来自 DDOS 2021-06-10 18:21 的文章

高防_cc防护喷雾是什么意思_怎么办

高防_cc防护喷雾是什么意思_怎么办

ImmuniWeb>安全博客Human Factor-敏感数据暴露的致命弱点2.7k 26 2 17 12更多7 1 6 2018年8月30日,星期四,阅读时间:6分钟。敏感数据暴露在OWASP十大web应用程序安全风险中排名第三。我们已经研究过由于缺乏访问控制而导致的数据库暴露——这通常仍然意味着密码。这里我们来看看如何管理密码和用户之间的动态关系。2017年Verizon数据泄露调查报告(DBIR)称,启用ddos攻击防御,81%的黑客相关数据泄露涉及密码被盗。最近的2018年DBIR将被盗凭证分为不同的类别,稀释了整体数字。尽管如此,在网络应用程序攻击方面,据Verizon称,防御ddos收费,81%的与黑客相关的数据泄露都涉及密码被盗。"由于过滤了使用从客户拥有的设备中窃取的凭证对web应用程序进行的僵尸网络相关攻击,这种模式中的漏洞数量有所减少。在涉及web应用程序的入侵行为中,使用被盗的凭证仍然是最常见的黑客行为,其次是SQLi。"管理人的一面,即保存数据安全密钥以保护敏感数据,这限制了授权用户的访问。尽管反复证明密码是不够的,而且有人预测密码会消亡,但密码仍然是访问控制的主要方法。蒂科奇2017年的一份报告发现,全世界有900亿个密码在使用;而且它们的使用仍在增长。预计到2020年将达到3000亿。密码本身并不是天生不安全的,而是用户和网站对它们的不当使用导致数据泄露。因此,如果观察到更好的密码卫生,则暴露的数据将更少。用户摩擦更好的密码设计来自于理解用户体验摩擦(UXF,或者更常见的,摩擦)的概念。摩擦可以被视为用户感到麻烦的程度-摩擦越大,用户就越不愿意去其他地方或试图绕过限制(例如,在多个帐户上使用相同的容易记住的密码)。从设计的角度来看,完美的应用程序的摩擦系数为零。然而,不可回避的事实是,安全总是会增加摩擦;安全越大,摩擦就越大。改善密码卫生的设计难题是在不增加摩擦的情况下增加安全性。设计应用程序开发人员可以通过简单地禁止在应用程序中使用弱密码来提高密码的质量。密码注册过程至少需要16个字符,由大小写字符、数字和特殊字符组成。密码注册过程至少需要16个字符,由大小写字符、数字和特殊字符组成。这将不可避免地提高安全性,但以更高的摩擦系数为代价。如果要求开发人员尽可能减少摩擦,那么可以通过拒绝前50个(或者更多个)最常见的密码来改进它。GitHub上最流行的10000个密码列表。这可以通过限制登录失败次数来支持,比如说,在锁定帐户一个小时左右之前,将失败次数限制在3到5次。由于黑客经常使用脚本循环使用最流行的密码,这两个元素将阻止许多针对密码的低级自动暴力攻击。密码建议许多用户根本不明白使用和重复使用容易记住的弱密码的危险性。用简单的英语写一个醒目的密码建议页面会有帮助。它可以解释为什么弱密码是危险的(攻击者使用字典和彩虹表);以及为什么应该避免重复使用密码(攻击者可以花时间从其他网站窃取数据库,破解密码,然后卖给其他黑客)。可以解释passphrase vs password选项。密码短语相对来说很难破解,但是对于用户来说非常容易记住。这是英国政府青睐的一个选项:它比简单的单词密码提高了安全性,同时减少了长而复杂密码的摩擦。该页面还可以提供建议,并举例说明如何使用密码管理器生成强大、唯一的密码并确保其安全。管理保持数据安全的服务器端实施MFA多因素身份验证需要使用其他识别因素。如果密码是第一个因素(这是你知道的),第二个因素可能是你拥有的东西(比如说,一个物理或虚拟令牌),或者你是什么(生物特征因素,比如指纹、声音或面部图像)。强制实施多因素身份验证通常被认为是当今的一项基本要求,但它并不像看上去那么简单。首先,它通常会显著增加用户摩擦。很难将MFA强加于你希望欢迎访问你网站的客户,因为用户摩擦很大,他们只会去别的地方。其次,一些专家认为生物识别技术最终不太安全。如果生物识别模板被盗,用户就无法像更改被盗密码一样更改自己的身份。第三,随着时间的推移,几乎所有的生物特征MFA系统都被破坏或欺骗。最后,最常见的MFA形式——发送给手机的虚拟令牌——不再被认为是安全的。Reddit在2018年6月被攻破,此前攻击者截获了第二个发送到手机的因素。当时,F-Secure的Sean Sullivan评论说,"在这一点上,对管理员使用基于SMS的MFA应该被认为是疏忽大意。""在这一点上,对管理员使用基于SMS的MFA应该被认为是疏忽大意。"考虑行为生物特征行为生物识别是一种随着机器的进步而迅速改进的技术人工智能和学习。目前,它应该被用来支持密码;但可能会有一天它接近于替换密码。在最简单的层面上,行为生物特征可以是地理定位。如果一个用户总是从堪萨斯州登录,然后突然用另一个浏览器从中国登录,那么你可以质疑他是否是正确的用户。对于机器学习可以连续访问员工用户的内部应用程序,行为生物特征识别已经能够通过用户的键入模式、鼠标移动、语言模式和更多特征来识别用户。行为生物识别技术的最大优势在于它创造了一个零摩擦系数,是值得关注的未来。操作PAM和最小特权两个关键原则应该遵守。首先是最低特权。任何用户密码都不应允许该用户拥有超出该用户功能所需权限的权限。例如,允许用户发表文章或评论的网站应该确保这些用户对该网站无能为力。如果临时需要管理员权限,则必须在需要通过时将其删除。很难做到这一点,并且手动充分管理所有特权帐户(可能除了最小的公司)。Thycotic于2018年3月发布的一项针对500名全球IT安全专业人士的调查发现,62%的组织在特权访问的过程中失败;70%的组织未能完全发现特权帐户(而40%的组织根本没有发现这些帐户);55%的组织在员工被解雇后未能撤销访问权限。62%的组织在特权访问过程中失败,而70%的组织未能完全发现特权帐户。这意味着,为了确保应用最小特权,组织需要考虑采用特权访问管理(PAM)技术。测试您的密码文化有两个方面来测试您公司的密码文化:密码强度和用户行为。第一个可以通过渗透测试仪来完成,第二个可以通过模拟和测量的网络钓鱼和鱼叉式网络钓鱼进行。渗透测试可以用来测试你的安全性的任何部分。在这种情况下,ddos防御设置udplinux,指令是测试密码的强度和弹性。但重要的是要从结果中吸取教训并付诸行动。如果一个pentester能破解你的密码——哪怕只是其中一个——黑客也能。模拟鱼叉式网络钓鱼理论上不管你的密码策略有多强,腾讯ddos云防御,如果你的用户被网络钓鱼邮件欺骗,把他们的密码交给罪犯,那就毫无价值了。新的基于人工智能的网络钓鱼过滤器开始过滤网络钓鱼邮件,但并不完美。网络钓鱼是一个人类问题,仅靠技术还无法解决。最好的方法之一是教员工如何识别网络钓鱼,但这本身也是不够的。最好的方法是对您自己的员工执行出其不意的模拟网络钓鱼攻击。通过监测和测量结果,你将能够看到谁最有可能面临风险。然而,整个过程必须以高度的敏感度来完成,最好将该过程外包给专业的网络钓鱼培训公司。摘要最重要的一点是要明白,没有银弹可以保证只有授权用户才能访问敏感数据。安全性的目的不是让一个漏洞成为不可能(这本身是不可能的),而是让攻击你比攻击其他人更有吸引力。安全的目的是增加攻击者的痛苦体验。本博客中讨论的任何内容都无法阻止漏洞。然而,多种技术结合起来提供深度安全性将使您比许多竞争对手更安全,这是一个很有用的位置。""如今,数据泄露已经成为一种可悲的日常事务,"高科技桥梁公司创始人兼首席执行官伊利亚•科洛琴科说。。。入侵行为发生得越多,云端抗ddos防御服务,进一步的攻击就越成功,成为网络犯罪分子