Das Tallying -Passwort findet die Feststellung, wie viele Konten aufgrund von durchgesickerten oder rissigen Passwörtern beeinträchtigt wurden. Es ist ein entscheidender Schritt bei der Bewertung der Auswirkungen eines Datenverstoßes oder eines Kennwortlecks. Hier ist eine Aufschlüsselung des Prozesses:
1. Datenerfassung:
* Datenaggregatoren durch Breach: Dienste wie ich wurde PWNED (HIBP) und ähnliche abonnementbasierte Datenbanken sammeln Daten von öffentlich offengelegten Datenverletzungen. Sie indizieren Benutzername/E -Mail -Adressen und manchmal zugehörige Passwörter.
* Interne Protokolle: Wenn Sie ein Unternehmen sind, haben Sie möglicherweise interne Protokolle mit fehlgeschlagenen Anmeldeversuchen, Anfragen des Kennwortresets oder Anomalien, die kompromittierte Konten vorschlagen.
* Dark Web Monitoring: Spezialisierte Dienste kriechen das dunkle Web, um die Erwähnungen Ihrer Domain-, Firmennamen oder Benutzeranmeldeinformationen zu erwähnen oder zu besprechen.
* Sicherheitsschilder: Sicherheitsinstrumente, die nach allgemeinen Schwachstellen und Missverständnissen suchen, können manchmal exponierte Anmeldeinformationen in Konfigurationsdateien, Code -Repositories oder Datenbanken aufzeigen.
2. Datenverarbeitung und -D-Duplikation:
* Daten reinigen: Breach -Dumps enthalten häufig Duplikate, falsche Formatierung und irrelevante Daten. Entfernen Sie fremde Zeichen, normalisieren Sie Datenformate (z. B. E -Mail -Adressen) und sorgen Sie für die Datenkonsistenz.
* De-Duplizierung: Beseitigen Sie doppelte Einträge über mehrere Verletzungsquellen hinweg, um eine Überzugung zu vermeiden. Dies kann eine Herausforderung sein, da Daten subtil unterschiedlich sein können (z. B. Variationen der E -Mail -Kapitalisierung). Verwenden Sie Techniken wie Fuzzy -Matching oder Aufzeichnungsverknüpfung.
* Hashing und Salzen: Wenn die Passwörter in den Verstößen in einem einfachen Text sind, haben Sie sie sofort mit einem starken Algorithmus (z. B. Bcrypt, Argon2, Scrypt). Speichern Sie niemals Passwörter in einfachem Text! Wenn die Passwörter bereits gehasht sind, erhalten Sie den vorhandenen Hashes zum Vergleich später.
3. Übereinstimmende Anmeldeinformationen:
* Vergleichen Sie mit vorhandener Benutzerdatenbank: Übereinstimmen Sie die gefährdeten Benutzernamen/E -Mail -Adressen aus den Verstoßdaten mit Ihrer vorhandenen Benutzerdatenbank. Dies ist der kritische Schritt zur Identifizierung betroffener Konten.
* Passwortvergleich (direkt oder gehasht):
* Klartextkennwörter (aus Verstoß):
* Speichern Sie niemals Ihre aktuellen Benutzerkennwörter in einfachem Text. Wenn Sie dies tun, ist dies ein großes Sicherheitsrisiko.
* Hash und Salz die einfachen Textkennwörter aus dem Verstoß mit dem * gleichen * Algorithmus und Salz, das für Ihre Benutzerdatenbank verwendet wird.
* Vergleichen Sie den resultierenden Hash mit den Hashes Ihrer aktuellen Benutzerkennwörter. Eine Übereinstimmung gibt ein kompromittiertes Konto an (der Benutzer hat dasselbe Passwort verwendet).
* Hashed -Passwörter (aus Verstoß):
* Wenn Ihre Benutzerdatenbank den * gleichen * Hashing -Algorithmus als Verstoß verwendet (unwahrscheinlich, aber möglich), können Sie die Hashes direkt vergleichen. Eine Übereinstimmung bedeutet ein kompromittiertes Konto.
*Wenn sich die Hashing -Algorithmen unterscheiden, können Sie die Hashes nicht direkt vergleichen *. Hashing ist eine Einweg-Funktion. Sie müssen sich auf andere Indikatoren verlassen (Benutzername/E -Mail -Matching) und Benutzer ermutigen, ihre Passwörter zu ändern.
* Nur Benutzername/E -Mail (kein Passwort): Auch wenn ein Verstoß nur Benutzernamen oder E -Mail -Adressen enthält, sollten Sie diese Konten möglicherweise beeinträchtigen. Ermutigen Sie die Benutzer, ihre Passwörter zu ändern, insbesondere wenn sie an anderer Stelle das gleiche Passwort verwenden.
4. Tallying &Berichterstattung:
* Bezählung kompromittierte Konten: Zählen Sie basierend auf dem Übereinstimmungsprozess die Anzahl der als kompromittierten Kennwörter identifizierten Konten.
* kategorisieren nach Schweregrad: Möglicherweise möchten Sie kompromittierte Konten basierend auf der Empfindlichkeit der von ihnen zugegriffenen Daten kategorisieren. Zum Beispiel:
* Hoch:Konten mit Verwaltungsberechtigten oder Zugriff auf sensible Finanzdaten.
* Medium:Konten mit Zugriff auf persönliche Informationen oder vertrauliche Geschäftsdaten.
* Niedrig:Konten mit begrenztem Zugriff oder öffentlichen Informationen.
* Erkenntnisse Bericht: Generieren Sie einen Bericht, in dem die Anzahl der gefährdeten Konten, die Schweregrade und alle beobachteten Trends zusammengefasst sind. Dieser Bericht sollte an relevante Stakeholder (z. B. Sicherheitsteam, IT -Abteilung, Management) geteilt werden.
* Historisches Tracking: Halten Sie eine Aufzeichnung früherer Passworts auf, um Tends in Bezug auf die Sicherheitshaltung und die Effektivität von Minderungsbemühungen zu verfolgen.
5. Sanierung &Minderung:
* Richtlinien für Passwort zurücksetzen: Durchsetzen des Passwortwieders für kompromittierte Konten. Im Idealfall einen Passwort zurücksetzen beim nächsten Anmeldeversuch.
* Multi-Faktor-Authentifizierung (MFA): Implementieren Sie MFA für alle Konten, insbesondere für diejenigen mit erhöhten Berechtigungen. MFA reduziert das Risiko einer Übernahme des Kontos, auch wenn ein Passwort beeinträchtigt wird.
* Anforderungen an die Passwortkomplexität: Erzwingen Sie die Anforderungen an die Komplexität des Kennwortkennkörpers (Länge, Charaktertypen). Erwägen Sie, die Bewertung der Kennwortentropie zu verwenden, um die Passwortstärke zu messen.
* Passwort Blacklisting: Implementieren Sie eine Passwort -Blacklist, um zu verhindern, dass Benutzer gemeinsame oder leicht erratene Passwörter auswählen. Betrachten Sie auch die schwarzen Liste Passwörter in bekannten Verstößen.
* Kennwortüberwachung &Warnungen: Überwachen Sie kontinuierlich auf Verletzungsanmeldeinformationen und alarmierte Benutzer, wenn ihre Konten in einem Verstoß gefunden werden. Mehrere kommerzielle Dienstleistungen bieten diese Art der Überwachung an.
* Benutzerausbildung: Informieren Sie die Benutzer über Best Practices der Kennwortsicherheit, einschließlich der Bedeutung der Verwendung starker, eindeutiger Kennwörter, der Vermeidung der Wiederverwendung von Kennwort und der Aktivierung von MFA.
* reguläre Sicherheitsdienste: Führen Sie regelmäßige Sicherheitsaudits und Anfälligkeitsbewertungen durch, um potenzielle Sicherheitsschwächen zu identifizieren und anzugehen.
Wichtige Überlegungen:
* Privatsphäre: Seien Sie äußerst vorsichtig, wenn Sie sensible Daten wie Passwörter behandeln. Entsprechen allen relevanten Datenschutzbestimmungen (z. B. GDPR, CCPA). Implementieren Sie geeignete Zugriffskontrollen und Sicherheitsmaßnahmen, um Daten zu schützen.
* legal: Wenden Sie sich an den Rechtsbeistand, um die Einhaltung aller geltenden Gesetze und Vorschriften zur Benachrichtigung über Datenverletzungen und Sanierung sicherzustellen.
* falsch positive Aspekte/Negative: Der Übereinstimmungsprozess ist nicht perfekt. Es kann falsch positiv sein (Konten, die falsch als gefährdet identifiziert wurden) und falsch negative (kompromittierte Konten verpasst). Untersuchen Sie verdächtige Übereinstimmungen und verfeinern Sie Ihre Prozesse.
* Salz: Verwenden Sie immer einzigartige Salze, wenn Hashing -Passwörter. Wenn Sie das gleiche Salz für alle Passwörter verwenden, kann ein Angreifer eine Regenbogentabelle vorkomputieren und schnell mehrere Passwörter knacken.
* Hashing -Algorithmus: Wählen Sie einen starken und aktuellen Hashing-Algorithmus wie Bcrypt, Argon2 oder Scrypt. Vermeiden Sie ältere Algorithmen wie MD5 oder SHA-1, die als unsicher gelten.
* Automatisierung: Automatisieren Sie so viel Prozess wie möglich mithilfe von Skriptsprachen (z. B. Python) und Sicherheitstools. Die Automatisierung verbessert die Effizienz und verringert das Risiko menschlicher Fehler.
Beispielszenario (vereinfacht):
1. Erwerben Sie Breach -Daten: Laden Sie einen Datenverstoß -Dump von einer seriösen Quelle herunter.
2. sauber und de-duplikat: Entfernen Sie doppelte Einträge und formatieren Sie E -Mail -Adressen konsequent.
3. Benutzernamen übereinstimmen: Vergleichen Sie die E -Mail -Adressen in den Verstoßdaten mit den E -Mail -Adressen von Benutzern in Ihrer Benutzerdatenbank. Nehmen wir an, 100 E -Mail -Adressen überein.
4. Hash und vergleichen Sie Passwörter: Die Breach -Daten enthält Klartextkennwörter. Hash und Salz diese Passwörter mit demselben Algorithmus und Salz, den Sie für Ihre Benutzerdatenbank verwenden. Vergleichen Sie die resultierenden Hashes mit den Hashed -Passwörtern in Ihrer Benutzerdatenbank. Nehmen wir an, 30 der 100 übereinstimmenden Konten haben den gleichen Passwort -Hash.
5. Tally: Sie haben 30 bestätigte kompromittierte Konten (Passwörter übereinstimmen). Sie haben auch 70 potenziell kompromittierte Konten (Benutzernamen/E -Mails übereinstimmen, Passwörter konnten jedoch nicht bestätigt werden).
6. Sanierung: Erzwingen Sie das Zurücksetzen des Kennworts für alle 100 Konten und ermutigen Sie Benutzer, MFA zu aktivieren.
Wenn Sie diese Schritte befolgen, können Sie die Funde des Kennworts effektiv zählen, die Auswirkungen auf Ihr Unternehmen bewerten und geeignete Maßnahmen ergreifen, um die Risiken zu mildern. Denken Sie daran, dass dies ein fortlaufender Prozess ist, der Wachsamkeit und einen proaktiven Sicherheitsansatz erfordert.