日前,Opera Software報告了一個安全漏洞,影響了其Web瀏覽器內(nèi)置密碼管理器的所有用戶。170萬用戶的同步密碼和身份驗證密碼都泄露了。值得贊揚的是,Opera似乎在采取相對迅速的行動來通知其用戶,在檢測到問題的一周內(nèi)向其用戶發(fā)送電子郵件通知其同步服務(wù),并在其安全博客上發(fā)布有關(guān)該服務(wù)的信息,但問題就出在這里。盡管他們本周可能已檢測到攻擊,但我們無法知道攻擊何時開始,甚至無法知道攻擊的真實程度,也無法知道。LinkedIn于2012年被黑客入侵,直到2016年,有人在網(wǎng)上發(fā)布了額外的1.17億封電子郵件和未加密碼的密碼后,才發(fā)現(xiàn)其全部內(nèi)容。您只能肯定地識別出已訪問了特定文件。您不能保證未訪問其他文件。你不能證明是負(fù)面的。
如果需要安全性,則需要假設(shè)可以訪問并且已經(jīng)訪問了所有文件。您需要圍繞“ 深度防御”的思想來設(shè)計系統(tǒng)。在企業(yè)級別,僅使用系統(tǒng)監(jiān)視軟件來檢測入侵何時發(fā)生還不夠。您需要日志以發(fā)現(xiàn)已訪問的內(nèi)容。您需要加密(以及良好的加密)以及正確的哈希密碼和加鹽密碼,以使讀取已讀取的數(shù)據(jù)更加困難。您需要防火墻,病毒掃描程序以及定期的安全審核,而且您總是需要更多。沒有太多的安全性可言。唯一真正的限制是成本和時間。
那么,如何減少實施安全解決方案所花費的時間和金錢呢?如何在不超出預(yù)算的情況下改進安全解決方案?
通過使用經(jīng)過廣泛嘗試,測試和改進的行之有效的解決方案。“ 只要有足夠多的眼球,所有的漏洞都是淺淺的 ”,眼球最多的地方就是開源世界。您認(rèn)為自己有多聰明都沒有關(guān)系。您將無法創(chuàng)建比世界領(lǐng)先的加密和哈希專家團隊更好的加密或哈希系統(tǒng)。共同創(chuàng)造和改進(您將不得不花費大量的金錢才能接近)。更重要的是,即使您以某種方式設(shè)法創(chuàng)造了幾乎一樣好的產(chǎn)品,但如果您將其保持為封閉源代碼,那么您將很快落伍,因為獨立開發(fā)人員和開發(fā)人員都發(fā)現(xiàn),報告并修復(fù)了等效于開源的錯誤。使用該軟件的數(shù)百萬公司。一些大型公司甚至擁有整個團隊,專門負(fù)責(zé)尋找(和報告)他人軟件中的錯誤以幫助修補它們。
在信息安全領(lǐng)域,有一種說法:“ 默默無聞的安全根本不是安全。盡管模糊不清的安全概念已經(jīng)被專家拒絕了數(shù)百年,但許多公司仍在實踐。甚至Opera試圖通知用戶違規(guī)行為時,也避免避免回答某些問題(他們之前已經(jīng)回答了其中的一些問題),這些問題將有助于驗證違規(guī)的嚴(yán)重性。Opera聲稱透露“他們的系統(tǒng)上的認(rèn)證密碼是如何準(zhǔn)備存儲的……只會幫助潛在的攻擊者,”但這離事實還遠(yuǎn)。只要使用安全系統(tǒng)并正確實施,揭示使用哪種加密系統(tǒng)都不會破壞它。實際上,Opera的主要競爭對手之一Firefox 專門詳細(xì)介紹了其密碼同步加密方法,以幫助提高其安全性。更糟糕的是,似乎泄漏的次數(shù)超過Opera最初允許的程度,Opera代表的評論顯示,Opera Sync用戶的瀏覽歷史和書簽也可能未經(jīng)加密就泄漏了。
在其中存在將您的密碼信任到封閉源服務(wù)的風(fēng)險。您無法驗證他們使用了什么安全措施,無法驗證它們是否已正確實施,無法驗證它們是否已正確監(jiān)視入侵等。這會導(dǎo)致您希望他們采取措施。正確地完成了所有操作,并且沒有采取任何措施(就像上面的LinkedIn一樣,您可能直到多年才發(fā)現(xiàn)他們沒有這樣做)。如果您的網(wǎng)站密碼泄露了,并且您在其他任何地方都使用了該密碼,那么您在所有這些網(wǎng)站上的帳戶都會受到威脅。
使用封閉源代碼服務(wù)還存在著風(fēng)險,那就是原本值得信賴的公司會成為壞人。如果一家公司被另一家公司收購或處于財務(wù)困境中,您可能會看到其公司文化發(fā)生重大變化。這可能導(dǎo)致有問題的公司將軟件更新推送到可以解密密碼(用戶不知道的情況)的軟件中,然后以純文本形式將其發(fā)送給公司,以使用戶可能不滿意。在某些情況下,您甚至可能會看到一家公司針對特定用戶部署了該應(yīng)用程序的修改版(如FBI最近試圖強迫Apple這樣做)。
Keepass安全研究人員通常推薦的唯一軟件是已由多個可信賴的第三方進行例行審核的軟件,而要實現(xiàn)這一目標(biāo)的唯一途徑就是開源。任何人都可以查看代碼,查找錯誤并為其提交補丁(而對于封閉源代碼軟件,人們只能查找錯誤,而不能修復(fù)它們)。幸運的是,有一個很棒的離線密碼管理器。KeePass具有例行的安全審核,到目前為止,尚未發(fā)現(xiàn)有這樣一種利用程序,即在您登錄KeePass時并不需要對計算機的完全管理訪問權(quán)(這突顯了深度防御和防止鍵盤記錄程序之類的重要性)。
KeePass解決了與封閉源密碼管理器和不使用密碼管理器相關(guān)的許多問題。通過允許您生成每個使用的站點唯一的偽隨機密碼,它避免了與在多個站點上重用同一密碼相關(guān)的問題。通過將您需要記住的號碼減少到只有幾個(如果需要,甚至只有一個),它可以降低弱密碼的風(fēng)險。它在本地進行管理,消除了在您不知情的情況下推送更新的風(fēng)險??梢允褂盟璧娜魏畏?wù)(Dropbox,Google Drive,OneDrive,MEGA等)在設(shè)備之間進行同步。它不是安全的“一勞永逸”,而是安全鏈中的重要環(huán)節(jié),有助于提供更多的安心。