来自 应用 2022-06-09 06:00 的文章

ddos防御攻击_建筑安全网防护网_零误杀

ddos防御攻击_建筑安全网防护网_零误杀

PhishCatch:从内部输出检测密码重复使用。TirFollowMar 23·12分钟读取

一个加强密码卫生的浏览器扩展

为了加强Palantir的密码卫生,我们的信息安全团队与SpecterOps的朋友进行了深入合作,防御cc盾,试图创建一种解决方案,用于检测密码重用,即使端点不在通过网络遥测进行检测的范围内。随着新冠病毒-19的出现以及我们绝大多数员工转向远程工作,这变得更加紧迫。例如,许多帕兰提亚人根本没有使用完整隧道VPN所需的网络或带宽。因此,我们的全方位网络安全控制和检测,包括我们的密码重复使用检测,高防cdn万能,可能只适用于其网络流量的一小部分。

考虑到解决问题的几种方法,我们发现,浏览器扩展最有效地降低了整个车队的密码重复使用和网络钓鱼风险。在其核心,PhishCatch(GitHub)是一个浏览器扩展,它将用于公司资源的密码与其他地方使用的密码进行比较,但与以前类似描述的工具相比,它更健壮、更通用。这篇博文解释了我们构建PhishCatch的动机,并描述了它是如何在后台工作的。

PhishCatch现已在Chrome网络商店中提供。此外,作为我们对开源安全承诺的一部分,我们正在公共GitHub页面上发布PhishCatch源代码、策略模板和相关文档。我们正在扩展我们的责任披露计划,以将PhishCatch包括在范围内,并承诺进行定期应用程序安全评估并发布评估结果,以验证扩展的安全性。我们最深切地希望其他网络防御者能够使用PhishCatch来帮助保护他们的环境免受网络钓鱼和糟糕的凭证卫生。

在企业中重复使用密码

良好的密码卫生(或缺乏)是一种对任何组织的安全态势都会产生极其严重影响的做法。对身份验证工作流的改进,如强制多因素身份验证、密码审核和禁用列表、帐户锁定阈值和无密码身份验证,使帐户泄露变得更加困难,破坏性更小。然而,大多数系统仍然基本上依赖密码进行身份验证。

ddos防御攻击_建筑安全网防护网_零误杀

xkcd 792,密码重用,显示在CC BY-NC 2.5下。

浏览器越来越成为业务和个人任务的主要位置,通常同时进行。桌面应用程序和命令行界面提供更专业的功能,但大多数用户每天只通过浏览器与企业和生产应用程序交互。单点登录(SSO)帮助企业管理web生态系统固有的身份验证复杂性,但这也将风险集中在单一的"可钓鱼"失败点上。

2019年12月,谷歌的一项研究表明,只有35%的受访者在他们使用的每个帐户上使用了唯一的密码-也许更令人震惊的是,13%的人在每个帐户上重复使用相同的密码。

在传统意义上,在新冠疫情爆发前的办公环境中,安全团队可以在网络周边实施安全工具,以控制和监控员工行为。这些工具在更复杂的设置中,对网络流量进行解密,以识别密码重用或盗窃。现在远程工作已经成为新的标准,传统的密码重用检测策略被颠覆或完全不相关。

为了更好地了解问题的范围,让我们首先来看看当前的风险状况:

密码泄露的三种方式

密码泄露很少在真空中发生-无论是故意触发还是简单的人为错误,人类行为是主要因素。

故意账户泄露:坏行为人想要你的密码,然后想出一个办法骗你把它送人。最常见的是,这是一封钓鱼电子邮件,提示用户访问假登录页面,受害者在其中输入真实凭据。

密码重复使用:计算机系统希望人们根据人类难以记忆的规则选择密码。现实世界中的一种常见做法是创建满足大多数复杂要求的少量密码,并根据需要在它们之间进行轮换。不幸的是,这也意味着破坏一个位置会导致其他位置的潜在破坏——如果其中一个重用位置是公司环境,则这是一个特别麻烦的业务风险。

肌肉记忆:我们当中谁没有在错误的位置心不在焉地输入真实密码?登录失败,你对错误嗤之以鼻,然后继续你的一天-没有造成伤害,对吧?尽管身份验证失败,但无法完全保证不会发生泄漏。该站点可能以明文形式记录所有身份验证尝试,可能正在运行键盘记录器,或任何其他潜在问题。没有人喜欢旋转他们的密码,但即使是因为这个愚蠢的错误,也必须假设密码被破解。

有三种方法可以阻止泄露

幸运的是,人类的行为可以在某种程度上被预期,并被可爱地重定向到期望的结果——或者至少在出现问题时被监控。