C'è un modo buono (o meno cattivo) di gestire un portale web o un sito Web con una sicurezza terribile?

Naviga le tue risposte
3

Sfondo:

Sto affrontando una situazione con un sito online che devo (per il momento immediato) utilizzare per questioni finanziarie e relative alle risorse umane che fanno schifo. In tutti i sensi, ma in particolare la sicurezza. Per quanto mi piacerebbe, non posso abbandonare questo sito immediatamente, ma mi sto decisamente muovendo per farlo al più presto (entro pochi mesi all'esterno, spero). Si tratta di un portale molto grande negli Stati Uniti per l'accesso a informazioni altamente sensibili sul Web: risorse umane, finanziari, contabilità e simili.

Problema:

La loro sicurezza succhia . Una schermata qui sotto e nota che la password è limitata a 12 caratteri. 7 to 12 password di caratteri, nessun set di caratteri speciali, e sovvertito da domande di sicurezza [-eliminating] che sono maggiormente rispondibili con alcune ricerche di record pubblici e / o qualche decente Google-Fu. Nessun controllo per assicurarsi che il PC che accede a esso non sia infetto da qualcosa di brutto o qualcosa del genere, naturalmente.

Ancora una volta, questo è un grande portale statunitense per le risorse umane e informazioni finanziarie. Se non ero così abituato a spaventare la sicurezza sul web, sarei veramente incazzato, invece che moderatamente arrabbiato e preoccupato. Per quel che posso dire, non esiste anche un metodo di autenticazione alternativo, come l'autenticazione a due fattori, la possibilità di disabilitare le domande di sicurezza, o usare una password che potrebbe effettivamente resistere per più di qualche minuto contro un hacker che sa cosa sta facendo.

Non ho visibilità sulla loro sicurezza dietro le quinte (hashing delle password, salatura, test di penetrazione, vulnerabilità, ecc.), ma sulla base di ciò che ho visto finora, scommetto che tirando indietro la tenda sarebbe solo più motivo di preoccupazione / allarme.

Domanda:

  1. Cosa posso faccio per proteggere al meglio me stesso mentre devo tollerare questo abominio?
  2. Cosa dovrei fare per quanto riguarda il fatto che tutte queste informazioni sensibili per così tante persone sono protette da tali scarse misure di sicurezza? Come dovrei avvisare, e cosa faccio quando ottengo la risposta di we take security seriously, eff off in scatola so che otterrò?
    • Come teorizzato, tirare indietro la tenda probabilmente rivelerebbe alcuni veri orrori, ma sembra una cattiva idea.

Applicherò una risposta a ciò che ho fatto finora per gestirlo dal punto di vista della mia sicurezza personale, ma non sono sicuro di aver fatto abbastanza o perso qualcosa che potrei fare ( dato che devo usare questo PoS) e accolgo con favore il tuo feedback.

Non ho idea di cosa fare per quanto riguarda (2) . La mia esperienza ha messo alla prova i miei sistemi e li ha risolti, non inciampando in sistemi come questo con una sicurezza peggiore del mio telefono, sostenuti da una massiccia corporazione che si muoverà più lentamente della melassa in salita in inverno (a meno che non faccia qualcosa di stupido / fuori linea e decidono di farmi causa, nel qual caso scommetto che si muoveranno molto velocemente).

    
posta HopelessN00b 21.09.2012 - 07:39
fonte

5 risposte

7

Autoprotezione:

Ciò che elevi nella tua risposta suona abbastanza bene. A proposito del mio unico pensiero, sarebbe quello di cambiare le tue risposte a domande di sicurezza fasulle e lunghe e false a risposte veramente false. Entrambe le frasi o più caratteri pseudo-casuali. Ma supponendo che tu arrivi da qualche parte nel tentativo di cambiare il sistema, non penso che tu voglia quelli che sono lì dentro quando qualcuno che sta indagando e cercando di aiutarli a vederli. Non ho mai veramente suggerito la strategia di "spero che l'amministratore abbia il senso dell'umorismo".

Suggerirei anche un doppio controllo manuale: sembra un vero umano che accede a questo account per cercare qualcosa. Fai in modo che l'essere umano effettui un registro fisico di quando si accede all'account: ora di inizio / ora di fine e se sei veramente anonimo, lavoro svolto. In questo modo, se si verifica un problema di accesso inappropriato, hai un elenco separato di ciò che è stata la tua attività. La cosa migliore è qualcosa che fornisce un timestamp automatico - ad esempio, posta una mail a te stesso attraverso il server di posta dell'azienda - così la posta tocca i registri e ha un timestamp (leggermente) ben documentato (data / ora inviata). Sì, è fudable, ma qui c'è un limite al numero di controlli ragionevoli che un processo può gestire.

Protezione a lungo termine:

OK, quindi capisco che il tuo incazzato, ma sfogare, sbraitare e suonare in modo diverso dai proprietari del sito, sul web o ai superiori nella tua stessa azienda non ti porti molto lontano. Quando un tipo incazzato si precipita sulla scena chiedendo che tutto sia sistemato in questo momento, le persone che potrebbero effettivamente rispondere in modo produttivo probabilmente apriranno i boccaporti e cercheranno di capire come tirarti fuori dal loro ufficio, il filo della posta elettronica o sito web e dedica più tempo a eliminarti che a eliminare il problema.

Cerca di rimanere senza colpa e concentrati sul problema in questione.

Vorrei iniziare con i rischi:

  • Il rischio per le persone - l'esposizione delle risorse umane / dati finanziari legati alle persone - può violare le leggi, causare danni e causare cause legali dannose.

  • Rischio per la reputazione dell'azienda - sia la tua azienda che il fornitore del servizio.

  • Rischio per gli utenti - di essere accusati di accesso ai dati inappropriati

Avere una stima sulla probabilità di rischio, livello di impatto, ecc.

Quindi inizia a seguire le parti interessate, a cominciare dalla tua azienda.

Puoi anche seguire il fornitore di dati - se questo sito di hosting non è interno alla società che fornisce i dati sulle risorse umane / finanziarie, trova l'organizzazione della sicurezza del fornitore di dati e inizia a parlare dei rischi con loro.

È probabile che, se entrambe le società non hanno un CSO o CISO, hanno un CTO o un CFO - onestamente comincerei con qualunque sia il livello più alto di gestione del rischio - un rischio per la sicurezza è un rischio le persone che hanno maggiori probabilità di rispondere sono quelle con rischi attenuanti.

Il trucco è quello di suonare sano, di scrivere bene, di parlare in modo convincente e, in generale, di dimostrare che sei una persona intelligente e affidabile.

Per la protezione del posto di lavoro, inizierei internamente, ricevere le approvazioni prima di andare a gruppi esterni e tenere il mio responsabile sempre al corrente.

Se ciò non ha dato risultati, vale la pena di ricercare leggi sulla protezione delle informazioni personali nel proprio paese / regione e verificare quali sono le aspettative della due diligence, legalmente. Questo può diventare difficile, poiché la giurisdizione potrebbe essere lo stato che ospita il servizio, lo stato delle persone a cui vengono violati i dati o qualcosa di ancora più ampio. Fare un fischio sulla gestione inappropriata dei dati non è il punto in cui iniziare: inizierei a lavorare all'interno e all'esterno, aiutandomi a prevenire perdite, danni alla reputazione e migliori pratiche di sicurezza, sei un eroe. Il fischio potrebbe farti ottenere la copertura stampa e potrebbe far risparmiare molta perdita di dati, ma non sarai un eroe universale, poiché le aziende coinvolte sfioreranno quasi certamente la faccia e non ne saranno così entusiasti.

Ciò entra prepotentemente nel lato più morbido della sicurezza: trovare i principali stakeholder che possono effettivamente influenzare i cambiamenti organizzativi e farli salire a bordo. Sapere come presentare il problema e porre domande per generare un pensiero reale è davvero importante qui. Entrare e dire loro che hanno fottuto è improbabile che riesca a ottenere i risultati desiderati, devi convincerli che c'è un problema da risolvere qui.

In tutta onestà, non potrei nemmeno dirti se ascoltassi se tu venissi da me ... Sono altrettanto felice in un forum pubblico a NON sapere esattamente quali dati sono a rischio qui, ma e ' Scoprirai in modo molto approfondito ESATTAMENTE quali informazioni sono private o pubbliche, specifiche o generalizzate prima di poter presentare il caso.

    
risposta data 21.09.2012 - 17:43
fonte
6

Account per scarsa sicurezza del back-end

Se stanno memorizzando la tua password in testo semplice (il che è più che ragionevole sospettare), allora non c'è davvero nulla che tu possa fare al riguardo. Ma ciò che puoi fare è limitare la quantità di esposizione a te stesso che una violazione della sicurezza potrebbe causare. Nella misura in cui la loro scarsa sicurezza non è il tuo problema, non devi preoccupartene.

Prestare attenzione alle informazioni che condividi con loro; anche se per essere onesti dovresti già avere l'abitudine di limitare la condivisione dei dati personali con chiunque . Chiunque tu abbia a che fare potrebbe essere hackerato, non solo quelli che sembrano avere una pessima sicurezza. Assicurati che i loro fallimenti non ti causino dolore.

Scegli una password decente, casuale e univoca

Una password di 20 caratteri scelta dal set di caratteri limitato di [A-Za-z0-9] è ancora circa 120 bit di entropia, e ben oltre i limiti di forza bruta ragionevole. Le restrizioni della password sono generalmente una bandiera rossa, ma in questo caso non sei limitato a rendere impossibili le password sicure. Tuttavia, il potenziale di un back-end in chiaro significa non riutilizzare una password da qualche altra parte . Certo, non lo avresti fatto comunque, vero?

Scegli le risposte migliori per le domande di sicurezza

Quale domanda hai scelto non ha molta importanza perché non stai andando a effettivamente a rispondere loro, giusto? Ad esempio:

Q: What is your mother's maiden name?
A: 1a9457e11b9a879e1939ff8fcc3f6246b48a8fa8

La risposta è lo sha1sum della domanda, che non è una risposta terribilmente buona, ma è molto meglio di "Smith". Puoi fare meglio; diventa creativo.

Di norma, non dare mai risposte corrette alle domande di sicurezza. Ma lo sapevi già, vero?

Alla fine, tenere conto della scarsa sicurezza implica semplicemente seguire esattamente le stesse regole che dovresti seguire già.

    
risposta data 23.09.2012 - 09:33
fonte
2

Per quanto mi riguarda, per quanto possibile, ecco i passi che ho compiuto finora:

  1. Un nome utente lungo e pseudo generato casualmente.
  2. Una password lunga (dati i vincoli) e pseudo generati casualmente.
    • Verrà modificato ~ settimanalmente.
  3. Risposte non risolvibili alle domande di sicurezza, sulla falsariga di:
    • Non preoccuparti, quelli non sono i valori effettivi. Risulta che le risposte di sicurezza non possono avere caratteri speciali in esse. (Solo ... così tanto facepalm .)
  4. Collegato a un account email che ha un'autenticazione a due fattori.
  5. Istruzioni per limitare, per quanto possibile, la sensibilità e la quantità di informazioni che effettivamente usiamo per questo turd.
  6. Preghiera. Molta preghiera Anche offerte bruciate e sacrifici di sangue a $[diety] .
risposta data 21.09.2012 - 07:39
fonte
1

Non penso che sia troppo difficile, se devi usare il sito usa una combinazione casuale di lettere maiuscole e minuscole e numeri per il nome utente, la password e le risposte segrete 1-4.

Per quanto riguarda ciò che puoi fare - contatta l'azienda in questione sottolineando i difetti del loro sistema di accesso e suggerendo miglioramenti, se ti ignorano almeno ci hai provato.

Non ci hai detto il tuo rapporto con questa azienda, ma se il tuo datore di lavoro li usa, contatta il dipartimento di sicurezza del tuo datore di lavoro con le stesse informazioni. Se riesci a metterli in contatto, è probabile che probabilmente ascolteranno le persone che pagano per il loro prodotto.

    
risposta data 21.09.2012 - 13:37
fonte
1

Il mio suggerimento: fare un passo indietro per un momento. Non farti saltare troppo sopra. Se devi utilizzare il sito, ecco alcuni semplici passaggi che puoi adottare per proteggere la tua sicurezza:

  • Scegli una password complessa. Scegli una password casuale di 12 caratteri (conforme alle loro linee guida). Se lo fai, ti posso garantire che l'entropia della tua password non sarà il link più debole del sistema, ed è molto improbabile che qualcuno possa entrare nel tuo account indovinando la tua password.

  • Scegli le risposte false alle domande di sicurezza. Nessuno ha mai detto che dovresti dare la risposta corretta a queste domande di sicurezza! Scegli una stringa casuale di 16 caratteri e usala come risposta alla domanda di sicurezza. Scrivilo o stampalo e salvalo in un posto sicuro.

  • registrati con un indirizzo email privato se sei davvero preoccupato, crea un indirizzo email privato diverso dal tuo account pubblico e registra il tuo account con quello, piuttosto di quello che tutti possono indovinare. (Ma probabilmente è eccessivo, e probabilmente non mi preoccuperei.)

Non è così difficile. Fallo e hai finito.

OK, il sito potrebbe aver preso alcune decisioni di sicurezza discutibili. Certo, è fastidioso. Ma comunque, non penso che valga la pena investire troppo della tua energia emotiva in questo. Cose come queste accadono. Proteggiti (come suggerito sopra), prosegui e prosegui con il resto della tua vita. Guarda un bel film, parla al parco, goditi i tramonti. La vita è buona, non lasciare che cose stupide di sicurezza ti facciano cadere!

    
risposta data 23.09.2012 - 02:44
fonte

Leggi altre domande sui tag

Possibili modi per rintracciare i mittenti di posta anonimi? Quanto è pericoloso il game guard?