Os achados da senha de contatação envolvem determinar quantas contas foram comprometidas devido a senhas vazadas ou rachadas. É uma etapa crucial para avaliar o impacto de uma violação de dados ou vazamento de senha. Aqui está um colapso do processo:
1. Aquisição de dados: *
Brecha Agregadores de dados: Serviços como eu fui pwned (HIBP) e bancos de dados similares baseados em assinatura coletam dados de violações de dados divulgadas publicamente. Eles indexam endereços de nome de usuário/e -mail e, às vezes, senhas associadas.
*
logs internos: Se você é uma empresa, pode ter registros internos de tentativas de login com falha, solicitações de redefinição de senha ou anomalias sugerindo contas comprometidas.
*
Monitoramento da Web Dark: Serviços especializados rastejam a Web Dark para menções de seu domínio, nomes de empresas ou credenciais de usuário sendo negociados ou discutidos.
*
Vulnerabilidade Scanns: As ferramentas de segurança que verificam as vulnerabilidades e as configurações incorretas às vezes podem revelar credenciais expostas em arquivos de configuração, repositórios de código ou bancos de dados.
2. Processamento e desduplicação de dados: *
Limpe os dados: Os dumps de violação geralmente contêm duplicatas, formatação incorreta e dados irrelevantes. Remova caracteres estranhos, normalize os formatos de dados (por exemplo, endereços de email) e garanta a consistência dos dados.
*
desduplicação: Elimine as entradas duplicadas em várias fontes de violação para evitar a superfície. Isso pode ser desafiador, pois os dados podem ser sutilmente diferentes (por exemplo, variações na capitalização de email). Use técnicas como correspondência difusa ou ligação de registro.
*
Hash e salga: Se as senhas nas violações estiverem em texto simples, imediatamente as hash e as salgam usando um algoritmo forte (por exemplo, BCRYPT, ARGON2, SCRYPT).
Nunca armazene as senhas em texto simples! Se as senhas já estiverem hash, preserve os hashes existentes para comparação posteriormente.
3. Credenciais correspondentes: *
Compare com o banco de dados do usuário existente: Combine os endereços de usuário/email comprometidos com os dados de violação com o banco de dados do usuário existente. Esta é a etapa crítica na identificação de contas afetadas.
*
Comparação de senha (direta ou hashed): *
Senhas de texto simples (da brecha): *
Nunca armazene suas senhas de usuário atuais em texto simples. Se o fizer, é um enorme risco de segurança.
* Hash e sal, as senhas de texto sem formatação da violação usando o mesmo algoritmo * * usado para o banco de dados do usuário.
* Compare o hash resultante com os hashes das senhas atuais do usuário. Uma correspondência indica uma conta comprometida (o usuário usou a mesma senha).
*
Senhas de hash (da brecha): * Se o banco de dados do seu usuário usar o mesmo algoritmo * Hashing como a violação (improvável, mas possível), você poderá comparar diretamente os hashes. Uma correspondência significa uma conta comprometida.
*Se os algoritmos de hash diferirem, *você não poderá comparar diretamente os hashes *. Hashing é uma função unidirecional. Você precisará confiar em outros indicadores (correspondência de nome de usuário/e -mail) e incentivar os usuários a alterar suas senhas.
*
Nome de usuário/e -mail apenas (sem senha): Mesmo que uma violação contém apenas nomes de usuário ou endereços de email, considere essas contas potencialmente comprometidas. Incentive os usuários a alterar suas senhas, especialmente se eles podem usar a mesma senha em outro lugar.
4. Contatando e relatórios: *
Contas de contas comprometidas: Com base no processo de correspondência, conte o número de contas identificadas como tendo senhas comprometidas.
*
Categorizar por gravidade: Você pode querer categorizar contas comprometidas com base na sensibilidade dos dados que eles acessam. Por exemplo:
* Alto:contas com privilégios administrativos ou acesso a dados financeiros confidenciais.
* Médio:contas com acesso a informações pessoais ou dados comerciais confidenciais.
* Baixo:contas com acesso limitado ou informações públicas.
*
Resultados do relatório: Gere um relatório resumindo o número de contas comprometidas, os níveis de gravidade e quaisquer tendências observadas. Este relatório deve ser compartilhado com as partes interessadas relevantes (por exemplo, equipe de segurança, departamento de TI, gerenciamento).
*
Rastreamento histórico: Mantenha um registro de senha passada, encontre as contas para rastrear as tendências na postura de segurança e na eficácia dos esforços de mitigação.
5. Remediação e mitigação: *
Políticas de redefinição de senha: Aplicar a redefinição de senha para contas comprometidas. Idealmente, force uma redefinição de senha na próxima tentativa de login.
*
Autenticação multifatorial (MFA): Implemente o MFA para todas as contas, especialmente aquelas com privilégios elevados. O MFA reduz significativamente o risco de aquisição da conta, mesmo que uma senha seja comprometida.
*
Requisitos de complexidade de senha: Aplicar requisitos de complexidade de senha fortes (comprimento, tipos de caracteres). Considere usar a pontuação da entropia de senha para medir a força da senha.
*
Password BlackListing: Implemente uma lista negra de senha para impedir que os usuários escolham senhas comuns ou facilmente adivinhadas. Além disso, considere as senhas da lista negra encontradas em violações conhecidas.
*
Monitoramento e alertas de senha: Monitore continuamente as credenciais violadas e alerta os usuários se suas contas forem encontradas em uma violação. Vários serviços comerciais oferecem esse tipo de monitoramento.
*
Educação do usuário: Eduque os usuários sobre as melhores práticas de segurança de senha, incluindo a importância de usar senhas fortes e exclusivas, evitar a reutilização de senha e ativar o MFA.
*
auditorias de segurança regulares: Realize auditorias regulares de segurança e avaliações de vulnerabilidade para identificar e abordar possíveis fraquezas de segurança.
Considerações importantes: *
Privacidade: Seja extremamente cuidadoso ao lidar com dados confidenciais, como senhas. Cumprir todos os regulamentos de privacidade relevantes (por exemplo, GDPR, CCPA). Implementar controles de acesso apropriados e medidas de segurança para proteger os dados.
*
Legal: Consulte o advogado para garantir a conformidade com todas as leis e regulamentos aplicáveis sobre a notificação e remediação de violações de dados.
*
falsos positivos/negativos: O processo de correspondência não é perfeito. Pode haver falsos positivos (contas incorretamente identificadas como comprometidas) e falsos negativos (contas comprometidas perdidas). Investigue correspondências suspeitas e refine seus processos.
*
sal: Sempre use sais exclusivos quando hash de senhas. Se você usar o mesmo sal para todas as senhas, um invasor poderá pré -computar uma tabela de arco -íris e quebrar várias senhas rapidamente.
*
algoritmo de hash: Escolha um algoritmo de hash forte e atualizado como BCRYPT, ARGON2 ou SCRYPT. Evite algoritmos mais antigos como MD5 ou SHA-1, que são considerados inseguros.
*
Automação: Automatize o máximo possível do processo usando linguagens de script (por exemplo, Python) e ferramentas de segurança. A automação melhora a eficiência e reduz o risco de erro humano.
Cenário de exemplo (simplificado): 1.
adquirir dados de violação: Faça o download de um despejo de violação de dados de uma fonte respeitável.
2.
Limpo e desduplicate: Remova as entradas duplicadas e formate os endereços de email de forma consistente.
3.
Combine nomes de usuário: Compare os endereços de email nos dados de violação com os endereços de email dos usuários no banco de dados do usuário. Digamos que 100 endereços de e -mail correspondam.
4.
Hash e compare senhas: Os dados de violação contêm senhas de texto simples. HASH e SALT essas senhas usando o mesmo algoritmo e sal que você usa para o banco de dados do usuário. Compare os hashes resultantes com as senhas de hash no banco de dados do usuário. Digamos que 30 das 100 contas correspondentes tenham o mesmo hash de senha.
5.
registro: Você tem 30 contas comprometidas confirmadas (senhas correspondentes). Você também tem 70 contas potencialmente comprometidas (nomes de usuário/e -mails correspondentes, mas as senhas não puderam ser confirmadas).
6.
Remediação: A senha de força é redefinida para todas as 100 contas e incentive os usuários a ativar o MFA.
Seguindo essas etapas, você pode efetivamente calcular a senha, avaliar o impacto em sua organização e tomar medidas apropriadas para mitigar os riscos. Lembre -se de que este é um processo contínuo que requer vigilância e uma abordagem proativa da segurança.