始担心了。不想让黑客窃取你的数据?你需要对网络说谎。

  • 基于风险的多重身份认证的最佳方案

    多重身份认证最近引起了更多的关注。Forrester研究公司最近调查了很多已采用了多重身份认证的公司,以了解这种方案的最佳实践,最终探讨出了四个优秀的方案……