Tallying Password Finds innebär att bestämma hur många konton som har äventyrats på grund av läckta eller spruckna lösenord. Det är ett avgörande steg för att bedöma effekterna av ett dataöverträdelse eller lösenordsläcka. Här är en uppdelning av processen:
1. Dataförvärv:
* överträdelse av data aggregatorer: Tjänster som har jag blivit pwned (HIBP) och liknande prenumerationsbaserade databaser samlar in data från offentligt avslöjade dataöverträdelser. De indexerar användarnamn/e -postadresser och ibland tillhörande lösenord.
* interna loggar: Om du är ett företag kan du ha interna loggar med misslyckade inloggningsförsök, begäran om återställning av lösenord eller avvikelser som föreslår komprometterade konton.
* mörk webbövervakning: Specialiserade tjänster kryper den mörka webben för omnämnanden av din domän, företagsnamn eller användaruppgifter som handlas eller diskuteras.
* sårbarhetssökningar: Säkerhetsverktyg som kontrollerar för vanliga sårbarheter och felkonfigurationer kan ibland avslöja exponerade referenser i konfigurationsfiler, kodförvar eller databaser.
2. Databehandling och avduplikation:
* Rengör data: Överträdesdumpar innehåller ofta duplikat, felaktig formatering och irrelevant data. Ta bort främmande tecken, normalisera dataformat (t.ex. e -postadresser) och säkerställa datakonsistens.
* deduplikation: Eliminera duplicerade poster över flera överträdelsekällor för att undvika överbelastning. Detta kan vara utmanande eftersom data kan vara subtilt olika (t.ex. variationer i e -postavdelning). Använd tekniker som fuzzy matchning eller postlänk.
* hashing och saltning: Om lösenorden i överträdelserna är i vanlig text, hash och salt dem omedelbart med en stark algoritm (t.ex. Bcrypt, Argon2, Scrypt). Förvara aldrig lösenord i vanlig text! Om lösenorden redan är hashed, bevara de befintliga hasharna för jämförelse senare.
3. Matchande referenser:
* Jämför med befintlig användardatabas: Matcha de komprometterade användarnamn/e -postadresserna från överträdelsedata med din befintliga användardatabas. Detta är det kritiska steget för att identifiera berörda konton.
* Lösenordsjämförelse (direkt eller hash):
* Vanliga textlösenord (från överträdelse):
* Förvara aldrig dina nuvarande användarlösenord i vanlig text. Om du gör det är det en enorm säkerhetsrisk.
* Hash och salt de vanliga textlösenorden från överträdelsen med * samma * algoritm och salt som används för din användardatabas.
* Jämför den resulterande hash med hashen i dina nuvarande användarlösenord. En match anger ett komprometterat konto (användaren använde samma lösenord).
* hashade lösenord (från överträdelse):
* Om din användardatabas använder * samma * hash -algoritmen som överträdelsen (osannolikt men möjligt) kan du direkt jämföra hash. En match betyder ett komprometterat konto.
*Om hash -algoritmerna skiljer sig kan du inte direkt jämföra hashen *. Hashing är en envägsfunktion. Du måste lita på andra indikatorer (användarnamn/e -postmatchning) och uppmuntra användare att ändra sina lösenord.
* användarnamn/e -post endast (inget lösenord): Även om ett överträdelse endast innehåller användarnamn eller e -postadresser, överväg de konton som potentiellt komprometteras. Uppmuntra användare att ändra sina lösenord, särskilt om de kanske använder samma lösenord någon annanstans.
4. Sammanfattning och rapportering:
* Räkna komprometterade konton: Baserat på matchningsprocessen räknar antalet konton som identifierats som att ha komprometterat lösenord.
* kategoriseras av svårighetsgrad: Du kanske vill kategorisera komprometterade konton baserat på känsligheten för de data de har åtkomst till. Till exempel:
* Hög:Konton med administrativa privilegier eller tillgång till känslig finansiell information.
* Medium:Konton med tillgång till personlig information eller konfidentiell affärsdata.
* Låg:Konton med begränsad åtkomst eller offentlig information.
* Rapportresultat: Generera en rapport som sammanfattar antalet komprometterade konton, svårighetsnivåerna och eventuella trender som observerats. Denna rapport bör delas med relevanta intressenter (t.ex. säkerhetsteam, IT -avdelning, ledning).
* Historisk spårning: Håll ett register över tidigare lösenord Hitta Tallies för att spåra trender i säkerhetsställning och effektivitet av minskningsinsatser.
5. Sanering och mildring:
* Lösenordsåterställningspolicy: Tjäna lösenordsåterställningar för komprometterade konton. Helst tvinga en återställning av lösenord vid nästa inloggningsförsök.
* Multi-Factor Authentication (MFA): Implementera MFA för alla konton, särskilt de med förhöjda privilegier. MFA minskar avsevärt risken för övertagande av konto, även om ett lösenord komprometteras.
* Lösenordskomplexitetskrav: Tvinga efter starka lösenordskomplexitetskrav (längd, teckentyper). Överväg att använda lösenordsentropispoäng för att mäta lösenordsstyrka.
* Lösenord svartlista: Implementera en svartlista för lösenord för att förhindra användare från att välja vanliga eller enkelt gissade lösenord. Tänk också på svartlistande lösenord som finns i kända överträdelser.
* Lösenordsövervakning och varningar: Övervaka kontinuerligt för överträdda referenser och varna användare om deras konton finns i ett överträdelse. Flera kommersiella tjänster erbjuder denna typ av övervakning.
* Användarutbildning: Utbilda användare om bästa praxis för lösenordssäkerhet, inklusive vikten av att använda starka, unika lösenord, undvika återanvändning av lösenord och möjliggöra MFA.
* Regelbundna säkerhetsrevisioner: Utför regelbundna säkerhetsrevisioner och bedömningar av sårbarhet för att identifiera och hantera potentiella säkerhetssvagheter.
Viktiga överväganden:
* integritet: Var extremt försiktig när du hanterar känsliga data som lösenord. Uppfyller alla relevanta sekretessregler (t.ex. GDPR, CCPA). Implementera lämpliga åtkomstkontroller och säkerhetsåtgärder för att skydda data.
* Legal: Rådgör med juridisk rådgivare för att säkerställa att alla tillämpliga lagar och förordningar om dataintrång och sanering följs.
* Falska positiva/negativa: Matchningsprocessen är inte perfekt. Det kan finnas falska positiver (konton felaktigt identifieras som komprometterade) och falska negativ (komprometterade konton missade). Undersök misstänkta matcher och förfina dina processer.
* Salt: Använd alltid unika salter när hashing -lösenord. Om du använder samma salt för alla lösenord kan en angripare förekomma en regnbågsbord och spricka flera lösenord snabbt.
* hashing algoritm: Välj en stark och uppdaterad hash-algoritm som Bcrypt, Argon2 eller Scrypt. Undvik äldre algoritmer som MD5 eller SHA-1, som anses vara osäkra.
* Automation: Automatisera så mycket av processen som möjligt med skriptspråk (t.ex. python) och säkerhetsverktyg. Automation förbättrar effektiviteten och minskar risken för mänskligt fel.
Exempelsscenario (förenklad):
1. Förvärva överträdelsedata: Ladda ner en dataöverträdesdump från en ansedd källa.
2. Ren och deduplikat: Ta bort duplikatposter och e -postadresser för format konsekvent.
3. Matcha användarnamn: Jämför e -postadresserna i överträdelsedata med e -postadresserna för användare i din användardatabas. Låt oss säga 100 e -postadresser match.
4. hash och jämför lösenord: Överträdesdata innehåller lösenord för vanliga text. Hash och salt dessa lösenord med samma algoritm och salt som du använder för din användardatabas. Jämför de resulterande hasharna med Hashed -lösenorden i din användardatabas. Låt oss säga att 30 av de 100 matchade kontona har samma lösenordshash.
5. Tally: Du har 30 bekräftade komprometterade konton (lösenord matchade). Du har också 70 potentiellt komprometterade konton (användarnamn/e -postmeddelanden matchade, men lösenord kunde inte bekräftas).
6. Remediation: Tvinga lösenord återställs för alla 100 konton och uppmuntra användare att aktivera MFA.
Genom att följa dessa steg kan du effektivt stämma lösenordsfynd, bedöma påverkan på din organisation och vidta lämpliga åtgärder för att mildra riskerna. Kom ihåg att detta är en pågående process som kräver vaksamhet och en proaktiv strategi för säkerhet.
