数据结构
网络
关系数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究什么是第三方凭据?如何安全地管理它们?
在信息技术领域,凭据充当身份识别。流行的云计算服务提供商亚马逊网络服务 (AWS) 拥有一个使用凭据系统的安全协议。用户可以使用特定的数字程序接收临时会话凭据,该程序包括访问密钥 ID、秘密访问密钥和安全令牌。
为了在互联网和网络中创建全面且可靠的网络安全基础设施,安全专家除了使用防火墙、入侵检测系统和基于网络的反病毒软件等其他技术外,还利用凭据。随着安全和身份验证计划的复杂性增加,凭据技术的复杂性也在增加。
除了主要系统外,还有其他来源会导致有害的凭据泄露。公司使用的第三方程序使用的特权登录也需要得到保护。
云平台、软件即服务 (SaaS) 和本地第三方程序(如 ERP 系统)都使用具有完全控制权的管理登录。这些帐户应尽可能地保密,并受严格的密码规则保护,使应用程序管理员能够执行管理活动。
凭据填充
尝试使用从一项服务的数据泄露中窃取的凭据登录到另一项不相关的帐户被称为“凭据填充”,这是一种网络攻击。这种攻击基于用户将在多个服务中重复使用用户名和密码的假设。自动化和规模是机器人应用的两个主要方面。为了防止凭据填充 -
限制并监控管理员密码的使用。
避免重复使用凭据。
实施多因素身份验证。
使用密码管理器生成并存储强密码。
使用加密和强哈希。
监控 lsass.exe、NTLM 和访问控制列表。
如何泄露第三方凭据?
首先,尽管这违反了所有最佳实践,甚至是最基本的安全措施,但公司有时会在文本文档或电子表格中简单地列出所有应用程序及其凭据。对于没有加密的黑客来说,这些记录就像一座金矿。尽管看起来很明显,但这些记录本不应该创建。任何几种安全密码存储方法都优于名为 passwords.txt 的记事本文档。您的个人凭据被公开的可能性更大,并且与大型应用程序公司的数据泄露具有相同的负面影响。
其次,针对某些组织修改的代码通常包含明文应用程序凭据。同样,这违反了最佳实践,因为它通常保留在代码本身中,而不是被加密和/或存储在其他位置。当许多系统必须相互通信并需要彼此访问时,这对于集成或自动化目的很常见。根据最小权限原则,这些集成应该使用仅具有执行其任务所需权限的自定义帐户。因此,不应为此目的使用管理应用程序凭据,这是一种捷径,如果这些凭据被公开,可能会严重威胁应用程序及其数据。
如何安全地管理第三方凭据?
让我们看看如何以安全的方式管理第三方凭据 -
您的团队:保护您的第三方登录信息
明文管理凭据很容易在数百个易受攻击的互联网面向服务中被发现;避免使用“password.txt”听起来很尴尬地明显。只有管理员才能访问您的管理凭据。对于应用程序级访问,请使用权限较低的凭据。如果您需要以编程方式使用第三方凭据,请将它们安全地存储在专为此目的而创建的产品中。我对 Secret Server 和 Vault 都有过积极的体验。
您的供应商:使用安全问卷调查您的第三方供应商
大多数企业都可以理解保护其第三方凭据的概念。但是,使用安全问卷调查您的第三方供应商的重要性经常被忽视。
为什么?举个例子。即使凭据被泄露,两因素身份验证 (2FA) 也会在攻击者和目标之间添加额外的保护层,是防止恶意使用第三方凭据的关键控制措施。但是,如果您的供应商应用程序中有一半甚至都没有启用 2FA,那么拥有一个指定管理员凭据上 2FA 的密码安全检查表就没有什么意义。如果您认真对待衡量、监控和降低这种风险,则必须完全了解第三方供应商的安全态势。您还需要让他们对您的要求做出响应。
443 次查看
