防止在企业环境中使用弱密码和泄露密码对于您的 IT 部门来说是一项易于管理的任务,但是最终用户共享业务关键数据以完成工作的其他服务呢?他们可能会将您的组织置于危险之中,Specops Software 的团队决定确定看看。

password-cybersecurity-mobile.webp

Specops Software 调查了五种常见 Web 服务的要求,以查看泄露的密码是否会为在 Active Directory 网络之外寻找公司信息的黑客打开大门。

换句话说,如果黑客无法直接访问公司的数据,他们可能会使用访问公司使用的服务的后门方法来了解该公司的易受攻击位置。我们知道这种影子 IT 对组织来说是有风险的,因为它超出了大多数 IT 安全团队的管辖范围——这些数据向我们展示了它的风险有多大。

Specops 开发团队调查了来自不同行业的五种流行服务,例如电子商务、项目管理、电子邮件营销和客户支持。

该分析将密码要求与 Specops Breached Password Protection 列表的子集进行了比较,其中包含 10 亿个已知的泄露密码。

1 Shopify

电子商务巨头 Shopify 被全球超过 390 万个实时网站使用。虽然 Shopify 确实提供了双重身份验证 (2FA),但在创建帐户时它不是必需的。Shopify 不会执行泄露的密码检查。

Shopify 的密码要求:

  • 您的密码必须至少为 5 个字符,并且不能以空格开头或结尾

在检查 10 亿个已知泄露密码列表时,Specops 研究人员发现 99.7% 的密码符合 Shopify 的要求。

Shopify 并未阻止在服务上的密码中使用 Shopify 一词,导致发现了 18 个包含该名称的密码,例如 shopifyseoexpert、shopify、shshopify、myshopify 和 shopify123。

2 Zendesk

Zendesk 是一家提供客户沟通和支持服务的 SaaS 公司,在使用该服务创建新帐户时提供 2FA,但这不是必需的。Zendesk 不会执行泄露密码检查,从而导致密码被接受。不幸的是,在测试的已知泄露密码中,只有不到 2% 的密码被 Zendesk 的密码策略阻止。

Zendesk 的密码要求包括:

  • 必须至少为 5 个字符
  • 必须少于 128 个字符
  • 必须不同于电子邮件地址

Specops 的研究表明,在分析的 10 亿个受感染者中,99.03% 满足 Zendesk 密码要求,该要求至少需要 5 个字符,并且密码格式不模仿电子邮件地址@..

Zendesk 不会阻止在密码中使用公司名称,从而导致发现五个包含 Zendesk 单词的泄露密码。

3 Trello

看板式项目管理服务 Trello 阻止了不到 13% 的已知泄露密码。Trello 确实提供 2FA,但这不是创建帐户时的要求,也不会执行泄露的密码检查。

Trello 的密码要求是密码必须至少包含 8 个字符。

在检查的 10 亿个已知泄露密码中,82.9% 符合 Trello 的 8 个字符长度要求。Trello 并没有停止在密码创建中使用 Trello 这个词,这导致分析的数据集中有 1454 个密码。

4 Stack Overflow

Stack Overflow 是一个供开发人员学习和分享知识的公共论坛,它的密码策略更加复杂,在所分析的 10 亿个泄露密码中,有近一半 (46%) 被屏蔽。Stack Overflow 似乎不提供 2FA 或执行泄露密码检查。

Stack Overflow 的密码要求:

  • 密码必须至少包含 8 个字符,包括至少 1 个字母和 1 个数字

Stack Overflow 不会阻​​止在密码中使用服务名称,从而导致密码泄露,例如 stackoverflow1993、stackoverflow1 和 stackoverflow1111。

5 Mailchimp

电子邮件营销服务 Mailchimp 是工作相关服务中表现最好的,它分析并阻止了 98% 的已知泄露密码。这要归功于执行复杂的密码策略,尽管这种复杂程度很可能会导致其他不良密码行为,例如密码重用和密码被写下。Mailchimp 不需要 2FA,执行受损密码检查或阻止在密码中使用 mailchimp 一词。

Mailchimp 的密码要求:

  • 一个小写字符
  • 一个大写字符
  • 一个号码
  • 一个特殊字符
  • 最少 8 个字符

虽然 Mailchimp 仅根据密码要求就可以成功阻止 98.7% 的已知泄露密码,但该服务不检查泄露密码这一事实意味着 Password1!(出现在 Specops Breached Password Protection 上的密码)是允许的。

这些数据对您的组织意味着什么
当您将任何公司信息信任给第 3 方网站或应用程序时,您就会将该数据置于泄露风险之中。全面审查您计划与之开展业务的供应商至关重要,尤其是当他们存储关键业务数据(如支付信息、代码或敏感用户数据)时。

首先,使用Specops Password Policy 之类的工具确保您的组织不会暴露于已知的泄露密码,该工具可阻止超过 20 亿个泄露的密码并实时计数。您可以在 Active Directory 中免费对其进行测试,让您的客户和 IT 部门放心。

接下来的步骤包括循环访问您的最终用户,以确保他们在设置公司帐户之前与 IT 部门一起审查这些第 3 方站点。建立一个下载或使用 Web 应用程序的流程,这是您运营原则的标准部分。确保最终用户教育包括将您的数据信任给不值得信任的主机的风险。

最后,是时候考虑使用密码管理器了。借助内置的密码策略、用于更安全协作的共享保管库以及创建和存储安全选项的密码生成器,它们是将责任交给最终用户的绝佳选择。

Tags: none

我有个想法