資料結構
網路
關係資料庫管理系統
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法律研究什麼是第三方憑據?如何安全地管理它們?
在資訊科技領域,憑據充當身份識別。流行的雲計算服務提供商亞馬遜網路服務 (AWS) 擁有一個使用憑據系統的安全協議。使用者可以使用特定的數字程式接收臨時會話憑據,該程式包括訪問金鑰 ID、秘密訪問金鑰和安全令牌。
為了在網際網路和網路中建立全面且可靠的網路安全基礎設施,安全專家除了使用防火牆、入侵檢測系統和基於網路的反病毒軟體等其他技術外,還利用憑據。隨著安全和身份驗證計劃的複雜性增加,憑據技術的複雜性也在增加。
除了主要系統外,還有其他來源會導致有害的憑據洩露。公司使用的第三方程式使用的特權登入也需要得到保護。
雲平臺、軟體即服務 (SaaS) 和本地第三方程式(如 ERP 系統)都使用具有完全控制權的管理登入。這些帳戶應儘可能地保密,並受嚴格的密碼規則保護,使應用程式管理員能夠執行管理活動。
憑據填充
嘗試使用從一項服務的資料洩露中竊取的憑據登入到另一項不相關的帳戶被稱為“憑據填充”,這是一種網路攻擊。這種攻擊基於使用者將在多個服務中重複使用使用者名稱和密碼的假設。自動化和規模是機器人應用的兩個主要方面。為了防止憑據填充 -
限制並監控管理員密碼的使用。
避免重複使用憑據。
實施多因素身份驗證。
使用密碼管理器生成並存儲強密碼。
使用加密和強雜湊。
監控 lsass.exe、NTLM 和訪問控制列表。
如何洩露第三方憑據?
首先,儘管這違反了所有最佳實踐,甚至是最基本的安全措施,但公司有時會在文字文件或電子表格中簡單地列出所有應用程式及其憑據。對於沒有加密的駭客來說,這些記錄就像一座金礦。儘管看起來很明顯,但這些記錄本不應該建立。任何幾種安全密碼儲存方法都優於名為 passwords.txt 的記事本文件。您的個人憑據被公開的可能性更大,並且與大型應用程式公司的資料洩露具有相同的負面影響。
其次,針對某些組織修改的程式碼通常包含明文應用程式憑據。同樣,這違反了最佳實踐,因為它通常保留在程式碼本身中,而不是被加密和/或儲存在其他位置。當許多系統必須相互通訊並需要彼此訪問時,這對於整合或自動化目的很常見。根據最小許可權原則,這些整合應該使用僅具有執行其任務所需許可權的自定義帳戶。因此,不應為此目的使用管理應用程式憑據,這是一種捷徑,如果這些憑據被公開,可能會嚴重威脅應用程式及其資料。
如何安全地管理第三方憑據?
讓我們看看如何以安全的方式管理第三方憑據 -
您的團隊:保護您的第三方登入資訊
明文管理憑據很容易在數百個易受攻擊的網際網路面向服務中被發現;避免使用“password.txt”聽起來很尷尬地明顯。只有管理員才能訪問您的管理憑據。對於應用程式級訪問,請使用許可權較低的憑據。如果您需要以程式設計方式使用第三方憑據,請將它們安全地儲存在專為此目的而建立的產品中。我對 Secret Server 和 Vault 都有過積極的體驗。
您的供應商:使用安全問卷調查您的第三方供應商
大多數企業都可以理解保護其第三方憑據的概念。但是,使用安全問卷調查您的第三方供應商的重要性經常被忽視。
為什麼?舉個例子。即使憑據被洩露,兩因素身份驗證 (2FA) 也會在攻擊者和目標之間新增額外的保護層,是防止惡意使用第三方憑據的關鍵控制措施。但是,如果您的供應商應用程式中有一半甚至都沒有啟用 2FA,那麼擁有一個指定管理員憑據上 2FA 的密碼安全檢查表就沒有什麼意義。如果您認真對待衡量、監控和降低這種風險,則必須完全瞭解第三方供應商的安全態勢。您還需要讓他們對您的要求做出響應。
443 次檢視
