凯尔探索是CTO和Cloudimmunity的CoFounder。

谈到信息安全时,恶劣的现实是最终用户通常是链中最薄弱的链接。这并不奇怪,那么最终用户通常是攻击者利用的第一个呼叫点。云和SaaS应用程序是这些攻击的伟大目标,因为这些申请必须处理基于密码的用户身份,并且因为他们可以从世界任何地方访问 - 以及发展经济体的福利,具有高技能和低成本劳动力可用于邪恶的目的。

一般来说,很多关于密码以及许多高调互联网和云应用中的弱点。Evernote,Linkedin,Sony,Yahoo,Linode,Eharmony,Last.fm,Zappos,Nvidia,Gawker,Billabong,Android论坛和Ubuntu论坛以及Ubuntu论坛的安全妥协将新的光线带到一个非常古老的问题:人们选择弱者密码(因为它很容易,因为它们可以)。技术社区的讨论倾向于关注容易问题:使用更合适的散列算法,使用盐为密码散列等。当然,保持密码哈希安全并使用慢散算法(随机盐值)很重要。它将保护很多相对强大的密码,不能使用在线暴力攻击来通过使用离线暴力攻击攻击来破解。但是,安全密码存储和正确的密码散列只有问题的一面。即使应用程序没有受到损害,他们的用户仍然存在危险。

您可以听到Kyle Quest发言,参加Venturebeat在旧金山的Cloud Beat会议上的云安全会议,9月9日至9月。 10在旧金山。我们将在争夺企业云使用的革命案例,探索一些最热门的云趋势和技术。今天注册!

这一切都是因为他们没有做好帮助他们的用户选择安全密码。当用户选择“密码”或“123456”时,无论密码存储和密码散列如何,都无关紧要,因为攻击者将在任何时候猜测这些密码。互联网和云应用程序供应商的常见做法是说用户不应该选择弱密码。但告诉人们要选择安全和难以猜测的密码根本不起作用,因为在许多情况下,人们将选择他们的云应用程序最简单的密码允许。来自最近宣传妥协的泄露的密码是重要的例子。

我想看看流行的云服务和应用程序,确保他们的用户有安全密码。我审查了130多个云和萨斯服务,结果有点意外。

首先,让我们来看看类别。

*普通云IAAS / PAAS服务 - 12 *
其他SAAS服务 - 12 * BAAS服
务 - 11 *云存储服务
- 10 * YC公司 - 9
*身份验证和身份管理服务
- 7 *云管理和监控服务 - 7 *
云 - 基于开发工具和服务 - 6 *社
交 - 6 *大数据服务 - 5 *其
他专业云PAAS服务 -
5 *付款 - 5 *账单
- 4 *比特币 - 4 *云电子邮件
服务 - 4 *
API管理 - 4 *
云数据库服务 -
3 * Security - 3 * Analytics
Services - 3 *语音和短
信服务 - 3 * Project Management
- 3 * Web Content
Caching - 2 *源代码管
理 - 2 * Mobile - 2 *
招聘 - 2



许多这些云服务目标是非常技术上的用户,您希望这些服务严格密码。您还期望安全相关的服务和处理财务信息的服务,以具有最安全的密码。但下面的密码要求显示大多数云服务允许使用任何字符的非常简单的密码,并且大多数密码都被允许非常短。这意味着攻击者可以使用简单的在线密码猜测攻击轻松破解许多用户密码,而不会影响云应用程序并获得对密码哈希的访问。

* 6字符密码(任何字符) - 由48服务使
用* 1字符密码(任何字符) - 由31个服
务使用* 4字符密码(任何字符) - 由11
个服务使用* 5字符密码(任何字符) -
使用9服务* 8字符密码(任何字符) -
由9个服务使用* 6个字符密码(必须具有字母和数字或较低和大写字母) - 由7
个服务* 8个字符密码(至少一个大写字符,一个较低案例字符,一个数字) - 由
7个服务使用* 8个字符密码(必须具有字母和数字) -
由3个服务* 6个字符密码(至少两个不同的字符)使用
- 由2服务使用* 7个字符密码(必须具有字母和数字或较低和大写字母) - 由
2服务使用* 8个字符密码(必须有字母,数字和特殊字符@#$%^&*) - 由1服务* 7字符密码(任何字符
) - 由1服务* 6个字符密码使用(至少
一个大写字符,一个小写字符,一个数字) - 由1服务* 9字符密码(必须具有字
母和数字或较低和大写字母) - 由1服务使用

该研究在不同云服务中产生了一些关于密码安全实践的有趣问题。这么多服务如何允许单个字符密码?不应处理付款和计费信息是否非常严格的密码要求?在密码安全性时,不应该安全,尤其是身份管理和身份验证服务最好?

在大多数情况下,密码是“房间里的大象”,一个通常被忽视的问题。有时开发人员害怕以负面的方式影响用户体验,但是很多次数只能完成,因为安全是开发人员待办事项列表的底部,并且用户帐户实现通常最终得到基于在Internet上找到的代码示例。

不幸的是,安全社区和安全/合规标准并没有帮助。从历史上看,随机字符的短密码被认为是涉及密码安全性的最佳实践。这不起作用,因为人们无法创建和记住这样的密码。当人们被迫每三个月(每月在某些情况下)时,人们被迫更改他们的密码,它会变得更糟。这意味着人们选择一个非常易于猜测的密码创建方案。标准和密码安全最佳实践尝试使用原始的密码限制来强制执行密码随机性,这最终失败,因为在大多数情况下,人们选择简单的单词,就足够改变它们以满足限制。攻击者将这些行为用作密码开裂和暴力强制性的蓝图,转向受害者的应用程序密码策略。

每个人都接受我们迁移到未来,inpiduals和组织将使用大量离散的应用和服务;我们需要开始思考应用程序的构建块 - 其中的安全和密码保护 - 可以最好地定制以提供这个新世界的需求。理想情况下,替换基于密码的用户身份与其他东西很棒。不幸的是,密码就像蟑螂 - 他们会比我们所有人更有胜任。而不是幻想或假装解决问题不存在并推动云应用程序用户的密码安全的责任,我们需要正确的密码安全实现,我们需要创新,使密码安全和可用。

Kyle Quest是CTO和CloudImmunity的联合创始人,在那里他在使命是改变云安全和云计算的世界。他的专业包括云计算,大数据和安全性。自1996年以来,凯尔作为攻击者,后卫和安全供应商参与了安全性。在CloudImmunity之前,Kyle在Crowdstrike建立了一个基于云的企业安全大数据平台,他是Microsoft制作Windows 8安全的一小组安全专家的一部分。随着云的组织者,哈帕顿集团凯尔参与了当地的云计算社区,他们可以使用许多不同的云技术来建立有趣的东西。