在Friend Finder Network的4億用戶賬戶泄露事件后，專家開始對(duì)密碼安全的方方面面進(jìn)行大討論。

2016年最大宗的數(shù)據(jù)泄露案件使得超過4億用戶賬戶遭到泄露，引起了行業(yè)專家們圍繞密碼安全最佳實(shí)踐的大討論。

Friend Finder Network由一系列相親和成人娛樂網(wǎng)站組成，包括AdultFriendFinder以及Penthouse在內(nèi)的網(wǎng)站在十月份遭到攻擊，導(dǎo)致了六個(gè)業(yè)務(wù)域內(nèi)的超過4億1千2百萬用戶賬戶遭到泄露，其中包括用戶賬戶密碼、電子郵件地址以及最近一次登陸的IP地址，泄露的數(shù)據(jù)中還包括將近一千六百萬用戶已經(jīng)刪除的卻未從服務(wù)器清除的數(shù)據(jù)。

上個(gè)月推特上一位名為1x0123的黑客發(fā)布了AdultFriendFinder的網(wǎng)站截圖顯示，一份本地文件中包含的漏洞，允許攻擊者將位于服務(wù)器上的文件打包到某一特定應(yīng)用程序的輸出之中，目前該用戶的賬號(hào)已經(jīng)被凍結(jié)。

在Friend Finder Network（FFN）被曝光的超過4億份用戶賬戶中，大約1.256億份用戶賬戶的密碼存儲(chǔ)在純文本中，2.82億份用戶賬戶的密碼是用過時(shí)的SHA-1算法加密的，如谷歌、Mozilla以及微軟等公司已經(jīng)停止使用或不推薦使用此種算法。

Digital Shadows公司負(fù)責(zé)企業(yè)網(wǎng)絡(luò)安全意識(shí)戰(zhàn)略的副總裁Rick Holland表示，賬戶的非法交易、釣魚攻擊以及由此產(chǎn)生的勒索犯罪，僅僅是此次數(shù)據(jù)泄露事件中企業(yè)員工必須面對(duì)的風(fēng)險(xiǎn)的一部分。

“從成人交友網(wǎng)站泄露的憑據(jù)，使得網(wǎng)絡(luò)罪犯向潛在的受害者進(jìn)行敲詐時(shí)得心應(yīng)手。大多數(shù)用戶希望對(duì)這些服務(wù)保持匿名，不想讓他們的公司或家人知道”，Holland告訴本站，“其中絕大部分的憑據(jù)會(huì)被用于勒索的目的，相關(guān)公司應(yīng)主動(dòng)監(jiān)控與公司帳戶相關(guān)的憑證轉(zhuǎn)移存儲(chǔ)，并做強(qiáng)制要求更改密碼，即使這些憑證并沒有在事件中被泄露。”

其他專家也發(fā)表了自己的觀點(diǎn)，企業(yè)應(yīng)該從這樣巨大的數(shù)據(jù)泄露事件中警惕密碼的安全性。Alert Logic的首席安全顧問Stephen Coty認(rèn)為，企業(yè)不應(yīng)該只關(guān)注自己業(yè)務(wù)域是否是在事件中遭到泄露。

Coty告訴本站：“這是公司要求重置密碼的絕佳機(jī)會(huì)。因?yàn)槿魏稳四軌驅(qū)⑦@份數(shù)據(jù)下載下來，到相應(yīng)的網(wǎng)站上使用賬戶登錄，然而可能都會(huì)想到的是，那些使用個(gè)人郵件地址的用戶在其他地方也會(huì)使用相同的密碼。”

IOActive公司的咨詢服務(wù)總監(jiān)Daniel Messier認(rèn)為，用戶們應(yīng)該對(duì)所有在線賬戶的密碼安全有所防范，“應(yīng)該更進(jìn)一步，積極地為用戶提供有關(guān)賬戶安全的通知，告訴用戶他們應(yīng)該保護(hù)好自己在本站和其他站點(diǎn)的密碼安全”，Messier說道，“在這一角度上來看，密碼過弱和隨意分享是互聯(lián)網(wǎng)安全的一項(xiàng)主要問題。”

Imperva的CTO Amichai Shulman告訴本站他并不同意其他專家的觀點(diǎn)，他認(rèn)為強(qiáng)制密碼重置會(huì)（對(duì)用戶）造成麻煩。

“如果每次發(fā)生大的泄漏事件，我們都重置一次密碼，將會(huì)陷入每天都需要操作的窘境，因此除非了解到我的很多客戶都受到了不良影響，否則我不會(huì)采取如此激進(jìn)的措施”，更好的辦法是當(dāng)我們確信某些用戶已經(jīng)受到不良影響時(shí)，應(yīng)該考慮向他們發(fā)送一份提示信息。

加密透明度

FNN用來加密用戶數(shù)據(jù)的SHA-1算法已遭到嚴(yán)厲地批評(píng)，然而專家們并不認(rèn)同將網(wǎng)站加密所使用的方式透明化的觀點(diǎn)。

“我認(rèn)為他們應(yīng)該透明。這將迫使網(wǎng)站必須遵守行業(yè)規(guī)則”，Coty說，“缺點(diǎn)可能會(huì)使?jié)撛诘墓粽咧滥闼褂玫募用芊椒ǎ欢@就一定就不好嗎？（黑客）也許會(huì)得出要破解這些加密數(shù)據(jù)過于浪費(fèi)時(shí)間而必須放棄的結(jié)論。”

Kevin Bocek是Venafi公司負(fù)責(zé)安全策略與威脅情報(bào)的副總裁，他認(rèn)為業(yè)務(wù)合作伙伴和用戶應(yīng)該知曉網(wǎng)站加密其信息所使用的加密方式。

Bocek告訴本站，“公司和政府部門應(yīng)該敢于宣布自己在保護(hù)客戶數(shù)據(jù)安全方面所采用的加密等級(jí)和保護(hù)措施。但是，相反的是公司往往承認(rèn)他們所使用的是較低級(jí)別的安全措施，并承受著較高的風(fēng)險(xiǎn)。許多公司并不知道自己是否徹底根除了SHA-1有關(guān)的漏洞，不幸的是，如果未來幾個(gè)月瀏覽器最終決定停止對(duì)SHA-1的支持，他們將會(huì)學(xué)到寶貴的一課。”

Shulman說如果用戶不了解技術(shù)，透明度并不會(huì)有所幫助。

“在我的信息安全職業(yè)生涯中，我還未遇到過因?yàn)槭褂昧溯^弱或過時(shí)的摘要算法造成用戶流失的情況”，Shulman說道，“還有，大多數(shù)用戶并不了解摘要算法是什么以及它為何要用于進(jìn)行密碼保護(hù)。”

Messier說除非密碼安全關(guān)乎企業(yè)利益，否則算法透明度不會(huì)有所幫助。“（透明度）對(duì)于任何網(wǎng)站來說，都無法幫助他們找出并溝通自身的保護(hù)策略，使用難以破解的算法也是同理”，Messier說，“大多數(shù)情況中的問題只是公司沒有將安全重視起來，而不是沒有聘請(qǐng)正確的專家，也并非沒有給予這些專家執(zhí)行必要變更的充分權(quán)力。”

LeakedSource.com一篇FNN泄露密碼事件的分析文章，收集和分析了泄露的數(shù)據(jù)，發(fā)現(xiàn)有超過兩百萬密碼實(shí)例中，或者采用連續(xù)的字母，如“QWERTY”或“QWERTYUIOP”，或者干脆使用單詞“password”。許多專家表示如果采用密碼管理器將可以很大程度上提升密碼安全。

“你需要經(jīng)常培訓(xùn)用戶并提醒他們密碼安全的重要性，采取增強(qiáng)的IT策略經(jīng)常變更或升級(jí)密碼”，KnowBe4公司CEO Stu Sjouwerman告訴本站，“且采用密碼管理器便無需記錄那些復(fù)雜的的密碼，幫助用戶輕易保障安全。”

Coty說用戶無需嘗試記住復(fù)雜的密碼以及有關(guān)的詞句。

“我們需要開始思考詞句和密碼安全，我們需要更加聰明的密碼”，Coty說，“如果是個(gè)牛仔迷，你可能會(huì)使用‘Wh0 Misses D@n M@rino Number 16’作為密碼，將o替換為0，a替換為@——使用錯(cuò)誤的人名和數(shù)字來額外提升復(fù)雜度。無需考慮那些復(fù)雜的難以記憶的密碼，記住那些來自電影、書本、哲學(xué)家或政治事件中的詞語并稍加改動(dòng)就可以。”

Fidelis Cybersecurity公司威脅系統(tǒng)的兩位管理人員Bocek和John Bambenek說，業(yè)界需要遏制對(duì)于多因素驗(yàn)證密碼的追求。

“有些工具已經(jīng)實(shí)施，用來要求用戶使用更加復(fù)雜的密碼”，Bambenek告訴本站，“然而，我們也注意到更加復(fù)雜的密碼需求的同時(shí)，用戶規(guī)避要求的技巧也在提高。密碼可能是曾經(jīng)使用過的驗(yàn)證方式里最糟糕的一種。”