클라이언트가 암호를 검색하는 기능이 필요한 경우 어떻게합니까?

나는 현재 직장에서 응용 프로그램을 상속 받았으며 당황스럽게도 데이터베이스에 저장된 사용자 암호는 사내 암호화 기능을 사용하여 암호화되며 해독 기능도 포함되어 있음을 깨달았습니다.

따라서 사용자가 실제로해야 할 일은 사용자 테이블을 복사하고 암호화 어셈블리 (데이터베이스 프로덕션 액세스 권한이있는 사람)를 복사하는 것입니다. 그러면 10 만 개의 전자 메일 주소와 잠재적 인 암호에 액세스 할 수 있습니다.

나는 이것이 왜 좋은 생각이 아닌지 비즈니스에 설명하려고 노력하고 있지만 보안 개념은 기술적으로 마음이 들지 않기 때문에 (정부를위한 것) 머리 위로 넘어가는 것처럼 보입니다. 또한 응용 프로그램 내에 관리자가 사용자의 암호를 검색하여 로그인하고 작업을 수행하기 위해 필요한 기존 기능이 있습니다 (필요한 내용).

따라서 보안의 의미를 이해하지 못합니다. 그리고 강력한 보안 정책 (암호를 쉽게 검색 할 수 없도록 해싱)을 구현하려면 기존 기능을 제거해야합니다.

어떻게해야합니까? 처음에는 암호 시스템을 만들지 않았으므로 문제가 발생하면 비난받을 수는 없습니다. 다른 한편으로, 나는 그것에 대해 기분이 좋지 않으며 또한 100,000 개의 잠재적 전자 메일 로그온에 액세스하고 싶지 않습니다.

필요한 기능을 안전하게 구현하십시오. 다른 사용자로 로그인 한 관리자는 사용자의 비밀번호를 모르더라도 구현할 수 있습니다. 그들은 그들 자신으로 로그인 한 다음, 'change-identity'기능을 사용할 수 있습니다.

암호 데이터베이스 보안은 비즈니스 문제가 아니라 기술적 인 문제입니다. 그렇게하지 않는 것은 버그입니다. 비즈니스에서 보안을 기능적 상충 관계로 생각하면 보안이 손실됩니다. 이런 식으로 생각할 이유를 제공해서는 안됩니다.

서버가 고장난 경우 실제로 민사상 책임을 질 필요 가 없음 을 확신시켜야합니다 . 또한 그들이 무시하고 있음을 깨닫는 정보가있는 사용자로부터의 반발도 필요하지 않습니다.

때때로 한 당사자가 잘못되고 다른 당사자가 옳은 명확한 사례가 있습니다. 이것은 그 때 중 하나입니다.

소니에 무슨 일이 있었는지보세요. 또한 우리 사이트는 최근에 해킹 당했으며 사이트가 완화되지 않은 재난이되지 않도록 막 았던 것 중 하나는 (상대적으로) 좋은 단방향 해싱 기능 (SHA512)을 사용했다는 것입니다. 그 이후 우리는 무차별 대입 공격 / 사전 공격을 방지하기 위해 bcrypt로 전환했습니다. 나는 단순히 다른 것을 찾을 수 없다.

사실 : 사람들은 많은 사이트에서 동일한 비밀번호를 사용합니다

상사는 아마도 사람들이 모든 종류의 서비스 (뱅킹 또는 Facebook 등)에 단일 암호 (또는 매우 제한된 암호)를 사용한다는 것을 인식하지 못할 수도 있습니다. 사용자가 시스템에서 비밀번호를 변경할 수 있다면 다른 곳과 동일한 비밀번호를 사용했을 가능성이 높습니다.

상사가이 암호 액세스가 문제가되지 않는다고 생각하면,이 사실을 알려 주어야하며 다르게 생각하기 시작할 것입니다. 앱이 벽 뒤에 있고 공개적으로 액세스 할 수없는 경우에도 다른 온라인 서비스에 보안 위협이 발생할 수 있습니다. 사용자 이름 (특히 이메일 인 경우)은 추측하기 쉽습니다. 보스의 Facebook 계정에 로그인하여 벽에 무언가를 놓는 것이 얼마나 재미 있을지 상상할 수 없습니다.

사용자 암호는 항상 제한된 수의 사람들 만 액세스 할 수있는 최상위 개인 정보 / 기밀 정보로 취급해야합니다. 이러한 휘발성 정보를 저장하지 않는 것이 가장 좋습니다. 그리고 그렇게해도이 정보에 대한 단일 액세스 권한이 부여되어야합니다. 여러 키로 만 열 수있는 매우 안전한 금고에서 기밀 용지를 얻는 것과 같습니다. 따라서 사람들은 누가 언제 액세스 할 수 있는지 알 수 있습니다.

계정 위임을 구현하는 방법

응용 프로그램의 계정 위임은 다르게 수행되어야합니다.

1. 관리자는 자신으로 로그인 한 다음
2. (특권 사용자이므로)
   • UserName 만 입력 하거나
   • 목록에서 특정 사용자를 선택하여 로그인하십시오

UserName + Password 조합 으로 로그인하여 수행해서는 안됩니다 .

위임 된 로그온을 허용하기 위해 새 화면을 개발해야하지만 여전히 그렇습니다.

위임 된 로그온이 더 나은 이유는 무엇입니까?

관리자가 일부 사용자를 대신하여 일부 작업을 수행했음을 분명히하는 추가 기능을 제공 할 수도 있습니다 (관리자가 신으로 행동하고 누구에게나 로그인하여 해칠 수있는 일을하고 있기 때문에 알 수 없음) 실제 직원 평판).

사람들이 실수를한다는 데 동의해야합니다. 관리자도 사람입니다. 그리고 그들이 다른 사람을 대신하여 실수를하면 그들은 그들을 탓하려고 시도 할 것입니다. 100 % 확신합니다. 이렇게하면 관리자가 아닌 사용자가 더 안전하게 사용할 수 있으므로 실제 평판이 다른 사람의 실수로 인해 피해를 입지 않습니다.

응용 프로그램의 기능에 대해서는 언급하지 않았습니다. 보호해야하는 신원 도용 정보로 가득 찬 여권 신청인 경우 최대한의 보호가 필요합니다. 그러나 그것이 "내 집으로가는 길에 교통 사고를 알려 주면"암호 위반의 결과는 무엇입니까? 내가 작성한 일부 시스템에는 비밀번호가 없습니다. 이메일이나 학생 번호 또는 사람들이 자주 알고있는 다른 식별자를 입력하기 만하면 시스템 소유자는 사용의 용이성과 잠금 기능을 사용할 수 없음을 중요하게 생각합니다 사람들이 서로 가장하는 경우 가능한 개인 정보 보호 위반에 대해 나도 그 문제가 없습니다. 예를 들어 회의에서 선호 세션 일정을 설정하기 위해 암호가 필요한 이유는 무엇입니까?

코드 검토를 위해 가져 와서 이것을 제게 제기했다면 바로 여기에서 시작합니다. 무엇을 보호하고 있습니까? 한 사람이 다른 사람으로 로그인하면 부정적인 결과는 무엇입니까? 모든 사람의 저장된 데이터가 노출되면 어떤 부정적인 결과가 발생합니까? 어쩌면 그들은 끔찍할 수도 있습니다. 당신은 나를 위해 그들을 나열합니다. 그렇다면 사람들이 "나의 비밀번호를 이메일로 보내기"를 클릭 할 수 없지만 "비밀번호 재설정"을 클릭해야하는 결과는 무엇입니까? 그들은 사이트 사용을 중단합니까? 직원으로 로그인 한 직원은 어떻습니까? 저축 시간, 돈, 판매 손실 또는 무엇입니까?

비용 / 혜택 이야기의 마지막 부분과 현재 노출되는 부정적인 부분과 기능을 제거 할 때 얻게 될 부정적인 부분 사이에 실제로 큰 차이가있는 경우에만 얻을 수있는 것은 문제를 해결하는 비용입니다. 천 달러 노출의 기회를 아끼기 위해 백만 달러를 쓸까요? 아니요. 다른 방법은 어떻습니까? 확률에 따라 다르지만 첫 번째 대답은 '예'일 것입니다.

ps-캐나다 정부는 URL에 ID가있는 패스포트 신청 사이트를 통해 생방송했습니다. 다른 ID로 URL을 편집 한 경우 다른 임의 시민의 절반이 완성 된 형태를 보았습니다. 그리고 일반적인 행복을 위해 고객 서비스 목적으로 고객으로 로그인하는 고객이 있으므로 암호 뒤에있는 데이터가 실제로 낯선 사람에게 중요하다면 그것을 견딜 수는 없지만 좋은 편은 아닙니다.

법률에 위배 될 수 있으며 고소 될 수 있습니다. 이들이 사용자에 대한 개인 정보를 보유하고 있거나 시스템이 사용자로서 다른 시스템과 상호 작용하는 경우 시스템이 주 또는 연방 개인 정보 보호법 또는 법률에 해당되는지 확인해야 할 수도 있습니다. 즉. Sarbanes / Oxley, 캘리포니아 OOPA 등

잠재적 인 법적 문제 외에도 관리자는 언제든지 전체 테이블을 휴대용 데이터 스틱에 덤프하고 사용자로 로그인하여 혼란을 유발하거나 데이터를 판매 할 수있는 능력을 남길 수 있습니다.

모든 관리자를 신뢰할 수 있다고 가정하더라도 관리자 암호가 손상 될 수 있습니다.

또한 작업을 수행하기 위해 사용자 비밀번호가 필요하지 않습니다. sudo유사한 기능을 구현할 수 있습니다 .

FIPS 및 FISMA 요구 사항으로 인해 암호에 대한 가역적 암호화가 금지되고 부모 부서에서 암호를 달에 때리기 때문에 연방 정부 시스템 일 수는 없습니다.

그리고 강력한 보안 정책 (암호를 쉽게 검색 할 수 없도록 해싱)을 구현하려면 기존 기능을 제거해야합니다.

이전 회사의 경우이 문제를 해결하기 위해 비밀번호 재설정 이메일을 보낼 수있는 능력을 찾기 위해 계속 노력했습니다. 그리고 나는 계속 지배했다. 결국, 나는 조수에 똥을 삽질하는 것에 질려서 떠났다. 이것은 또한 일부 은행 웹 사이트가 묻는 바보 같은 질문이 "2 요소 인증"으로 간주된다고 생각하는 뾰족한 머리 보스였습니다. 그와 논쟁하는 것은 Dilbert 만화와 같았습니다 (PHB 모양).

또한 응용 프로그램 내에 관리자가 사용자의 암호를 검색하여 로그인하고 작업을 수행하기 위해 필요한 기존 기능이 있습니다 (필요한 내용).

나는 이것이 금융 기관에서 구현되는 것을 보았습니다. 고객 지원 영역의 직원은 자신의 자격 증명을 사용하여 로그인 할 수 있으며, 그렇게 할 권한이 있으면 고객으로 로그인하는 것처럼 가장 할 수 있습니다. 이것은 고객으로 로그인하지 않고 고객을 가장 한 것 입니다. 이렇게하면 고객 서비스 담당자가 돈을 인출하기로 결정한 경우 고객이 로그에 돈을 버는 것으로 표시되지 않습니다. 고객 서비스 담당자가이를 시도하고 있음을 보여줍니다 (단, 즉시 고객에게 해고하라는 알림을 보내는 것임) rentacop는 그들의 바닥에 그것을 만들 수 있습니다).

잘못하면 고객 지원 직원이 최종 사용자가 심각한 재정적 또는 법적 책임을 초래할 수있는 활동에 참여한 것으로 보일 수 있습니다.

내가 일한 마지막 연방 웹 사이트는 최종 사용자 (약 400 명의 사용자가 있음)에서 연간 15 억 달러를 모았으므로 로깅은 매우 엄격해야했으며 승인 된 최종 사용자 만 만질 수있었습니다. 그들이 소비세를 지불 한 물건을 신고 한 웹 페이지.

소니는 최신 보안 침해 회사 중 하나였습니다. PS3 네트워크뿐만 아니라 MMORPG 게임 네트워크이기도했으며, 총 25,000,000 개 이상의 이름, 주소, 신용 카드 번호, 사용자 이름 및 암호를 사용했습니다. 당신은 내가 전혀 행복하지 않다고 믿을 수 있습니다.

이와 같은 문제에 대해서는 소프트웨어 공학 윤리 강령 을 참조합니다 . 내 해석에 따르면, 우선 순위는 공익을 훼손하지 않는 것입니다 ( 여기 에서 회사가 Dell 랩톱을 수정하여 임대 회사가 모르게 임대인을 감시 할 수있는 이 예 와 같이 암호가 손상 될 가능성이 없음). 그 후에는 고객에게 잠재적 인 위험을 알리고이를 고려하도록해야합니다. 물론 그것은 최소 기준입니다. 이것이 여전히 당신이 견딜 수 있고 허용 할 수있는 것 이상이라고 생각하는지 여부에 대한 자신의 판단을 사용해야합니다.

물론 정부 프로젝트를 언급 할 때 이러한 관행으로 인해 시민의 개인 정보가 위험에 노출 될 경우 대중의 관심을 약화시킵니다.

표지와 "기밀"이라는 큰 경고와 함께 이메일 목록과 암호 해독 된 암호를 인쇄하여 상사의 책상에 놓을 수 있습니다.

종이를 낭비하지 않도록 글꼴을 작게 만드십시오.

또한 관리자가 bugzilla가 암호를 사용하지 않고 사람을 가장하는 방법을 보여줄 수도 있습니다.

우선, 나는 이것을 피하는 것이 훨씬 안전하고 암호 자체가 아닌 암호 해시 또는 암호로 다시 변환 할 수있는 것만 저장 하는 것이 훨씬 안전 하다는 다른 답변에 동의 합니다.

그러나 복구를 허용해야 할 때가 있습니다. 암호의 경우 일반적으로 기존 암호를 복구하지 않고 필요할 때 관리자가 암호를 변경하도록하여 복구하려는 경우가 있습니다.

그러나 다른 방법으로는 사용자가 자신의 암호로 암호화 된 서버에 데이터를 저장할 수 있다는 것입니다. 이 경우 관리자가 단순히 암호를 변경하는 것만으로 는 충분 하지 않습니다 . 새 비밀번호는 데이터를 해독하는 데 사용할 수 없으며 대부분의 사용자는 비밀번호를 잊어 버렸을 때 / 잃어버린 경우 모든 암호화 된 데이터에 액세스 할 수 없게됩니다. 이 상황에서는 합리적으로 안전하고 실제로 필요할 때 복구 할 수있는 대안이 있습니다.

사용자 암호를 사용하여 데이터를 암호화하는 대신 임의의 키를 만들어 데이터 자체를 암호화합니다. 그런 다음이 키를 두 위치에 저장합니다. 한 번은 사용자 암호로 암호화하고 다른 곳은 관리자 암호로 암호화합니다. 그런 다음 사용자가 자신의 비밀번호를 잊어 버려 더 이상 데이터에 직접 액세스 할 수없는 경우 관리자 비밀번호를 사용하여 실제 키를 해독하고이를 사용하여 데이터를 복구하거나 키를 다시 암호화 할 수 있습니다 사용자의 새 비밀번호

단일 관리자를 완전히 신뢰하지 않으려면 관리 할 수도 있습니다. 예를 들어, 5 명에게 관리자 키가 있고, 키를 복구하기 전에 3 명 이상이 동의하기를 원할 수 있습니다. 이 경우 관리 목적으로 암호화 된 비밀번호를 저장하는 경우 5 명의 관리자 중 3 명에 대해 한 번씩 한 번씩 여러 번 저장합니다 (여러 키만 저장하기 때문에 많은 공간을 차지하지 않습니다 . 데이터의 여러 사본이 아닌 ~ 256 비트 씩). 각 사본은 해당 세 명의 관리자에 대한 각 비밀번호 (해시)로 순차적으로 암호화됩니다.

암호를 해독하려면 암호를 입력하는 세 명의 관리자를 식별하고 해당 세 세트에 대해 적절한 암호화 키를 선택한 다음 세 암호 각각을 사용하여 암호를 해독하여 원래 키를 가져와야합니다. 그런 다음이를 사용하여 데이터 자체를 복구하거나 사용자의 새 비밀번호 (해시)로 다시 암호화하여 데이터에 계속 액세스 할 수 있습니다.

이 작업을 수행 할 때,하지만 당신은 정말 (강한 선호도에) 표준 암호화 알고리즘 및 표준 그것의, 잘 알려진, 철저하게 연구 된 구현을 사용합니다.

이것은 정부 프로젝트에 대한 것이므로 걱정입니다. 자신의 ID로 작업을 수행하기 위해 사용자의 비밀번호를 검색하면 모든 종류의 보안 감사에서 말이되지 않습니다. 내가 볼 수있는 유일한 이유는 가짜 감사 추적을 만드는 것입니다.

암호에 가역적 암호화를 사용할 필요는 없습니다. 사용자 ID를 스푸핑해야하는 정당한 사유가있는 경우 다음을 수행 할 수 있습니다.

• 현재 비밀번호 해시 저장
• 알려진 값으로 교체
• (감사 감사 추적 활동, 예 : 자금을 해외 계좌로 이체)
• 원래 비밀번호 해시 교체

마지막 단계는 불편할 것입니다. 시스템을 가장 한 사람은 그것이 일어난 일을 알아야합니다. "내가 정말로 필요하다고 말했기 때문에 귀하의 은행이 귀하의 지식없이 귀하의 계정에 액세스하게하는 것과 같습니다."라고 말함으로써 비즈니스를 설득 할 수 있습니다.

더 나은 암호 시스템에 대한 그들의 믿음은 문제가 아닙니다. 관리자 / 지원자가 사용자 계정을 가장하고 암호에 대한 수정 사항을 제공 할 수있는 솔루션을 작성하십시오. 보안은 편의상 종종 어려움을 겪습니다. 편리하고 안전하게 만드십시오.

편집 : 암호 보안 문제를 완전히 이해하지는 못하지만 기능 손실을 이해합니다. 이 제안서를 작성하고 필요한 변경을 승인 할 수 있는지 확인하십시오. 그들은 1 시간 또는 1 년이 걸릴지조차 모릅니다. 완전한 재 구축이 아닌 기능 변경입니다.

Epsilon 데이터 유출 및 Playstation 네트워크 데이터 유출과 같은 현재 이벤트를 고려할 때 문제가 분명하게 드러나기를 바랍니다.

그러나 때때로 개발자는 단순히 정책에 영향을 줄 수 없습니다.

나는 현재 사건을 다시 고려할 때 스캔들과 비용의 가능성을 보여주기 위해 최선을 다할 것입니다. 그러나 그것이 성공하지 못하면 실제로 무엇을 할 수 있습니까? 별로. 항의를 그만두고주의를 환기시키는 취약점을 보여주십시오. 좋은 옵션처럼 들리지 않습니다.

나는 이것에 대해 조언하지 않지만 암호를 해독 할 수있는 능력이 있어야한다면 공개 키 암호화를 사용해야합니다. 이렇게하면 공개 키를 사용하여 모든 비밀번호를 암호화 할 수 있습니다. 공개 키를 사용하여 암호화하고 비교하여 비밀번호를 확인할 수 있으며 개인용 키를 프로덕션 컴퓨터가 아닌 다른 곳에 유지할 수 있습니다.

일반적으로 관리자가 사용자 비밀번호를 확인하는 이유는 비밀번호를 잊어 버린 경우 사용자에게 비밀번호를 제공 할 수 있기 때문입니다. 내가 알 수있는 한 Windows는 관리자가 암호를 보도록 허용하지 않습니다. 응용 프로그램은 왜 필요합니까? 내가 작성한 사람이 NSA에서 작동하지 않는다고 확신하기 때문에 모든 사내 암호화 라이브러리가 손상되었을 것입니다.