Devo registrare che un utente ha cambiato la password?

50

Ci sono problemi di sicurezza con la registrazione che un utente ha cambiato la sua password? Sto già registrando ogni volta che un amministratore cambia la password di un utente a scopo di controllo, ma c'è un motivo per non avere un log quando ogni utente ha cambiato la sua password?

Modifica: risposte alle domande seguenti

What is your expected gain from this?

Principalmente forense. La possibilità di vedere chi (user_id di admin o self) ha cambiato la password nel caso in cui l'utente affermi di essere stato violato.

Non lo stiamo utilizzando per supportare qualsiasi schema di gestione della password come la modifica forzata della password o il rifiuto del riutilizzo della password.

Who would have access to these logs?

Amministratori di sistema e possibilmente un piccolo gruppo di supporto.

About what kind of accounts are we talking about?

Account utente su una piattaforma di e-learning, ovvero insegnanti e studenti.

Also, do you have password expiration rules?

No. Sto parlando dell'archiviazione quando è stato effettuato ogni cambio di password, non solo l'ultima modifica.

What info are you storing? (not actually asked but implied)

Stiamo memorizzando l'id utente dell'utente whos è stata cambiata la password, l'id utente dell'utente che sta facendo la modifica (potrebbe essere un amministratore o un insegnante studente), il tempo in cui la password è stata cambiata e l'URI utilizzato per cambiare la password.

    
posta edruid 15.05.2018 - 15:03
fonte

5 risposte

53

Per, rispondi alla tua domanda, Sì, puoi e DEVE registrare le modifiche della password, e non c'è nulla di fondamentalmente sbagliato nel farlo, a patto che tu non lo faccia per esempio. registra la password stessa "

Che cosa accedere?

Quando si progetta la registrazione per scopi di sicurezza, si desidera rispondere a queste domande:

Quando è avvenuto l'evento?

  • La data e l'ora in cui si è verificato l'evento (utilizzare il formato di registro comune)

Qual è stato l'evento?

  • Una breve descrizione dell'evento (ad esempio Modifica della password)

Chi ha attivato l'evento?

  • ID utente, nome, email o qualche identificatore univoco

Perché l'evento è stato attivato?

  • Questo non è lo stesso di "Cosa" anche se molte persone lo usano in questo modo. Questo è il motivo per cui l'evento è stato eseguito. (Ad esempio, la password è cambiata a causa della politica, la password cambiata manualmente dall'utente, ecc.). Questo può essere molto utile per eliminare i rumori.

Scenari

Uno dei migliori metodi per discutere di cosa vedere è attraverso gli scenari e chiedere al team:

  • Quali informazioni fornisce l'evento?
  • L'evento è richiesto per conformità / legale?
  • Stiamo registrando il motivo del detective? (ad esempio, attivando un SIEM) o correttivo? (ad esempio, Forensics dopo il fatto)
  • Chi guarderà i log?
  • In che modo proteggiamo i log?

Esempio:

James fa parte del team IR, che è responsabile per l'applicazione critica di Non-Existence della Made-Up Company. James vuole essere in grado di vedere tutte le modifiche della password al fine di rilevare le modifiche che si verificano al di fuori della normale procedura politica. Questi eventi si innescano e indagano se si verifica una modifica della password senza un incidente registrato dal team di supporto. I registri verranno inviati all'appliance IR SIEM che utilizzerà una serie di regole per attivare avvisi al team IR quando un incidente non può essere correlato a una modifica della password al di fuori di un cambiamento di politica richiesto.

(Attenzione obbligatoria per l'utilizzo in un ambiente di lavoro. Ho appena fatto questo esempio.)

[modifica] - Aggiornamento della risposta iniziale per essere più chiari. Grazie a @SeldomNeedy per il suggerimento.

    
risposta data 15.05.2018 - 16:15
fonte
10

Non posso darti una ragione per non registrare qualcosa; devi darmi una ragione per cui devi loggarti.

Puoi teoricamente registrare tutto ciò che fanno gli utenti, (fino al movimento del puntatore del mouse, i clic e quando una finestra è in primo piano o meno).

Ma HAI BISOGNO di registrare tutto? Può registrare tutto senza sacrificare le prestazioni? Può memorizzare i log per un periodo di tempo utile?

Non c'è motivo per non accedere quando l'utente cambia la sua password. È possibile impedire agli utenti di modificare la propria password troppo spesso. O qualsiasi funzione che puoi costruire sulla cronologia, le abitudini e i modelli di modifica della password.

Puoi anche correlare la modifica della password con le principali violazioni della sicurezza per determinare quanto sia "techy" l'utente.

    
risposta data 15.05.2018 - 15:19
fonte
5

Puoi registrare qualche messaggio per indicare che l'utente ha cambiato la password insieme ad alcune informazioni come ipaddress (per controllare se qualcuno ha inavvertitamente cambiato la sua password) da dove ha cambiato la password.

Evita di registrare le informazioni PII che torneranno a un utente specifico se il file di registro è trapelato.

    
risposta data 15.05.2018 - 16:36
fonte
2

Non registrarli è più un rischio per la sicurezza che registrarli, ma (come hanno detto tutti gli altri) fai attenzione a cosa / come registri le informazioni.

Altre risposte sottolineano che i registri consentiranno ai tuoi amministratori di rilevare il comportamento da violazioni e l'invio di notifiche agli utenti consentirà loro di rilevare le violazioni individualmente.

Penso che stiamo tutti assumendo che tu stia memorizzando le tue password come hash con sali randomizzati. Solo un promemoria sul fatto che l'uso di sali randomizzati rallenta in modo significativo la capacità di un hacker di decifrare le password con hash, poiché devono eseguire il processo di cracking completo per ogni sale unico (che si spera sia univoco per ogni password del sistema e ogni volta che lo sono) cambiato).

Se si desidera implementare alcune nuove norme sulle password, è possibile:

  • conserva i record (forse non i "log") di quando le password sono state cambiate
  • conserva una versione hash della password, con il suo sale randomizzato

Questi ti consentono di implementare in seguito criteri per:

  • scadenza, utilizzando solo la parte timestamp
  • cronologia password, eseguendo l'hash della nuova password con ciascuno dei sali storici e confrontando gli hash storici, per garantire che l'utente non riutilizzi le vecchie password
risposta data 15.05.2018 - 19:08
fonte
2

Una delle risposte sopra menziona questo di passaggio e sottolineo le due cose fondamentali che dovresti esaminare:

  1. Conserva l'elenco hash per garantire che l'utente non riutilizzi le vecchie password.
  2. Non memorizzare quando, così gli hacker non possono lavorare con le informazioni sulla longevità di pword. Per esempio. UtenteX ripristina la fine di pword di ogni mese.
risposta data 15.05.2018 - 23:10
fonte

Leggi altre domande sui tag