对安全专业人士来说,密码有其自身的弱点并不是什么秘密:密码常常被遗忘,丢失,并且可以很容易被从互联网上下载的工具入侵。
看看林肯国民公司事件,这个金融服务企业向国家机关报告它的投资组合管理系统存在一个没有修复的漏洞:用户密码被共享,导致约120万客户的个人信息被损害。
共享密码违反安全政策
当金融业监管局(FINRA)通知林肯国民公司下属的一个经纪自营商子公司——林肯金融证券公司(LFS),一个不明身份的来源给他们发送了一个可以访问证券管理系统的用户名和密码时,共享密码带来的麻烦才引起了林肯公司的关注。LFS和另一个附属公司——林肯金融顾问公司(LFA)都使用这套系统来分析客户的帐户,这个系统包含客户个人身份信息,如姓名、社会安全账号和账户号码。
林肯国民公司说,庆幸的是,在给新罕布什尔州总检察长办公室的信中,还没有发现客户资料被盗窃或滥用的迹象。然而,调查却发现确实有部分LFS雇员、LFA雇员和分公司违反公司政策,将用户名和密码凭据共享。调查显示,一些共享密码的时间可追溯到2002年。
由于工作繁忙,所以员工愿意共享密码,这是可以理解的。当员工需要做决定时,共享密码可以让他们轻松、方便、快捷的查看客户档案,而不必经过所有的繁文缛节来获取一个合法账户。但企业显然不能接受这种行为。一旦密码被共享,就会失去它作为安全控制的价值,让用户对自己的行为负责也变得更加困难:因为只要拥有用户名和密码,任何人都可以窥探、破坏和窃取数据。
位于科罗拉多州Boulder地区的研究企业——企业管理协会有限公司的管理研究主任Scott Crawford说,“任何重要的应用程序使用共享密码都是非常可怕的,但最令人不安的是在金融服务公司发生这样的事情,而且已经很久了。除了金融系统,其他关键系统共享密码也是很可怕的,比如IT管理工具和管理控制台。”
密苏里州Kansas市的渔网安全公司渗透测试团队的首席安全顾问Shawn Moyer说:“企业不必四处寻方来阻止密码共享。现在中央认证系统已经被广泛使用,如Active Directory、LDAP(轻量级目录访问协议)和RADIUS(远程用户拨号认证系统服务),它们都可以禁止多人使用相同凭据同时登录。 ”他还说道:“启用这个功能相对简单。而那些没有经历过密码共享所带来的麻烦的公司,当然就没有识别使用多登录事件的烦恼,因此他们选择忽视问题而不是正视问题。”
利用常见的安全监控系统来监视系统用户名和密码异常情况,也是一个很好的实践方法,Moyer补充道。他说,“根据多个标准如IP地址、系统名称等,大部分典型日志和安全事件管理系统应该能够探测、报告,甚至阻止在不同工作站多个登录的事件。”
安全共享密码
Crawford解释说,有些时候确实需要共享用户名和密码凭据,如控制台的访问管理和安全。
“这些都是合法共享的帐户类型。然而,有一些方法可以管理特权账户的细粒度访问,”Crawford说,“但是,对共享访问的颗粒控制需要使用特权账号管理工具,这类工具是专门为管理共享的帐户密码设计的,例如BeyondTrust软件公司、Cyber-Ark软件有限公司和Lieberman软件公司制造的工具,这使企业能安全地共享和监视特权密码。”
Moyer说,“归根结底,良好的系统管理常识、良好的用户和访问管理做法才是真正解决这类挑战的方法。”