È prassi comune registrare le password rifiutate?

Naviga le tue risposte
55

La selezione di password uniche per ogni scopo è una grande idea, in pratica ciò accade raramente. Pertanto molti selezionano le password da un pool personale di password facilmente memorizzabili. Quando si esegue l'autenticazione in sistemi che vengono utilizzati di rado, è molto probabile che un numero di password da tale pool venga provato in sequenza. In alternativa, le password non riuscite sono molto vicine alla password effettiva in caso di errore di battitura.

Dal momento che quasi nessuno descrive la politica della password in vigore, compreso il modo in cui vengono gestite le password rifiutate, si dovrebbe iniziare a supporre che queste siano raccolte in un database che viene venduto al miglior offerente?

Esiste una guida all'implementazione? Che cosa succede di solito con una password candidata quando questa viene rifiutata? Vengono registrati, immediatamente scartati o lasciati in attesa fino a quando i dati non vengono raccolti? Le procedure di gestione password non riuscite sono parte di tutti i controlli controllati? Sembra che ci siano molti requisiti di implementazione e raccomandazioni su come gestire le password valide, ma vaghe per quanto riguarda i valori delle password rifiutate.

Modifica

Cercherò di elencare qui le varie implementazioni che registrano le credenziali di sicurezza di login fallite per avere un'idea di quanto sia diffusa questa procedura:

Sistemi di gestione dei contenuti:

Joomla tramite Login log non riuscito plug-in

This Small Plug-in collect logs about each failed login attempt of your Joomla site’s administrator and sends an email about each of those to the super administrator of the site with the username, password, ip address and error.

KPlaylist v1.3 e v1.4 - un sistema PHP gratuito che rende disponibile la tua raccolta musicale via internet.

is logging the usernames and passwords of failed login attempts in the apache error log

Drupal 5.x prima della versione 5.19 e Drupal 6.x prima della versione 6.13 .

When an anonymous user fails to login due to mistyping his username or password, and the page he is on contains a sortable table, the (incorrect) username and password are included in links on the table. If the user visits these links the password may then be leaked to external sites via the HTTP referrer.

Software standalone

Server di report incluso con Symantec Client Security 3.1 e SAV CE 10.1

The administrator password for Symantec Reporting Server could be disclosed after a failed login attempt.

Linux:

OpenSSH via auth-passwd.c ; utilizzando PAM tramite sovraccarico della funzione pam_sm_authenticate

EDIT # 2

Sembra che vi sia un consenso, e la registrazione delle password o PINS falliti è considerata un serio / grave rischio per la sicurezza, tuttavia, per quanto ne so, i seguenti standard non forniscono alcuna guida, procedura controllata o controlli che affrontino specificamente questo problema. rischio:

  • PCI-DSS : procedure per le password trattate in 8.4. e 8.5. (le password non riuscite sono protette solo durante la trasmissione, dopo la convalida non sono considerate password, quindi non devono essere protette)

  • FIPS140-2 : autenticazione indirizzata in 4.3 (ciclo di vita di dati di autenticazione falliti solo parzialmente indirizzati)

posta Drew Lex 05.07.2012 - 00:59
fonte

5 risposte

61

La registrazione del valore di un tentativo fallito di password (cleartext o altro) sembra un anti-pattern di sicurezza. Non ho mai visto un'app Web che faccia questo, e non sono a conoscenza di nessun servizio di sistema predefinito come SSH che lo faccia. Come sottolineato da @tylerl di seguito, la maggior parte dei sistemi registra semplicemente le meta-informazioni su un tentativo di accesso (ad es. Nome utente, ora, forse indirizzo IP, ecc.).

Perché questo dovrebbe essere un anti-pattern di sicurezza

Non riesco a pensare a tre motivi per cui la registrazione del valore di un tentativo fallito di password è una cattiva idea:

1. User Typos

È estremamente comune per le persone digitare la password errata di uno o due caratteri. Esaminare un file di registro di tentativi falliti renderebbe facile la lettura di molti di questi, specialmente se si riuscisse a confrontare una sequenza di tentativi falliti con un'autenticazione corretta.

2. Indovinate-e-Check

Molte persone hanno due o tre password che attraversano per tutto. Di conseguenza, quando dimenticano la password che hanno usato su un determinato sito, le passano in rassegna tutte fino a quando non trovano una corrispondenza. Ciò renderebbe banale l'hacking dei loro account su altri siti.

3. Log Bloat

L'archiviazione delle password non riuscite non serve a nulla per la maggior parte dei servizi di autenticazione in produzione oggi. Mentre ci possono essere alcuni casi limite, per la maggior parte delle persone, la memorizzazione di questi dati sta semplicemente buttando via lo spazio su disco.

su legislazione pertinente / norme

Non conosco alcuno standard (PCI, HIPAA, ecc.) che specifichi specificamente le procedure per archiviare i tentativi di accesso falliti, ma ritengo che concedendo i fatti di cui sopra si possa fare una buona argomentazione legale sul perché gli stessi standard che applicare per memorizzare le password in generale dovrebbe valere anche per i tentativi di password non riuscita. In altre parole, si potrebbe argomentare che una password non riuscita è ancora categoricamente una password e, in quanto tale, è soggetta agli stessi standard.

Anche se io non sono certamente un avvocato, non vorrei che un giudice dovesse decidere se ero o meno negligente o in violazione degli standard del settore perché le password errate erano archiviate in chiaro e i consumatori ne subivano le conseguenze. Non penso che finirebbe con una decisione favorevole.

Sono d'accordo con l'OP sul fatto che potrebbe essere utile per i vari enti normativi affrontare in modo specifico questo problema (se effettivamente non lo hanno già fatto). A tal fine, il mio suggerimento sarebbe di creare uno standard di conformità per non archiviare il valore dei tentativi di password non riusciti.

    
risposta data 05.07.2012 - 02:19
fonte
14

Non esiste uno scopo legittimo per registrare le password in chiaro per qualsiasi applicazione; soprattutto per un login errato. Potrebbe essere registrato per caso: ho guardato casualmente auth.log per altri scopi e ho visto un utente digitare accidentalmente la propria password nel campo di accesso (e registro i campi di accesso per vedere quali account si tenta di registrare in) - tuttavia ne ho informato l'utente e hanno cambiato la loro password.

Sul rovescio della medaglia, come utente l'assunto prudente è quello di dire che ogni applicazione casuale che usi sta registrando ogni password di tentativi errati. Questo è il motivo per cui è una cattiva idea avere una piccola (tre) password casuali da scorrere, rispetto a una password unica per ogni sito gestito in un elenco di password crittografate (possibilmente utilizzando uno strumento come keepass).

In questa nota, Mark Zuckerberg (fondatore di facebook) è stato accusato da businessinsider.com di utilizzare registri di combinazioni login / password (anche da voci errate) da thefacebook.com (una versione precedente di facebook) per hackerare l'e-mail resoconti di giornalisti di Harvard Crimson che stavano indagando su di lui. Dalla posta giornaliera: :

However after further claims emerged, Zuckerberg apparently became anxious that the paper would run a story on him after all.

Business Insider claimed he then told a friend how he had hacked into the accounts of Crimson staff.

He allegedly told the friend that he used TheFacebook.com to search for members who said they were Crimson staff.

Then, he allegedly examined a report of failed logins to see if any of the Crimson members had ever entered an incorrect password into TheFacebook.com.

Anche un po 'rilevante xkcd (immagina che anche gli account malvagi abbiano registrato le password tentate per aumentare il loro tasso di successo).

    
risposta data 05.07.2012 - 07:03
fonte
6

Ci sono alcune risposte fantastiche sopra, quindi questa è solo una rapida e semplificata prospettiva dalle politiche governative degli Stati Uniti sulla gestione dei sistemi informatici che elaborano informazioni classificate.

(1) L'intero sistema informatico deve essere protetto secondo lo standard più elevato richiesto da tutti i dati su quella macchina. Ciò include i registri memorizzati sul o dalla macchina.

Ad esempio, se intenzionalmente o accidentalmente metti dati "segreti" su un computer, OGNI parte di quel computer deve ora essere protetta come informazione "segreta". Questo è il caso anche se hai un computer non classificato (come a casa per esempio) che ha ricevuto un'e-mail con informazioni riservate. L'intero computer e ogni cosa su di esso ora è classificato come "segreto".

(2) Anche le password di quella macchina sono classificate al livello più alto di protezione richiesto da qualsiasi dato su quella macchina.

Ad esempio, se si dispone di dati "segreti" su quella macchina, ovunque si memorizzi la password richiede anche lo stesso livello di protezione.

Come applicato alla tua domanda, indipendentemente dallo standard che stai applicando, come PCI-DSS, NISPOM, ecc, non puoi avere password in chiaro nei log se il requisito è che siano protetti (come hash e salato).

Quindi, in sintesi, se lo schema di regolamentazione qualsiasi è applicato al tuo computer in questione, e tale regolamento dice che non puoi avere password di testo chiare, non puoi avere password di testo chiare nei tuoi log .

    
risposta data 10.07.2012 - 21:17
fonte
5

Non è raro registrare il fatto che un tentativo di autenticazione è fallito e quale utente è stato per. Questo può rivelarsi molto utile nella risoluzione dei problemi forensi. È estremamente raro e irresponsabile dal punto di vista della sicurezza registrare la password rifiutata. Queste informazioni non hanno uno scopo utile e possono essere utilizzate contro di te.

Modifica
Dovresti sperare che sia in grado di aspettarti che un'azienda affidabile e ben organizzata non venda le tue informazioni sulla password in quanto sarebbe davvero dannosa per loro se venisse scoperta. Ma nell'interesse della tua stessa sicurezza, dovresti sempre essere preparato per le informazioni che dai da usare contro di te perché è sempre una possibilità. Questo è il doppio per qualsiasi organizzazione la cui reputazione non si possa stabilire in modo affidabile.

    
risposta data 05.07.2012 - 05:22
fonte
2

No. È normale che gli utenti dispongano di un pool di password e che le ciclicamente cercando di capire quale è in uso per un determinato sito. Registrarsi significa semplicemente che quando vieni compromesso, i loro sostituti vengono aggiunti al pool di cracker di chiunque ti abbia colpito.

    
risposta data 06.07.2012 - 02:38
fonte

Leggi altre domande sui tag

Email ricevuta in merito a Difetti di sicurezza nel sito Web Dati di recupero VPS brutalizzati ora disponibili. Considerazioni? [chiuso]