行不通的安全方法No.5:密码强度无法保护你
这是经常听到的安全口头禅:创建一个高强度密码,并且定期更换。但事实上,很多用户在多个网站和安全领域使用相同的密码,并且用户还可能向随机电子邮件透露他们的密码,很多最终用户根本不那么关心他们的密码安全。
现在更大的问题是,大多数攻击者也不在乎安全密码。他们诱骗最终用户运行木马程序,然后获得管理员权限,获取密码哈希值。
入侵检测系统(IDS)是你愿意相信的安全技术类型。你定义了一堆“攻击”签名,如果入侵检测系统检测出网络流量中存在相关字符串或者行为,它就会发出警告或者阻止攻击。但与其他安全技术一样,入侵检测系统并没有那么好用。
首先,没有办法将所有有效的攻击签名堆在你的企业中。最好的入侵检测系统可能包含数百个签名,但存在数以万计的恶意程序企图攻击你的系统。你可以自己向IDS添加数以万计的签名,但这回减慢所有监控的流量。另外,IDS已经出现很多误报时间,所有警报都被像防火墙日志那样处理:被忽视和未读。
IDS的失误是因为大多数攻击者都搭载合法访问中。IDS如何能够分辨CFO查询其财务数据库和国外攻击者使用该CFO的计算机访问相同的数据库呢?它们不能,根本没有办法判断查询的意图。
行不通的安全方法No.7:PKI已经被破坏
公共密钥基础设施很好用,但问题是很多PKI并不安全,而且大多被忽略,甚至当它们在公共部门完美运行的时候。
在过去一年或者两年中,我们已经看到几个合法公共证书办法机构遭到攻击,使攻击者能够访问其签名密钥,这原本应该是最需要受到保护的信息,并且,攻击者能够发布欺诈密钥来用于其他攻击。
即使PKI仍然强大和完美,人们并不在乎。大多数最终用户当看到浏览器警告说“数字证书不可信任”时,他们仍然会点击“忽略”按钮。他们很高兴地绕过安全带来的不便,并继续流浏览网页。
部分问题在于使用数字证书的网站和程序并没有认真对待数字证书,导致每天都会发生证书错误消息。而如果最终用户不忽略数字证书错误信息的话,他们将无法继续其网络生活,有时候包括远程访问其自己的工作系统。浏览器供应商可以对数字证书错误进行整治,使网站或者服务不会出现任何错误,但客户可能会选择另一个浏览器。最终,每个人都愉快地忽略我们的公共密钥系统,大家都不在乎PKI。
(责任编辑:闫小琪)
