0x1 本周话题TOP2
话题1:请教一下各位,大家密码管理都是怎么做的呢?除了bitwarden、1password等商业化的密码管理工具,有什么好的办法在团队直接管理和共享密码呢?
A1:密码原则上不应该共享,如果密码共享就不好审计了。
A2:公共账号么,最好还是rbac;个人用keepass。
Q:比如一些第三方的账号,设备账号什么的,我们希望集中存储,省得每个人到处瞎存。希望把业务端用的一些账号也关起来,比如和一些第三方对接时候的账号、密码啥的。
A3:服务器、数据库类的,可以用堡垒机密码托管,web类的,部分堡垒机支持,某品牌特权账号支持更好一些。设备账号可以对接ldap。
A4:最严格的办法是用专门特权帐号管理软件,对每个系统做接口对接。银行就这么干的。
A5:其实技术类的整体倒还好,现在比较头疼的是业务上的很多密码,尤其是和第三方对接的时候拿到的很多奇奇怪怪的账密,也不知道放在哪,也不知道咋交接,要么就是复制粘贴的到处都是,要么就是找谁谁都不知道。
A6:的确是这样,拿着放大镜和显微镜,看企业安全,一地鸡毛。
Q:提到特权账号,一直有个问题不明白 怎么识别到业务系统里的特权账号。尤其是大规模企业里,系统茫茫多。
A7:开发想留后门,想识别成本可太高了,不如统一对接IAM,不许本地账号。比如银行,有强有力的合规动力去禁止特权账号,追责也是配套的。如果自下而上,基本推不动,他留了又怎样呢。
A8:提前得有个特权账号,系统提供账号查询接口,然后可以搞搞。
A9:特权账号可能根本不在权限表里,系统就算提供给你的接口也看不到。大企业要一下子找全比较难吧。或者可以先圈一波有“特权”的人或岗位。
有的例如公司微博账号,公众号管理员之类,就是要人肉了。延伸问题是公司高层自己开的抖音号微博号公众号算不算。
A10:完全技术发现比较难,而且容易漏。公司行政要一套管理报备制度。大一点的公司,外面的账号可能几百上千。
Q:请教各位,对于企业办公类应用,开启了双因素认证,是否还需要三个月定期修改密码呢?
A11:cis benchmark好像把密码修改频率更新成1年了,不过等保还是3个月,保持这个比较好吧,而且最好跟着LDAP,SSO一起改。
A12:理解你对于风险的思考。不过对支付行业来说,肯定还是需要的。合规是外规+风险驱动内规,不仅仅是风险考量。
A13:现在是员工觉得改密比较麻烦,我们想着有双因素了,都是密码+短信or软件令牌了,安全性够了,想提升用户体验。比如把修改密码的周期延长到6个月甚至1年。
Q:有没有什么地方能记住设备的,还是每次都要双因素?
A14:每次双因素,想在用户体验和安全找平衡。
A15:那确实没什么实质风险了,有一个因素是强制的且每次都变,且基于密码技术。
就监管合规考量了。
Q:监管有这么细的要求吗?强制三个月定期修改密码?
A16:有的,测评时就是问你多久改一次密码,实际操作就是超过90天算不符合。但是你这个情况,即使扣分,可能也不会算严重项,可以考虑和测评机构提前沟通“背书”下。但人行那边的就要小心了,扣分就扣了,无法找补。有一些排查通知,甚至直接写90天,这个可以和你们的合规岗位对齐下,这就是外规。
监管越多,自由度越小。但“规”无法保证每个人都和你一样理解深刻,它只能提高下限。
A17:非银吗?办公OA不过非银,没事吧。
A18:我认为密码策略和双因素是两个层面。密码策略加双因素本来是一个增强防护的功能,但是在使用手机短信或者是软件令牌我记得在某些场景下这个不算双因素,只是叫二次验证,但是这种方式如果你延长改密时间,内部人员的小动作可能风险就比较大一些。
我们用的都是密码加硬件key ,监管是有90天的密码修改策略的。
Q:短信和硬件KEY是一样的吧,有什么区别?
A19:从定义上短信不是双因素,而是二次验证。短信容易被劫持,都不认可为一个认证要素。
A20:非银不纳入,那pci呢?有两份文档,一份是公开的要求指南,一个是测评依据。金融等保三级要求是半年更换,四级是90天。
A21:哈哈,半年可以哈。然后OA系统定级最多2级了,还达不到3级呢。提升用户体验兼顾安全,6个月还可以。非银认证,测评老师认可短信为一个因子哈。
A22:那就行,有背书。我们当年专门说短信不认可作为一个独立要素。
A23:现实情况很多人可能会同时访问三级和四级系统,有些账号密码可能跨系统打通了,还有堡垒机什么的,保守一点还是90天改一次。
A24:支付系统应该最高3级,办公系统就算没单独定级,参考3级那也是半年。银行还有银监的一堆要求,肯定90天安全。
Q:若是使用otp ,一分钟过期的那种,算多长时间改一下paasword?
A25:算你没用password。
Q:双因素的原始定义是怎样的?
A26:多重要素验证(英语:Multi-factor authentication,缩写为 MFA),又译多因子认证、多因素验证、多因素认证,是一种计算机访问控制的方法,用户要通过两种以上的认证机制之后,才能得到授权,使用计算机资源。例如,用户要输入PIN码,插入银行卡,最后再经指纹比对,通过这三种认证方式,才能获得授权。这种认证方式可以提高安全性。双因素是多因素的一个子集。
Q:多因素都包括哪些,有时候,有的人会把同一因素的不同实现方式理解成某种另外的因素?
A27:两种要素,三选二:know,口令;have,令牌;are,指纹。
A28:言简意赅,令牌≈权限,指纹≈身份,这是不同要素,多种不同的令牌,物理钥匙,电子钥匙,属于同一种要素。
Q:大家认为在ATM 交易场景中,银行卡+银行卡密码算不算双因素?银行卡是不是不算个验证因素?
A29:例如,用户要输入PIN码,插入银行卡,最后再经指纹比对,通过这三种认证方式,才能获得授权,刚才的MFA的解释中这样说。
A30:嗯它应该算个验证前的触发条件,不算个验证项。
A31:银联的线下人脸识别支付,用的人脸加索引码算不算双因素呢?
A32:人脸按书本来说是算生物特征的,但实践上人脸的对抗太多,目前还算是创新小额试点的范畴。就好比短信算不算呢?按原理好像可以算,出了劫持案例就禁止短信验证码登录了。认证要素需要能抗攻击。银行卡就不具备。
A33:把卡做成什么样就能算是个认证要素了? 怎么样都不能吧。
A34:银行卡为什么不具备抗攻击能力?IC卡 现在能复制么?IC卡的交易 都要做ARQC 和ARPC的校验的。
A35:那银行卡属于哪种认证要素?
A36:have.
A37:那银行卡+密码就是双因素了?
A38:我认为也算是,这个卡可以认为是个ID card ,就和门禁卡一样,如果是门禁卡加密码是双因素,我认为银行卡加银行卡密码就是双因素了。毕竟你只知道银行卡密码,在ATM机具上,或者到柜面上你是取不到钱的,必须要刷卡。
A40:你们操作系统登录时也用了 双因素吗?windows logon的控制。
A41:肯定不是。
A42:为啥捏如果是因为银行卡容易丢,那令牌也可以丢。
A43:
-
银行卡是否可以复制? -
银行业务是否可以支持无卡方式?
答:《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。 《数据出境安全评估办法》答记者问
谷歌曝光有史以来最大 DDoS 攻击,数据比之前的记录高出 76%
如何进群?
原文始发于微信公众号(君哥的体历):关于企业密码管理、特权账号管理、双因素身份认证的讨论,涉及海外用户的网站在数据出入境、内外部合规方面的一些建议 | 总第162周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论