資料庫密碼安全面臨挑戰企業如何面對?

　　上個月，黑客攻入了DreamHost公司包含密碼的資料庫(密碼以純文字格式儲存在傳統表格中)，洩露了該公司所有共享託管賬戶的FTP登入密碼。

　　“這個被攻擊的資料庫包含客戶登入FTP伺服器的登入資訊，黑客可以使用這些登入資訊來假冒客戶訪問FTP伺服器，”Imperva公司高階安全分析師Noa Bar-Yosef表示，“造成的結果就是，黑客可以訪問客戶檔案、下載檔案，甚至上傳他們自己的檔案。”

　　據Bar-Yosef稱，除了遵循資料庫安全第一條規則(知道你的資料所在位置)外，DreamHost顯然沒有遵循資料庫密碼儲存的一些最佳做法。

　　“為了保護使用者密碼，企業必須部署強有力的密碼政策，並在加密之前儲存好密碼。黑客通常都能夠非常迅速地攻擊加密密碼。這裡的關鍵是加大黑客的工作難度，”她表示，“這不僅保護禁止使用常見密碼，而且還要禁止使用鍵盤序列密碼。使用密碼短句是一個很好的辦法，因為密碼短句能夠提供足夠的長度來防止黑客對密碼的暴力攻擊。”

　　同時，Bar-Yosef認為，大多數企業在涉及加密金鑰時還要加大力度，因為簡單的加密並不足以阻止黑客。

　　“黑客採用一些技術(例如彩虹表)來找到原始密碼，”她表示，“然而，企業可以給每個密碼增加一個隨機值，從而讓黑客的密碼破解工作變得更加困難。”

　　然而，一些身份驗證專家認為，關於密碼儲存在資料庫的安全問題並不是單靠這些最佳做法就可以解決的，他們認為只有避免將密碼儲存在不安全的分散式資料庫才能夠從根本上預防這些資料洩露事故。

　　“我們的觀點是從一開始就應該摒棄將密碼儲存在資料庫的觀念，”身份管理公司Cyber-Ark Software公司執行副總裁Adam Bosnian表示，“在前端部署一個安全的登入憑證管理系統，這一切問題都可以解決。”

　　Bosnian表示，開發人員每次在開發一個應用程式時，往往會重塑身份管理系統，基本上是將密碼管理硬編碼到他們的中介軟體中，並將密碼儲存在不安全的資料庫，這使得很難對密碼進行集中管理和保護。

　　另一家身份管理公司Viewfinity執行長Leonid Shtilman表示，這種非集中式管理會讓企業陷入非常危險的境地。

　　“這些賬戶實際上沒有出現在IT管理人員的行政賬戶(由AD管理)標準跟蹤清單上，並可能被惡意軟體用以通過‘本地’ 管理員賬戶在本地計算機上安裝惡意軟體，”Shtilman表示，“對IT環境的進一步滲透就是捕獲密碼，包括訪問關鍵資料的密碼。IT安全和運營管理人員必須想辦法緩解這種風險。”

　　身份管理公司Lieberman Software公司執行長Phil Lieberman表示，現在市面上有工具可以解決這個問題，真正的問題在於讓所有人關心這個問題。

　　“web應用程式使用包含重要登入憑證以及資料庫憑證的中介軟體堆疊，而這些憑證資訊一般沒有得到主動管理。這種情況的產生是因為缺乏管理密碼修改過程需要的必要的資源和技能，”Lieberman表示，“IT管理人員和資料庫管理員對於憑證資訊的不當管理既不會得到褒獎也不會受到懲罰，而高層管理人員通常根本不知道什麼是中介軟體，甚至不知道什麼是連線字串以及需要如何進行管理。”

　　即使當企業購買一個管理平臺，如果開發人員沒有好好利用這個平臺，企業仍然會看到密碼散落在各處。即使部署了這些管理平臺，每個部門都應該對開發人員進行重新培訓以正確利用身份管理平臺，否則企業為平臺支付的資金將付諸東流。

　　“應用程式開發團隊仍然不斷將硬編碼憑證放入系統中，因為雙方並沒有連線好，”他表示，“企業必須從上到下制定一套使用規範。”