Come verificare se i nostri clienti sono stati compromessi da violazioni della sicurezza in altre applicazioni Web?

1

Ogni tanto un sito Web noto viene violato, ad esempio quello che è successo a Adobe o Cupid Media .
In tali casi vengono persi dati utente, inclusi nomi utente, password crittografate (e talvolta semplici testi!). Gli utenti che riutilizzano la propria password potrebbero anche avere i loro account in altre applicazioni Web compromesse.

L'azienda per cui lavoro gestisce un'applicazione web di grandi dimensioni. Vorremmo proteggere i nostri clienti dal danno collaterale di tali violazioni della sicurezza, resettando le password degli utenti i cui account sono stati compromessi, come ad esempio cosa ha fatto Facebook nella recente violazione di Adobe.

Come possiamo trovare gli elenchi di utenti trapelati in tali incidenti?

    
posta Joe 21.11.2013 - 09:59
fonte

3 risposte

1

Alcune violazioni sono divulgate pubblicamente su PasteBin o siti simili, ma sono relativamente pochi e distanti tra loro. Anche se si riuscisse a ottenere un elenco di tutti gli indirizzi e-mail appartenenti agli account compromessi da tutte le violazioni dei dati, ciò aiuterà solo a trovare gli utenti che potrebbero essere interessati. Questo non ti dice se i tuoi utenti effettivamente hanno usato la stessa password sia sul tuo sito che su un sito compromesso, quindi potresti finire forzando le reimpostazioni su password che non ne avevano davvero bisogno. Al momento in cui si verificano violazioni dei tassi, potresti farlo abbastanza spesso e questo comincerà davvero a turbare i tuoi utenti.

Se si memorizzano le password correttamente , non è possibile in alcun modo controllare un elenco di password conosciute e compromesse rispetto all'intero database utente. Il meglio che si possa sperare di fare è inserire una sorta di controllo nel processo di accesso, in cui si ha la possibilità di acquisire le password degli utenti (temporaneamente) in chiaro. Ciò potrebbe aiutarti a individuare gli utenti con password compromesse al momento dell'accesso, ma non tutti gli utenti effettueranno l'accesso in qualsiasi momento a breve, pertanto alcuni utenti non potranno mai verificare le loro password. Ciò aggiungerebbe anche complessità altrimenti inutile a un processo sensibile alla sicurezza, che è generalmente sconsigliato.

Anche se tu potessi controllare tutte le password dei tuoi utenti e verificare se sono state compromesse o meno, ciò lascia comunque aperta la possibilità che gli utenti non abbiano riutilizzato la loro password compromessa su tuo site, ma l'hanno riutilizzato sul proprio indirizzo e-mail, in genere un componente fondamentale nei processi di reimpostazione della password e probabilmente in una parte del tuo. Questi account sarebbero comunque vulnerabili a compromessi sul tuo sito, dopo che i loro account di posta elettronica sono stati dirottati e non lo avresti mai saputo.

Invece di reimpostare le password degli account ogni volta che c'è una violazione, e quindi dover passare attraverso il problema di capire a chi serve veramente la reimpostazione delle password, il miglior punto di messa a fuoco ( menzionato da @LucasKauffman ) riguarda la formazione degli utenti. Mantieni l'orecchio a terra per le notifiche di violazioni del sito Web, in particolare quelle in cui i nomi degli account / gli indirizzi e-mail e le password sono trapelati e assicurati che gli utenti siano messi a conoscenza di essi quando accadono.

Invia una notifica via e-mail a tutti dei tuoi utenti che dice loro quali account potrebbero essere stati violati e cosa dovrebbero fare se pensano che siano interessati. Assicurati di ricordare loro che non dovrebbero semplicemente cambiare la loro password sul sito interessato, ma anche su qualsiasi altro account che abbia utilizzato la stessa password. Ricorda inoltre che dovrebbero utilizzare password complesse che non vengono riutilizzate su account diversi. È possibile includere (indicando i nomi di prodotti / siti Web e / o termini di ricerca chiave - non utilizzando collegamenti ipertestuali) su cui gli utenti possono rivolgersi per ulteriori informazioni sulla violazione o sugli strumenti per aiutarli a creare e gestire password sicure. Ricorda loro di essere vigili contro gli attacchi di phishing, che spesso possono seguire violazioni dei dati di alto profilo e non fornire mai dettagli sull'account o seguire collegamenti sospetti nell'e-mail.

    
risposta data 19.02.2014 - 20:03
fonte
2

Il guru della sicurezza Web Troy Hunt ha un sito chiamato sono stato imbrogliato? che controlla un indirizzo email rispetto a quelli associati a un numero di violazioni. Le password ricavate dalle violazioni non vengono mantenute lì, quindi è utile per determinare se un account può essere interessato ma non rivela quali sono state rubate le password o gli hash.

    
risposta data 19.02.2014 - 19:00
fonte
0

Il problema è che non sono condivisi pubblicamente attraverso i canali normali. Spesso puoi trovarli sui canali posteriori. LastPass ha trovato un database come questo e offre un servizio di verifica sul loro sito web. Tuttavia, ti consiglio di non utilizzarlo poiché trasferirai tutti i tuoi account utente su LastPass.

Potresti provare a cercare il database tu stesso. In alternativa, puoi inviare un'email a tutti i tuoi clienti che insistono nel cambiare le loro password se ne hanno utilizzato uno simile su Adobe.

    
risposta data 21.11.2013 - 10:16
fonte

Leggi altre domande sui tag