ผู้ตรวจสอบความปลอดภัยสำหรับเซิร์ฟเวอร์ของเราได้เรียกร้องสิ่งต่อไปนี้ภายในสองสัปดาห์:

• รายการชื่อผู้ใช้ปัจจุบันและรหัสผ่านข้อความล้วนสำหรับบัญชีผู้ใช้ทั้งหมดบนเซิร์ฟเวอร์ทั้งหมด
• รายการการเปลี่ยนแปลงรหัสผ่านทั้งหมดสำหรับหกเดือนที่ผ่านมาอีกครั้งในข้อความธรรมดา
• รายการ "ทุกไฟล์ที่เพิ่มไปยังเซิร์ฟเวอร์จากอุปกรณ์ระยะไกล" ในช่วงหกเดือนที่ผ่านมา
• พับลิกและไพรเวตคีย์ของคีย์ SSH ใด ๆ
• อีเมลที่ส่งถึงเขาทุกครั้งที่ผู้ใช้เปลี่ยนรหัสผ่านประกอบด้วยรหัสผ่านข้อความล้วน

เราใช้กล่อง Red Hat Linux 5/6 และ CentOS 5 พร้อมการตรวจสอบสิทธิ์ LDAP

เท่าที่ฉันทราบทุกอย่างในรายการนั้นเป็นไปไม่ได้หรือยากที่จะได้รับอย่างเหลือเชื่อ แต่ถ้าฉันไม่ให้ข้อมูลนี้เราต้องเผชิญกับการสูญเสียการเข้าถึงแพลตฟอร์มการชำระเงินของเราและสูญเสียรายได้ในช่วงระยะเวลาการเปลี่ยนแปลง บริการใหม่ คำแนะนำใด ๆ สำหรับฉันจะแก้ไขหรือปลอมข้อมูลนี้ได้อย่างไร

วิธีเดียวที่ฉันคิดว่าจะได้รับรหัสผ่านแบบข้อความล้วนคือให้ทุกคนรีเซ็ตรหัสผ่านและจดบันทึกสิ่งที่พวกเขาตั้งไว้ ไม่ได้แก้ปัญหาการเปลี่ยนแปลงรหัสผ่านหกเดือนที่ผ่านมาเพราะฉันไม่สามารถบันทึกสิ่งต่าง ๆ ย้อนหลังแบบเดียวกันได้เช่นเดียวกันสำหรับการบันทึกไฟล์ระยะไกลทั้งหมด

การรับคีย์ SSH สาธารณะและส่วนตัวทั้งหมดเป็นไปได้ (แม้ว่าจะน่ารำคาญ) เนื่องจากเรามีผู้ใช้และคอมพิวเตอร์เพียงไม่กี่คน หากฉันไม่ได้ทำวิธีนี้ง่ายกว่านี้อีก

ฉันอธิบายให้เขาหลายครั้งว่าสิ่งที่เขาขอนั้นเป็นไปไม่ได้ เพื่อตอบข้อกังวลของฉันเขาตอบกลับด้วยอีเมลต่อไปนี้:

ฉันมีประสบการณ์มากกว่า 10 ปีในการตรวจสอบความปลอดภัยและเข้าใจวิธีการรักษาความปลอดภัย redhat ดังนั้นฉันขอแนะนำให้คุณตรวจสอบข้อเท็จจริงของคุณเกี่ยวกับสิ่งที่เป็นและเป็นไปไม่ได้ คุณบอกว่าไม่มี บริษัท ใดอาจมีข้อมูลนี้ แต่ฉันได้ทำการตรวจสอบหลายร้อยครั้งซึ่งข้อมูลนี้พร้อมใช้งานแล้ว ลูกค้า [ผู้ให้บริการประมวลผลบัตรเครดิตทั่วไป] ทั้งหมดจะต้องปฏิบัติตามนโยบายความปลอดภัยใหม่ของเราและการตรวจสอบนี้มีจุดประสงค์เพื่อให้แน่ใจว่านโยบายเหล่านั้นได้ดำเนินการอย่างถูกต้อง *

* "นโยบายความปลอดภัยใหม่" เปิดตัวสองสัปดาห์ก่อนการตรวจสอบของเราและไม่จำเป็นต้องมีการบันทึกประวัติหกเดือนก่อนการเปลี่ยนแปลงนโยบาย

ในระยะสั้นฉันต้องการ;

• วิธีเปลี่ยนรหัสผ่าน "ปลอม" หกเดือนที่คุ้มค่าและทำให้ถูกต้อง
• วิธีการ "ปลอม" การถ่ายโอนไฟล์ขาเข้าหกเดือน
• วิธีง่ายๆในการรวบรวมกุญแจสาธารณะและกุญแจส่วนตัวของ SSH ทั้งหมดที่ใช้งาน

หากเราล้มเหลวในการตรวจสอบความปลอดภัยเราจะสูญเสียการเข้าถึงแพลตฟอร์มการประมวลผลบัตรของเรา (เป็นส่วนสำคัญของระบบของเรา) และใช้เวลาสองสัปดาห์ในการย้ายที่อื่น ฉันเมาแค่ไหน?

อัปเดต 1 (วันเสาร์ที่ 23)

ขอบคุณสำหรับคำตอบทั้งหมดของคุณมันทำให้ฉันรู้สึกโล่งใจที่ได้รู้ว่านี่ไม่ใช่การปฏิบัติตามมาตรฐาน

ขณะนี้ฉันกำลังวางแผนการตอบกลับอีเมลของฉันเพื่ออธิบายสถานการณ์ ดังที่คุณหลายคนชี้ให้เห็นเราต้องปฏิบัติตาม PCI ซึ่งระบุไว้อย่างชัดเจนว่าเราไม่ควรมีวิธีการเข้าถึงรหัสผ่านแบบข้อความธรรมดา ฉันจะโพสต์อีเมลเมื่อฉันเขียนเสร็จแล้ว น่าเสียดายที่ฉันไม่คิดว่าเขาจะทดสอบเรา สิ่งเหล่านี้อยู่ในนโยบายความปลอดภัยอย่างเป็นทางการของ บริษัท ในขณะนี้ อย่างไรก็ตามฉันมีการตั้งค่าล้อในการเคลื่อนไหวเพื่อย้ายออกไปจากพวกเขาและบน PayPal ในขณะนี้

อัปเดต 2 (วันเสาร์ที่ 23)

นี่คืออีเมลที่ฉันได้ร่างไว้คำแนะนำสำหรับสิ่งที่จะเพิ่ม / ลบ / เปลี่ยน?

สวัสดี [ชื่อ]

น่าเสียดายที่เราไม่สามารถให้ข้อมูลบางอย่างที่คุณร้องขอได้โดยส่วนใหญ่เป็นรหัสผ่านข้อความธรรมดาประวัติรหัสผ่านคีย์ SSH และไฟล์บันทึกระยะไกล สิ่งเหล่านี้ไม่เพียงเป็นไปไม่ได้ทางเทคนิคเท่านั้น แต่ยังสามารถให้ข้อมูลนี้ได้ทั้งกับมาตรฐาน PCI และการฝ่าฝืนพระราชบัญญัติการปกป้องข้อมูล
เพื่ออ้างอิงข้อกำหนด PCI

8.4 แสดงรหัสผ่านทั้งหมดที่อ่านไม่ได้ในระหว่างการส่งและจัดเก็บข้อมูลในส่วนประกอบของระบบทั้งหมดโดยใช้การเข้ารหัสที่รัดกุม

ฉันสามารถให้คุณมีรายชื่อผู้ใช้และรหัสผ่านที่แฮชที่ใช้ในระบบของเราสำเนาของกุญแจสาธารณะ SSH และไฟล์โฮสต์ที่ได้รับอนุญาต (ซึ่งจะให้ข้อมูลเพียงพอที่จะกำหนดจำนวนผู้ใช้ที่ไม่ซ้ำกันที่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ของเราและการเข้ารหัส วิธีการที่ใช้) ข้อมูลเกี่ยวกับข้อกำหนดด้านความปลอดภัยของรหัสผ่านและเซิร์ฟเวอร์ LDAP ของเรา แต่ข้อมูลนี้อาจไม่ถูกนำออกจากไซต์ ฉันขอแนะนำให้คุณตรวจสอบข้อกำหนดการตรวจสอบของคุณเนื่องจากขณะนี้ยังไม่มีวิธีที่เราจะผ่านการตรวจสอบนี้ในขณะที่ยังคงเป็นไปตาม PCI และพระราชบัญญัติการปกป้องข้อมูล

ขอแสดงความนับถือ
[ฉัน]

ฉันจะเป็น CC'ing ใน CTO ของ บริษัท และผู้จัดการบัญชีของเราและฉันหวังว่า CTO จะสามารถยืนยันได้ว่าไม่มีข้อมูลนี้ ฉันจะติดต่อกับ PCI Security Standards Council เพื่ออธิบายสิ่งที่เขาต้องการจากเรา

อัปเดต 3 (26)

นี่คืออีเมลที่เราแลกเปลี่ยน

RE: อีเมลแรกของฉัน

ตามที่อธิบายไว้ข้อมูลนี้ควรมีอยู่ในระบบที่ได้รับการบำรุงรักษาอย่างดีให้กับผู้ดูแลระบบที่มีอำนาจ ความล้มเหลวของคุณในการให้ข้อมูลนี้ทำให้ฉันเชื่อว่าคุณตระหนักถึงข้อบกพร่องด้านความปลอดภัยในระบบของคุณและไม่ได้เตรียมที่จะเปิดเผยข้อมูลเหล่านั้น คำขอของเราสอดคล้องกับแนวทาง PCI และสามารถพบได้ทั้งคู่ การเข้ารหัสลับที่แข็งแกร่งหมายถึงรหัสผ่านจะต้องถูกเข้ารหัสในขณะที่ผู้ใช้กำลังป้อนรหัสผ่าน แต่จากนั้นพวกเขาควรจะย้ายไปอยู่ในรูปแบบที่กู้คืนได้เพื่อใช้ในภายหลัง

ฉันไม่เห็นปัญหาการป้องกันข้อมูลสำหรับคำขอเหล่านี้การป้องกันข้อมูลจะใช้กับผู้บริโภคที่ไม่ใช่ธุรกิจเท่านั้นดังนั้นจึงไม่ควรมีปัญหากับข้อมูลนี้

เพียงแค่สิ่งที่ฉันไม่สามารถแม้แต่ ...

"การเข้ารหัสที่รัดกุมเท่านั้นหมายถึงรหัสผ่านจะต้องถูกเข้ารหัสในขณะที่ผู้ใช้กำลังป้อนรหัสผ่าน แต่จากนั้นพวกเขาควรจะย้ายไปอยู่ในรูปแบบที่กู้คืนได้เพื่อใช้ในภายหลัง"

ฉันจะใส่กรอบลงไปที่ผนังของฉัน

ฉันเบื่อหน่ายกับการเจรจาต่อรองและชี้นำเขาไปยังหัวข้อนี้เพื่อแสดงคำตอบที่ฉันได้รับ:

การให้ข้อมูลนี้ขัดแย้งโดยตรงกับข้อกำหนดหลายประการของแนวทาง PCI ส่วนที่ฉันยกมาพูดว่าstorage (ตรงกับที่เราเก็บข้อมูลบนดิสก์) ฉันเริ่มการสนทนาบน ServerFault.com (ชุมชนออนไลน์สำหรับผู้เชี่ยวชาญด้าน sys-admin) ซึ่งได้สร้างการตอบสนองอย่างมากทุกคนที่แนะนำว่าไม่สามารถให้ข้อมูลนี้ได้ รู้สึกอิสระที่จะอ่านผ่านตัวคุณเอง

https://serverfault.com/questions/293217/

เราได้ย้ายระบบของเราไปยังแพลตฟอร์มใหม่แล้วและจะยกเลิกบัญชีของเรากับคุณภายในวันถัดไปหรือมากกว่านั้น แต่ฉันต้องการให้คุณตระหนักว่าคำขอเหล่านี้ไร้สาระเป็นอย่างไรและไม่มี บริษัท ใดที่ปฏิบัติตามแนวทาง PCI อย่างถูกต้อง สามารถให้ข้อมูลนี้ได้ ฉันขอแนะนำให้คุณลองคิดทบทวนข้อกำหนดด้านความปลอดภัยของคุณเพราะไม่มีลูกค้าคนใดที่สามารถปฏิบัติตามข้อกำหนดนี้

(ฉันลืมไปแล้วจริง ๆ ฉันเรียกเขาว่าคนโง่ในชื่อ แต่ดังที่กล่าวไว้แล้วว่าเราได้ย้ายออกจากแพลตฟอร์มของพวกเขาแล้วดังนั้นจึงไม่มีการสูญเสียที่แท้จริง)

และในการตอบกลับของเขาเขาบอกว่าไม่มีใครรู้ว่าคุณกำลังพูดถึง:

ฉันอ่านรายละเอียดผ่านทางคำตอบเหล่านั้นและโพสต์ต้นฉบับของคุณผู้ตอบทุกคนต้องได้รับข้อเท็จจริง ฉันอยู่ในอุตสาหกรรมนี้นานกว่าทุกคนในไซต์นั้นการรับรายการรหัสผ่านของบัญชีผู้ใช้เป็นพื้นฐานอย่างไม่น่าเชื่อมันควรเป็นหนึ่งในสิ่งแรกที่คุณทำเมื่อเรียนรู้วิธีการรักษาความปลอดภัยระบบของคุณ เซิร์ฟเวอร์ หากคุณขาดทักษะในการทำสิ่งนี้อย่างแท้จริงฉันจะสมมติว่าคุณไม่ได้ติดตั้ง PCI บนเซิร์ฟเวอร์ของคุณเนื่องจากความสามารถในการกู้คืนข้อมูลนี้เป็นข้อกำหนดพื้นฐานของซอฟต์แวร์ เมื่อจัดการกับสิ่งต่าง ๆ เช่นการรักษาความปลอดภัยคุณไม่ควรถามคำถามเหล่านี้ในฟอรัมสาธารณะหากคุณไม่มีความรู้พื้นฐานเกี่ยวกับวิธีการทำงาน

ฉันอยากจะแนะนำว่าความพยายามใด ๆ ที่จะเปิดเผยฉันหรือ [ชื่อ บริษัท ] จะได้รับการพิจารณาว่าเป็นการหมิ่นประมาทและจะมีการดำเนินการทางกฎหมายที่เหมาะสม

ทำคะแนนงี่เง่าถ้าคุณทำพลาด:

• เขาเป็นผู้ตรวจสอบความปลอดภัยนานกว่าใครที่นี่ (เขาคาดเดาหรือสะกดรอยตามคุณ)
• ความสามารถในการรับรายการรหัสผ่านบนระบบ UNIX นั้นเป็น 'พื้นฐาน'
• PCI เป็นซอฟต์แวร์
• ผู้คนไม่ควรใช้ฟอรัมเมื่อพวกเขาไม่มั่นใจในความปลอดภัย
• การโพสต์ข้อมูลข้อเท็จจริง (ซึ่งฉันมีหลักฐานอีเมล) ทางออนไลน์คือการกลั่นแกล้ง

ยอดเยี่ยม

PCI SSC ได้ตอบกลับและกำลังตรวจสอบเขาและ บริษัท ซอฟต์แวร์ของเราย้ายไปยัง PayPal แล้วดังนั้นเราจึงรู้ว่าปลอดภัยแล้ว ฉันจะรอให้ PCI กลับมาหาฉันก่อน แต่ฉันเริ่มกังวลเล็กน้อยว่าพวกเขาอาจใช้วิธีปฏิบัติด้านความปลอดภัยเหล่านี้ภายใน ถ้าเป็นเช่นนั้นฉันคิดว่ามันเป็นความกังวลหลักสำหรับเราเนื่องจากการประมวลผลบัตรทั้งหมดของเราดำเนินการผ่านพวกเขา หากพวกเขาทำสิ่งนี้ภายในฉันคิดว่าสิ่งเดียวที่รับผิดชอบที่ต้องทำคือแจ้งลูกค้าของเรา

ฉันหวังว่าเมื่อ PCI รู้ว่ามันแย่แค่ไหนพวกเขาจะทำการตรวจสอบทั้ง บริษัท และระบบ แต่ฉันไม่แน่ใจ

ดังนั้นตอนนี้เราย้ายออกจากแพลตฟอร์มของพวกเขาและสมมติว่าอย่างน้อยสองสามวันก่อนที่ PCI จะกลับมาหาฉันคำแนะนำในการประดิษฐ์สำหรับวิธีการหมุนรอบเขาสักเล็กน้อย? =)

เมื่อฉันได้รับอนุญาตจากนักกฎหมายของฉัน (ฉันสงสัยอย่างมากเกี่ยวกับเรื่องนี้เป็นความจริง แต่ฉันต้องการตรวจสอบอีกครั้ง) ฉันจะเผยแพร่ชื่อ บริษัท ชื่อและอีเมลของเขาและหากคุณต้องการให้คุณสามารถติดต่อเขาและอธิบาย ทำไมคุณไม่เข้าใจพื้นฐานของการรักษาความปลอดภัย Linux เช่นวิธีรับรายการรหัสผ่านผู้ใช้ LDAP ทั้งหมด

อัพเดทเล็กน้อย:

"นักกฎหมาย" ของฉันแนะนำให้เปิดเผย บริษัท อาจจะทำให้เกิดปัญหามากกว่าที่จำเป็น ฉันสามารถพูดได้ว่านี่ไม่ใช่ผู้ให้บริการรายใหญ่ แต่มีลูกค้าน้อยกว่า 100 รายที่ใช้บริการนี้ ตอนแรกเราเริ่มใช้มันเมื่อไซต์เล็ก ๆ และทำงานบน VPS เล็กน้อยและเราไม่ต้องการผ่านความพยายามทั้งหมดในการรับ PCI (เราเคยเปลี่ยนเส้นทางไปยังส่วนหน้าของพวกเขาเช่น PayPal Standard) แต่เมื่อเราย้ายไปที่การประมวลผลการ์ดโดยตรง (รวมถึงการรับ PCI และสามัญสำนึก) devs ตัดสินใจที่จะใช้ บริษัท เดียวกันกับ API ที่แตกต่างกันต่อไป บริษัท ตั้งอยู่ในเขตเบอร์มิงแฮมสหราชอาณาจักรดังนั้นฉันจึงสงสัยอย่างมากว่าทุกคนที่นี่จะได้รับผลกระทบ

ก่อนอื่นอย่ายอมแพ้ เขาไม่เพียง แต่เป็นคนงี่เง่า แต่เป็นอันตรายอย่างยิ่ง ในความเป็นจริงการปล่อยข้อมูลนี้จะละเมิดมาตรฐาน PCI (ซึ่งเป็นสิ่งที่ฉันสมมติว่าการตรวจสอบเป็นเพราะมันเป็นหน่วยประมวลผลการชำระเงิน) พร้อมกับมาตรฐานอื่น ๆ ออกมาและสามัญสำนึกเพียงธรรมดา นอกจากนี้ยังจะทำให้ บริษัท ของคุณมีหนี้สินทุกประเภท

สิ่งต่อไปที่ฉันจะทำคือส่งอีเมลถึงหัวหน้าของคุณโดยบอกว่าเขาจำเป็นต้องขอคำปรึกษาจาก บริษัท ที่เกี่ยวข้องเพื่อกำหนดความเสี่ยงทางกฎหมายที่ บริษัท จะต้องเผชิญด้วยการดำเนินการนี้

บิตสุดท้ายนี้ขึ้นอยู่กับคุณ แต่ฉันจะติดต่อ VISA เพื่อรับข้อมูลนี้และดึงสถานะผู้ตรวจสอบ PCI ของเขาออกมา

ในฐานะที่เป็นคนที่ได้ผ่านขั้นตอนการตรวจสอบกับPrice Waterhouse Coopersสำหรับสัญญารัฐบาลที่ได้รับการจัดชั้นฉันสามารถรับรองคุณได้ว่านี่เป็นคำถามที่ไม่สมบูรณ์

เมื่อ PwC ต้องการตรวจสอบความแข็งแกร่งของรหัสผ่านของพวกเขาพวกเขา:

• ขอให้ดูขั้นตอนวิธีความแข็งแรงของรหัสผ่านของเรา
• เรียกใช้หน่วยทดสอบกับอัลกอริทึมของเราเพื่อตรวจสอบว่าพวกเขาจะปฏิเสธรหัสผ่านที่ไม่ดี
• ขอให้ดูอัลกอริทึมการเข้ารหัสของเราเพื่อให้แน่ใจว่าพวกเขาไม่สามารถย้อนกลับหรือยกเลิกการเข้ารหัส (แม้โดยตารางรุ้ง) แม้คนที่สามารถเข้าถึงทุกด้านของระบบ
• ตรวจสอบว่ารหัสผ่านก่อนหน้านี้ถูกแคชเพื่อให้แน่ใจว่าไม่สามารถใช้ซ้ำได้
• ขอให้เราขออนุญาต (ซึ่งเราอนุญาต) เพื่อให้พวกเขาพยายามที่จะบุกเข้าไปในเครือข่ายและระบบที่เกี่ยวข้องโดยใช้เทคนิคที่ไม่ใช่ทางสังคมวิศวกรรม (เช่น xss และการหาประโยชน์ที่ไม่ใช่ 0 วัน)

หากฉันบอกเป็นนัยว่าฉันสามารถแสดงให้พวกเขาเห็นว่ารหัสผ่านของผู้ใช้ในช่วง 6 เดือนที่ผ่านมาจะเป็นอย่างไรพวกเขาจะปิดเราทันทีจากสัญญา

หากเป็นไปได้ที่จะจัดเตรียมข้อกำหนดเหล่านี้คุณจะล้มเหลวในการตรวจสอบบัญชีเดียวทุกครั้งที่มีค่า

อัปเดต: อีเมลตอบกลับของคุณดูดี ไกลกว่ามืออาชีพกว่าสิ่งที่ฉันจะเขียน

สุจริตดูเหมือนว่าผู้ชายคนนี้ (ผู้ตรวจสอบบัญชี) กำลังตั้งค่าคุณ หากคุณให้ข้อมูลที่เขาต้องการกับเขาคุณได้พิสูจน์ให้เขาเห็นแล้วว่าคุณสามารถออกแบบทางสังคมเพื่อมอบข้อมูลภายในที่สำคัญได้ ล้มเหลว.

ฉันเพิ่งเห็นว่าคุณอยู่ในสหราชอาณาจักรซึ่งหมายความว่าสิ่งที่เขาขอให้คุณทำคือการฝ่าฝืนกฎหมาย (พระราชบัญญัติคุ้มครองข้อมูลในความเป็นจริง) ฉันอยู่ในสหราชอาณาจักรเช่นกันทำงานให้กับ บริษัท ที่ได้รับการตรวจสอบขนาดใหญ่และรู้จักกฎหมายและแนวปฏิบัติทั่วไปในพื้นที่นี้ ฉันยังเป็นงานที่น่ารังเกียจอย่างมากที่จะยับยั้งประทับตราชายคนนี้ให้คุณถ้าคุณชอบเพื่อความสนุกของมันโปรดแจ้งให้เราทราบหากคุณต้องการความช่วยเหลือ

คุณกำลังถูกออกแบบทางสังคม อาจเป็นการ 'ทดสอบคุณ' หรือแฮ็กเกอร์ที่วางตัวเป็นผู้สอบบัญชีเพื่อรับข้อมูลที่มีประโยชน์มาก

ฉันกังวลอย่างมากเกี่ยวกับ OPs ที่ขาดทักษะการแก้ปัญหาด้านจริยธรรมและชุมชนความผิดพลาดของเซิร์ฟเวอร์โดยไม่สนใจการละเมิดจรรยาบรรณนี้

ในระยะสั้นฉันต้องการ;

• วิธีเปลี่ยนรหัสผ่าน 'ปลอม' ที่มีมูลค่าหกเดือนและทำให้ถูกต้อง
• วิธีการถ่ายโอนไฟล์ขาเข้า 'ปลอม' หกเดือน

ให้ฉันชัดเจนในสองประเด็น:

1. ไม่เหมาะสมที่จะปลอมแปลงข้อมูลในระหว่างการดำเนินธุรกิจปกติ
2. คุณไม่ควรเปิดเผยข้อมูลประเภทนี้กับใคร เคย

ไม่ใช่งานของคุณที่จะปลอมแปลงบันทึก เป็นหน้าที่ของคุณในการตรวจสอบให้แน่ใจว่ามีระเบียนที่จำเป็นพร้อมใช้งานถูกต้องและปลอดภัย

ชุมชนที่นี่ที่ Server Fault ต้องปฏิบัติต่อคำถามประเภทนี้เนื่องจากไซต์ stackoverflow ปฏิบัติต่อคำถาม "การบ้าน" คุณไม่สามารถแก้ไขปัญหาเหล่านี้ด้วยการตอบสนองทางเทคนิคเท่านั้นหรือเพิกเฉยต่อการละเมิดความรับผิดชอบทางจริยธรรม

เห็นผู้ใช้ระดับสูงจำนวนมากตอบที่นี่ในหัวข้อนี้และไม่มีการเอ่ยถึงผลกระทบทางจริยธรรมของคำถามทำให้ฉันเศร้าใจ

ฉันอยากจะแนะนำให้ทุกคนอ่านผู้ดูแลระบบ SAGE จรรยาบรรณ

BTW ผู้ตรวจสอบความปลอดภัยของคุณเป็นคนงี่เง่า แต่นั่นไม่ได้หมายความว่าคุณต้องรู้สึกกดดันในการทำงานที่ผิดจรรยาบรรณ

แก้ไข: การอัปเดตของคุณไม่มีค่า ทำให้หัวของคุณลงผงของคุณแห้งและไม่ใช้ (หรือให้) ชื่อเล่นไม้ใด ๆ

คุณไม่สามารถให้เขาในสิ่งที่คุณต้องการและพยายามที่จะ "ปลอม" มันมีแนวโน้มที่จะกลับมากัดคุณในตูด (อาจเป็นไปได้ในทางกฎหมาย) คุณอาจต้องห่วงโซ่การบังคับบัญชา (อาจเป็นไปได้ว่าผู้ตรวจสอบบัญชีคนนี้หายไปแม้ว่าการตรวจสอบความปลอดภัยจะเป็นคนงี่เง่า แต่ก็ถามฉันเกี่ยวกับผู้สอบบัญชีที่ต้องการเข้าถึง AS / 400 ผ่านทาง SMB) ออกมาจากใต้ข้อกำหนดที่มีชีวิตชีวาเหล่านี้

พวกเขาไม่ได้แม้กระทั่งการรักษาความปลอดภัยที่ดี - รายการของรหัสผ่าน plaintext ทั้งหมดเป็นอย่างไม่น่าเชื่อสิ่งที่อันตรายจะเคยผลิตโดยไม่คำนึงถึงวิธีการที่ใช้เพื่อปกป้องพวกเขาและฉันจะเดิมพันเจ้าหมอนี้จะต้องการให้พวกเขาส่งอีเมลในข้อความธรรมดา . (ฉันแน่ใจว่าคุณรู้เรื่องนี้แล้วฉันต้องระบายออกไปเล็กน้อย)

สำหรับอึและหัวเราะคิกคักถามเขาโดยตรงว่าจะปฏิบัติตามข้อกำหนดของเขา - ยอมรับว่าคุณไม่ทราบวิธีและต้องการที่จะยกระดับประสบการณ์ของเขา เมื่อคุณออกไปข้างนอกแล้วการตอบสนองของเขา "ฉันมีประสบการณ์มากกว่า 10 ปีในการตรวจสอบความปลอดภัย" จะ "ไม่คุณมีประสบการณ์ 5 นาทีซ้ำหลายร้อยครั้ง"

ไม่มีผู้ตรวจสอบบัญชีควรล้มเหลวถ้าพวกเขาพบปัญหาในอดีตที่คุณได้รับการแก้ไขแล้ว ในความเป็นจริงนั่นเป็นหลักฐานของพฤติกรรมที่ดี โดยที่ในใจฉันแนะนำสองสิ่ง:

a) อย่าโกหกหรือทำเรื่องขึ้น b) อ่านนโยบายของคุณ

ข้อความสำคัญสำหรับฉันคือข้อความนี้:

ลูกค้า [ผู้ให้บริการประมวลผลบัตรเครดิตทั่วไป] ทั้งหมดจะต้องปฏิบัติตามนโยบายความปลอดภัยใหม่ของเรา

ฉันเดิมพันว่ามีคำสั่งในนโยบายที่บอกว่ารหัสผ่านไม่สามารถจดบันทึกและไม่สามารถส่งต่อให้กับผู้อื่นที่ไม่ใช่ผู้ใช้ หากมีให้ใช้นโยบายเหล่านั้นกับคำขอของเขา ฉันขอแนะนำให้จัดการอย่างนี้:

• รายการชื่อผู้ใช้ปัจจุบันและรหัสผ่านข้อความล้วนสำหรับบัญชีผู้ใช้ทั้งหมดบนเซิร์ฟเวอร์ทั้งหมด

แสดงรายชื่อผู้ใช้แก่เขา แต่ไม่อนุญาตให้ลบทิ้ง อธิบายว่าการให้รหัสผ่านแบบข้อความธรรมดาเป็นไปไม่ได้เนื่องจากเป็นแบบทางเดียวและ b) ขัดต่อนโยบายซึ่งเขาตรวจสอบคุณดังนั้นคุณจะไม่เชื่อฟัง

• รายการการเปลี่ยนแปลงรหัสผ่านทั้งหมดสำหรับหกเดือนที่ผ่านมาอีกครั้งในข้อความธรรมดา

อธิบายว่าสิ่งนี้ไม่มีในอดีต แจ้งรายการเวลาเปลี่ยนรหัสผ่านล่าสุดให้เขาเพื่อแสดงว่าตอนนี้กำลังดำเนินการอยู่ อธิบายข้างต้นว่าจะไม่มีการให้รหัสผ่าน

• รายการ "ทุกไฟล์ที่เพิ่มไปยังเซิร์ฟเวอร์จากอุปกรณ์ระยะไกล" ในช่วงหกเดือนที่ผ่านมา

อธิบายว่าอะไรคืออะไรและไม่ได้ถูกบันทึกไว้ ระบุสิ่งที่คุณสามารถทำได้ อย่าให้ข้อมูลที่เป็นความลับและอธิบายโดยนโยบายว่าทำไมไม่ ถามว่าการบันทึกของคุณต้องได้รับการปรับปรุงหรือไม่

• พับลิกและไพรเวตคีย์ของคีย์ SSH ใด ๆ

ดูนโยบายการจัดการที่สำคัญของคุณ ควรระบุว่าคีย์ส่วนตัวไม่ได้รับอนุญาตให้ออกจากตู้คอนเทนเนอร์และมีเงื่อนไขการเข้าถึงที่เข้มงวด ใช้นโยบายนั้นและไม่อนุญาตการเข้าถึง กุญแจสาธารณะเป็นสาธารณะอย่างมีความสุขและสามารถแบ่งปันได้

• อีเมลที่ส่งถึงเขาทุกครั้งที่ผู้ใช้เปลี่ยนรหัสผ่านประกอบด้วยรหัสผ่านข้อความล้วน

เพียงแค่บอกว่าไม่ หากคุณมีเซิร์ฟเวอร์บันทึกการรักษาความปลอดภัยในพื้นที่อนุญาตให้เขาเห็นว่านี่คือการเข้าสู่ระบบในแหล่งกำเนิด

โดยพื้นฐานแล้วฉันขอโทษที่จะพูดแบบนี้ แต่คุณต้องเล่นไม้แข็งกับผู้ชายคนนี้ ปฏิบัติตามนโยบายของคุณอย่างแน่นอนอย่าเบี่ยงเบน อย่าโกหก. และถ้าเขาล้มเหลวในสิ่งที่ไม่ได้อยู่ในนโยบายของคุณให้บ่นกับผู้อาวุโสที่ บริษัท ที่ส่งเขามา รวบรวมเส้นทางกระดาษทั้งหมดนี้เพื่อพิสูจน์ว่าคุณมีเหตุผล หากคุณทำผิดนโยบายของคุณคุณอยู่ในความเมตตาของเขา หากคุณติดตามพวกเขาไปที่จดหมายเขาจะถูกไล่ออก

ใช่ผู้สอบบัญชีเป็นคนงี่เง่า อย่างไรก็ตามอย่างที่คุณทราบบางครั้งไอ้โง่ก็อยู่ในตำแหน่งที่มีอำนาจ นี่เป็นหนึ่งในกรณีเหล่านั้น

ข้อมูลที่เขาขอมีแบริ่งเป็นศูนย์ในการรักษาความปลอดภัยปัจจุบันของระบบ อธิบายให้ผู้ตรวจสอบบัญชีทราบว่าคุณกำลังใช้ LDAP สำหรับการตรวจสอบสิทธิ์และรหัสผ่านนั้นถูกเก็บไว้โดยใช้แฮชแบบทางเดียว ไม่ใช้สคริปต์เดรัจฉานบังคับกับแฮชรหัสผ่าน (ซึ่งอาจใช้เวลาหลายสัปดาห์ (หรือหลายปี) คุณจะไม่สามารถระบุรหัสผ่านได้

ในทำนองเดียวกันไฟล์ระยะไกล - ฉันต้องการฟังบางทีเขาคิดว่าคุณควรแยกความแตกต่างระหว่างไฟล์ที่สร้างขึ้นโดยตรงบนเซิร์ฟเวอร์และไฟล์ที่ SCPed ไปยังเซิร์ฟเวอร์

@womble พูดไม่ปลอมอะไรเลย นั่นจะทำไม่ดี ไม่ว่าจะเป็นการตรวจสอบบัญชีและปรับนายหน้ารายอื่นหรือหาวิธีที่จะโน้มน้าวให้“ มืออาชีพ” นี้ว่าชีสของเขาหลุดออกจากแครกเกอร์

ให้ "ผู้ตรวจสอบความปลอดภัย" ของคุณชี้ไปที่ข้อความใด ๆ จากเอกสารใด ๆเหล่านี้ที่มีข้อกำหนดของเขาและดูในขณะที่เขาดิ้นรนเพื่อหาข้อแก้ตัวและในที่สุดก็แก้ตัวเองว่าจะไม่ได้ยิน

WTF! ขออภัยที่เป็นเพียงปฏิกิริยาของฉันนี้ ไม่มีข้อกำหนดการตรวจสอบที่ฉันเคยได้ยินมาว่าต้องใช้รหัสผ่านแบบธรรมดาเพื่อให้พวกเขาป้อนรหัสผ่านเมื่อพวกเขาเปลี่ยน

ขั้นแรกขอให้เขาแสดงความต้องการที่คุณให้ไว้

อันดับที่ 2 หากเป็นเช่นนี้สำหรับ PCI (ซึ่งเราทุกคนถือว่าเป็นคำถามของระบบการชำระเงิน) ไปที่นี่: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.phpและรับผู้สอบบัญชีใหม่

อันดับที่ 3 ทำตามสิ่งที่พวกเขากล่าวข้างต้นติดต่อผู้บริหารของคุณและให้พวกเขาติดต่อ บริษัท QSA ที่เขาทำงานด้วย จากนั้นรับผู้ตรวจสอบบัญชีคนอื่นทันที

ผู้ตรวจสอบบัญชีของรัฐระบบมาตรฐานกระบวนการ ฯลฯ พวกเขาไม่จำเป็นต้องมีข้อมูลใด ๆ ที่ให้พวกเขาเข้าถึงระบบ

หากคุณต้องการให้ผู้สอบบัญชีที่แนะนำหรือ colo อื่นที่ทำงานอย่างใกล้ชิดกับผู้สอบบัญชีติดต่อฉันและฉันยินดีที่จะให้การอ้างอิง

โชคดี! เชื่อว่าลำไส้ของคุณถ้ามีอะไรผิดปกติ

ไม่มีเหตุผลที่ถูกกฎหมายสำหรับเขาที่จะรู้รหัสผ่านและเข้าถึงรหัสส่วนตัวได้ สิ่งที่เขาร้องขอจะทำให้เขามีความสามารถในการปลอมตัวเป็นลูกค้าของคุณ ณ เวลาใดก็ได้และดูดเงินได้มากเท่าที่เขาต้องการโดยไม่มีวิธีการตรวจจับว่าเป็นการทำธุรกรรมที่เป็นการฉ้อโกง มันจะเป็นประเภทของภัยคุกคามความปลอดภัยที่เขาควรจะตรวจสอบคุณ

แจ้งฝ่ายจัดการว่าผู้สอบบัญชีขอให้คุณปฎิบัติตามนโยบายความปลอดภัยของคุณและคำขอนั้นผิดกฎหมาย แนะนำว่าพวกเขาอาจต้องการทิ้ง บริษัท ตรวจสอบบัญชีปัจจุบันและหาสำนักงานกฎหมายที่ถูกกฎหมาย โทรแจ้งตำรวจและเปลี่ยนผู้ตรวจสอบบัญชีเพื่อขอข้อมูลที่ผิดกฎหมาย (ในสหราชอาณาจักร) จากนั้นโทร PCI และเปิดใน Auditor สำหรับคำขอของพวกเขา

คำขอนั้นคล้ายกับการขอให้คุณไปฆ่าคนโดยการสุ่มและมอบตัว คุณจะทำเช่นนั้น? หรือคุณจะเรียกตำรวจและเปิดพวกเขาใน?

ตอบสนองกับคดี หากผู้ตรวจสอบขอรหัสผ่านแบบข้อความธรรมดา (มาที่นี่ตอนนี้ไม่ใช่เรื่องยากที่จะทำลายหรือแฮ็ชรหัสผ่านที่อ่อนแอ) พวกเขาอาจโกหกคุณเกี่ยวกับข้อมูลประจำตัวของพวกเขา

เพียงแค่เคล็ดลับเกี่ยวกับวิธีการที่คุณตอบสนองการตอบสนองของคุณ:

น่าเสียดายที่เราไม่สามารถให้ข้อมูลบางอย่างที่คุณร้องขอได้โดยส่วนใหญ่เป็นรหัสผ่านข้อความธรรมดาประวัติรหัสผ่านคีย์ SSH และไฟล์บันทึกระยะไกล ไม่เพียง แต่สิ่งเหล่านี้เป็นไปไม่ได้ในทางเทคนิค ...

ฉันจะใช้ถ้อยคำนี้ซ้ำเพื่อหลีกเลี่ยงการพูดคุยเกี่ยวกับความเป็นไปได้ทางเทคนิค การอ่านอีเมลเริ่มต้นที่น่ากลัวที่ผู้สอบบัญชีส่งมาดูเหมือนว่านี่คือคนที่สามารถเลือกรายละเอียดที่ไม่เกี่ยวข้องกับปัญหาหลักและเขาอาจโต้แย้งว่าคุณสามารถบันทึกรหัสผ่านบันทึกการเข้าสู่ระบบและอื่น ๆ :

... เนื่องจากนโยบายความปลอดภัยที่เข้มงวดของเราเราไม่เคยบันทึกรหัสผ่านเป็นข้อความธรรมดา ดังนั้นจึงเป็นไปไม่ได้ในทางเทคนิคที่จะให้ข้อมูลนี้

หรือ

... ไม่เพียง แต่เราจะลดระดับความปลอดภัยภายในของเราลงอย่างมากด้วยการปฏิบัติตามคำขอของคุณ ...

ขอให้โชคดีและแจ้งให้เราทราบว่าสิ่งนี้จะจบลงอย่างไร!

ที่มีความเสี่ยงต่อการเร่งด่วนของผู้ใช้ระดับสูงที่เข้ามาในคำถามนี้นี่คือความคิดของฉัน

ฉันสามารถเห็นได้อย่างคลุมเครือว่าทำไมเขาถึงต้องการรหัสผ่านแบบธรรมดาและนั่นคือการตัดสินคุณภาพของรหัสผ่านที่ใช้งาน เป็นวิธีที่ไม่เหมาะสมที่จะไปเกี่ยวกับเรื่องนี้ผู้ตรวจสอบส่วนใหญ่ที่ฉันรู้จักจะยอมรับแฮ็กที่เข้ารหัสแล้วและเรียกใช้แครกเกอร์เพื่อดูว่าผลไม้ชนิดแขวนต่ำสามารถดึงออกมาได้อย่างไร 'em ทั้งหมดจะไปตามนโยบายความซับซ้อนของรหัสผ่านและตรวจสอบสิ่งที่มีการป้องกันเพื่อบังคับใช้

แต่คุณต้องส่งรหัสผ่านบางอย่าง ฉันแนะนำ (แต่ฉันคิดว่าคุณอาจทำไปแล้ว) ถามเขาว่าเป้าหมายของการส่งรหัสผ่านแบบธรรมดาคืออะไร เขากล่าวว่าเป็นการตรวจสอบการปฏิบัติตามนโยบายของคุณกับนโยบายความปลอดภัยดังนั้นให้เขาส่งนโยบายดังกล่าวให้คุณ ถามเขาว่าเขาจะยอมรับหรือไม่ว่าระบอบความซับซ้อนของรหัสผ่านของคุณนั้นแข็งแกร่งพอที่จะป้องกันผู้ใช้จากการตั้งรหัสผ่านของพวกเขาP@55w0rdและได้รับการพิสูจน์มานาน 6 เดือนแล้ว

หากเขาผลักคุณอาจต้องยอมรับว่าคุณไม่สามารถส่งรหัสผ่านแบบธรรมดาได้เนื่องจากคุณไม่ได้ตั้งค่าให้บันทึกรหัสเหล่านั้น (สิ่งที่มันเป็นระบบรักษาความปลอดภัยที่สำคัญล้มเหลว) แต่สามารถพยายามในอนาคตหากเขาต้องการ การยืนยันโดยตรงว่านโยบายรหัสผ่านของคุณใช้งานได้ และถ้าเขาต้องการพิสูจน์มันคุณจะให้ฐานข้อมูลรหัสผ่านที่เข้ารหัสสำหรับเขา (หรือคุณ! แสดงความเต็มใจ! ช่วยได้!) เพื่อทำการถอดรหัสผ่าน

"ไฟล์ระยะไกล" อาจถูกดึงออกจากบันทึก SSH สำหรับเซสชัน SFTP ซึ่งเป็นสิ่งที่ฉันสงสัยว่าเขากำลังพูดถึง หากคุณไม่มี syslogging ที่คุ้มค่า 6 เดือนมันจะยากที่จะผลิต ใช้ wget เพื่อดึงไฟล์จากเซิร์ฟเวอร์ระยะไกลในขณะที่เข้าสู่ระบบผ่านทาง SSH ถือว่าเป็น 'การถ่ายโอนไฟล์ระยะไกล' หรือไม่? HTTP PUTs หรือไม่ ไฟล์ที่สร้างจากข้อความคลิปบอร์ดในหน้าต่างเทอร์มินัลของผู้ใช้ระยะไกล? หากมีสิ่งใดคุณสามารถรบกวนเขาด้วยคดีขอบเหล่านี้เพื่อให้เขารู้สึกดีขึ้นกับความกังวลของเขาในพื้นที่นี้และอาจปลูกฝัง "ฉันรู้เรื่องนี้มากกว่าที่คุณทำ" ความรู้สึกรวมถึงเทคโนโลยีเฉพาะที่เขาคิด จากนั้นแยกสิ่งที่คุณสามารถทำได้จากบันทึกและบันทึกที่เก็บถาวรในการสำรองข้อมูล

ฉันไม่ได้รับอะไรเลยบนปุ่ม SSH สิ่งเดียวที่ฉันคิดได้ก็คือเขากำลังตรวจสอบรหัสผ่านที่ไม่มีรหัสด้วยเหตุผลบางอย่างและอาจมีความแข็งแกร่งของการเข้ารหัสลับ มิฉะนั้นฉันไม่ได้อะไรเลย

สำหรับการรับกุญแจเหล่านั้นการเก็บเกี่ยวกุญแจสาธารณะอย่างน้อยก็ง่ายพอ เพียงหมุนรอบโฟลเดอร์. ssh ที่ต้องการค้นหา การรับกุญแจส่วนตัวจะเกี่ยวข้องกับการสวมหมวก BOFH ของคุณและส่งเสียงอึกทึกที่ผู้ใช้ของคุณเพื่อปรับแต่ง "ส่งคีย์คู่ SSH สาธารณะและส่วนตัวของคุณให้ฉันสิ่งที่ฉันไม่ได้รับจะถูกลบออกจากเซิร์ฟเวอร์ใน 13 วัน" และ ถ้าใคร squawks (ฉันจะ) ชี้ 'em ที่ตรวจสอบความปลอดภัย การเขียนสคริปต์คือเพื่อนของคุณที่นี่ อย่างน้อยก็จะทำให้คู่คีย์ - รหัสผ่านที่ไม่ต้องใช้รหัสผ่านได้รับรหัสผ่าน

หากเขายังคงยืนยัน "รหัสผ่านข้อความธรรมดาในอีเมล" อย่างน้อยก็ให้ส่งอีเมลเหล่านั้นไปยังการเข้ารหัส GPG / PGP ด้วยรหัสของเขาเอง ผู้ตรวจสอบความปลอดภัยที่มีค่าควรได้รับการจัดการอย่างนั้น ด้วยวิธีนี้หากรหัสผ่านรั่วไหลนั่นอาจเป็นเพราะเขาปล่อยให้มันไม่ใช่คุณ เป็นการทดสอบสารสีน้ำเงินอื่นเพื่อความสามารถ

ฉันต้องเห็นด้วยกับ Zypher และ Womble สำหรับเรื่องนี้ คนงี่เง่าอันตรายที่มีผลกระทบที่เป็นอันตราย

เขาอาจทดสอบคุณเพื่อดูว่าคุณมีความเสี่ยงด้านความปลอดภัยหรือไม่ หากคุณให้รายละเอียดเหล่านี้กับเขาคุณอาจจะถูกไล่ออกทันที นำสิ่งนี้ไปยังเจ้านายของคุณทันทีและผ่านเจ้าชู้ แจ้งให้หัวหน้าของคุณทราบว่าคุณจะเกี่ยวข้องกับหน่วยงานที่เกี่ยวข้องหากลานี้มาใกล้คุณอีกครั้ง

นั่นคือสิ่งที่ผู้บังคับบัญชาจะได้รับเงิน

ฉันมองเห็นแผ่นกระดาษที่ด้านหลังของแท็กซี่แท็กซี่ที่มีรายการรหัสผ่านคีย์ SSH และชื่อผู้ใช้อยู่! Hhhmmm! เห็นพาดหัวข่าวหนังสือพิมพ์ตอนนี้!

ปรับปรุง

ในการตอบสนองต่อ 2 ความคิดเห็นด้านล่างฉันคิดว่าคุณทั้งคู่มีจุดดีที่จะทำ ไม่มีทางที่จะค้นหาความจริงและความจริงที่ว่าคำถามที่โพสต์แสดงให้เห็นความไร้เดียงสาเล็ก ๆ น้อย ๆ ในส่วนของโปสเตอร์รวมทั้งความกล้าหาญที่จะเผชิญกับสถานการณ์ที่ไม่พึงประสงค์ ทรายและวิ่งหนีไป

ข้อสรุปของฉันสำหรับสิ่งที่มีค่าคือการอภิปรายที่น่าสนใจอย่างละเอียดซึ่งอาจทำให้ผู้อ่านส่วนใหญ่สงสัยว่าพวกเขาจะทำอะไรในสถานการณ์นี้ไม่ว่าผู้สอบบัญชีหรือนโยบายของผู้สอบบัญชีจะมีความสามารถหรือไม่ คนส่วนใหญ่จะเผชิญกับภาวะที่กลืนไม่เข้าคายไม่ออกนี้ในรูปแบบหรือรูปแบบบางอย่างในชีวิตการทำงานของพวกเขาและนี่ไม่ใช่ความรับผิดชอบที่ควรผลักดันให้ไหล่เดียวคนเดียว มันเป็นการตัดสินใจทางธุรกิจมากกว่าการตัดสินใจของแต่ละบุคคลว่าจะจัดการกับเรื่องนี้อย่างไร

เห็นได้ชัดว่ามีข้อมูลที่ดีมากมายที่นี่ แต่อนุญาตให้ฉันเพิ่ม 2c ของฉันเป็นคนที่เขียนซอฟต์แวร์ที่ขายทั่วโลกโดยนายจ้างของฉันไปยังองค์กรขนาดใหญ่เป็นหลักในการช่วยเหลือผู้คนในการปฏิบัติตามนโยบายความปลอดภัยการจัดการบัญชี สำหรับสิ่งที่มีค่า

ก่อนอื่นฟังดูน่าสงสัยอย่างที่คุณ (และคนอื่น ๆ ) สังเกต ทั้งผู้ตรวจสอบบัญชีกำลังทำตามขั้นตอนที่เขาไม่เข้าใจ (เป็นไปได้) หรือทดสอบคุณเพื่อหาช่องโหว่ดังนั้นวิศวกรรมสังคม (ไม่น่าจะเกิดขึ้นหลังจากการแลกเปลี่ยนติดตาม) หรือวิศวกรรมสังคมที่หลอกลวงคุณ (อาจเป็นไปได้) หรือแค่คนโง่ทั่วไป มีโอกาสมากที่สุด) เท่าที่มีคำแนะนำผมขอเสนอให้คุณควรพูดคุยกับฝ่ายบริหารของคุณและ / หรือหา บริษัท ตรวจสอบบัญชีใหม่และ / หรือรายงาน บริษัท นี้ต่อหน่วยงานกำกับดูแลที่เหมาะสม

สำหรับบันทึกย่อมีสองสิ่ง:

• เป็นไปได้ (ภายใต้เงื่อนไขที่เฉพาะเจาะจง) เพื่อให้ข้อมูลที่เขาร้องขอหากระบบของคุณได้รับการตั้งค่าให้อนุญาต อย่างไรก็ตามมันไม่ได้เป็น "แนวทางปฏิบัติที่ดีที่สุด" เพื่อความปลอดภัยไม่ว่าจะเป็นเรื่องธรรมดา
• โดยทั่วไปการตรวจสอบจะเกี่ยวข้องกับการตรวจสอบความถูกต้องไม่ใช่การตรวจสอบข้อมูลที่ปลอดภัยจริง ฉันสงสัยอย่างมากว่าใครก็ตามที่ขอรหัสผ่านหรือใบรับรองแบบข้อความจริงแทนที่จะใช้วิธีที่ใช้เพื่อให้แน่ใจว่าพวกเขา "ดี" และปลอดภัยอย่างถูกต้อง

หวังว่าจะช่วยได้แม้ว่าส่วนใหญ่จะย้ำสิ่งที่คนอื่นได้ให้คำแนะนำ เช่นคุณฉันจะไม่ตั้งชื่อ บริษัท ของฉันในกรณีของฉันเพราะฉันไม่ได้พูดกับพวกเขา (บัญชีส่วนตัว / ความคิดเห็นและทั้งหมด); ขออภัยหากสิ่งนั้นเบี่ยงเบนความน่าเชื่อถือ แต่ก็เป็นเช่นนั้น โชคดี.

นี้สามารถและควรจะโพสต์ไปที่การรักษาความปลอดภัยด้านไอที - กองแลกเปลี่ยน

ฉันไม่ได้เป็นผู้เชี่ยวชาญในการตรวจสอบความปลอดภัย "NEVER GIVE PASSWORDS AWAY"แต่สิ่งแรกที่ผมได้เรียนรู้เกี่ยวกับนโยบายการรักษาความปลอดภัย ผู้ชายคนนี้อาจจะอยู่ในธุรกิจนี้เป็นเวลา 10 ปี แต่เหมือน Womble กล่าว"no, you have 5 minutes of experience repeated hundreds of times"

ฉันทำงานกับธนาคารด้านไอทีเป็นระยะเวลาหนึ่งและเมื่อฉันเห็นคุณโพสต์แสดงให้พวกเขาเห็น ... พวกเขาหัวเราะอย่างหนัก พวกเขาบอกฉันว่าคนที่ดูเหมือนหลอกลวง พวกเขาเคยจัดการกับเรื่องแบบนี้เพื่อความปลอดภัยของลูกค้าธนาคาร

การขอรหัสผ่านที่ชัดเจนคีย์ SSH บันทึกรหัสผ่านถือเป็นการกระทำที่ผิดร้ายแรงอย่างมืออาชีพ ผู้ชายคนนี้อันตราย

ฉันหวังว่าทุกอย่างเรียบร้อยแล้วและคุณไม่มีปัญหาใด ๆ กับความจริงที่ว่าพวกเขาสามารถเก็บบันทึกธุรกรรมก่อนหน้าของคุณไว้กับพวกเขาได้

หากคุณสามารถให้ข้อมูลใด ๆ (ด้วยข้อยกเว้นที่เป็นไปได้ของกุญแจสาธารณะ) ที่ร้องขอในจุด 1,2,4 และ 5 คุณควรคาดหวังว่าจะล้มเหลวในการตรวจสอบ

ตอบกลับอย่างเป็นทางการในข้อ 1,2 และ 5 ว่าคุณไม่สามารถปฏิบัติตามนโยบายความปลอดภัยของคุณได้คุณต้องไม่เก็บรหัสผ่านแบบข้อความธรรมดาและรหัสผ่านนั้นจะถูกเข้ารหัสโดยใช้อัลกอริทึมที่ไม่สามารถย้อนกลับได้ ถึงจุดที่ 4 อีกครั้งคุณไม่สามารถระบุคีย์ส่วนตัวได้เนื่องจากจะเป็นการละเมิดนโยบายความปลอดภัยของคุณ

ในฐานะที่จะชี้ 3 หากคุณมีข้อมูลให้ หากคุณไม่ได้เพราะคุณไม่จำเป็นต้องรวบรวมมันก็บอกเช่นนั้นและแสดงให้เห็นว่าตอนนี้คุณกำลังทำงานตรงตามข้อกำหนดใหม่

ผู้ตรวจสอบความปลอดภัยสำหรับเซิร์ฟเวอร์ของเราได้เรียกร้องสิ่งต่อไปนี้ภายในสองสัปดาห์ :

...

ถ้าเราล้มเหลวในการตรวจสอบการรักษาความปลอดภัยที่เราเข้าถึงหลวมไปยังแพลตฟอร์มการประมวลผลบัตรของเรา (เป็นส่วนสำคัญของระบบของเรา) และจะใช้เวลาสองสัปดาห์ที่ดีที่จะย้ายไปที่อื่น ฉันเมาแค่ไหน?

ดูเหมือนว่าคุณตอบคำถามของคุณเองแล้ว (ดูข้อความที่เป็นตัวหนาสำหรับคำแนะนำ)

มีวิธีแก้ไขปัญหาเดียวเท่านั้นที่ควรคำนึงถึง: ให้ทุกคนจดรหัสผ่านล่าสุดและรหัสปัจจุบันแล้วเปลี่ยนเป็นรหัสใหม่ทันที หากเขาต้องการทดสอบคุณภาพของรหัสผ่าน (และคุณภาพของการเปลี่ยนผ่านจากรหัสผ่านเป็นรหัสผ่านเช่นเพื่อให้แน่ใจว่าไม่มีใครใช้rfvujn125และจากนั้นrfvujn126เป็นรหัสผ่านถัดไปของตน) รายการรหัสผ่านเก่าควรเพียงพอ

ถ้านั่นถือว่าไม่เป็นที่ยอมรับฉันก็เลยสงสัยว่าชายคนนั้นเป็นสมาชิกของ Anonymous / LulzSec ... ณ จุดนี้คุณควรถามเขาว่าด้ามจับของเขาคืออะไรและบอกให้เขาเลิกขัดผิว!

ดังที่ oli กล่าวว่า: บุคคลที่มีปัญหากำลังพยายามทำให้คุณผิดกฎหมาย (การปกป้องข้อมูล / แนวทางการรักษาความลับของสหภาพยุโรป) / กฎระเบียบภายใน / มาตรฐาน PCI ไม่เพียง แต่คุณจะต้องแจ้งฝ่ายจัดการ (ตามที่ฉันคิดไว้แล้ว) แต่คุณสามารถโทรแจ้งตำรวจได้

หากบุคคลที่มีปัญหาได้รับการรับรอง / การรับรองบางประเภทเช่น CISA (ผู้ตรวจสอบระบบข้อมูลที่ได้รับการรับรอง) หรือเทียบเท่า CPA ของสหรัฐอเมริกา (การกำหนดบัญชีของนักบัญชีสาธารณะ) ในสหราชอาณาจักรคุณสามารถแจ้งให้องค์กรที่ได้รับการรับรอง ไม่เพียง แต่คนที่พยายามทำให้คุณผิดกฎหมายเท่านั้น แต่ยังเป็น“ การตรวจสอบ” ที่ไร้ความสามารถอย่างยิ่งและอาจขัดต่อมาตรฐานการตรวจสอบทางจริยธรรมทุกประเภทที่ผู้ตรวจสอบที่ได้รับการรับรองต้องปฏิบัติตามความเจ็บปวดจากการสูญเสียการรับรอง

นอกจากนี้หากบุคคลที่มีปัญหานั้นเป็นสมาชิกของ บริษัท ขนาดใหญ่องค์กรตรวจสอบที่ได้รับการแต่งตั้งมักจะต้องมีแผนกควบคุมคุณภาพบางประเภทที่ดูแลคุณภาพการตรวจสอบและตรวจสอบการยื่นและตรวจสอบข้อร้องเรียน ดังนั้นคุณอาจไปร้องเรียน บริษัท ตรวจสอบที่มีปัญหา

ฉันยังคงศึกษาอยู่และสิ่งแรกที่ฉันได้เรียนรู้เมื่อตั้งค่าเซิร์ฟเวอร์คือถ้าคุณทำให้มันเป็นไปได้ที่จะบันทึกรหัสผ่านแบบธรรมดาคุณจะเสี่ยงอันตรายต่อตัวคุณเองจากการละเมิดครั้งใหญ่ ไม่ควรทราบรหัสผ่านยกเว้นผู้ใช้ที่ใช้รหัสผ่านนั้น

หากชายคนนี้เป็นผู้ตรวจสอบอย่างจริงจังเขาไม่ควรถามคุณเกี่ยวกับสิ่งเหล่านี้ สำหรับผมเขาชนิดของเสียงเหมือนmisfeasor ฉันจะตรวจสอบกับอวัยวะที่ควบคุมเพราะผู้ชายคนนี้ฟังดูเหมือนคนงี่เง่าที่สมบูรณ์

ปรับปรุง

เดี๋ยวก่อนเขาเชื่อว่าคุณควรใช้การเข้ารหัสแบบสมมาตรเพื่อส่งรหัสผ่าน แต่จากนั้นเก็บข้อความธรรมดาไว้ในฐานข้อมูลของคุณหรือให้วิธีการถอดรหัสพวกเขา ดังนั้นโดยทั่วไปหลังจากการโจมตีที่ไม่ระบุชื่อในฐานข้อมูลที่พวกเขาแสดงรหัสผ่านผู้ใช้ข้อความธรรมดาเขายังเชื่อว่านี่เป็นวิธีที่ดีในการ "รักษาความปลอดภัย" สภาพแวดล้อม

เขาเป็นไดโนเสาร์ติดอยู่ในทศวรรษ 1960 ...

• รายการชื่อผู้ใช้ปัจจุบันและรหัสผ่านข้อความล้วนสำหรับบัญชีผู้ใช้ทั้งหมดบนเซิร์ฟเวอร์ทั้งหมด
  • ชื่อผู้ใช้ปัจจุบันอาจอยู่ในขอบเขตของ "เราสามารถเผยแพร่" และควรอยู่ในขอบเขต "เราสามารถแสดงให้คุณเห็นได้ แต่คุณไม่สามารถนำออกนอกไซต์ได้"
  • รหัสผ่านแบบข้อความธรรมดาไม่ควรมีอยู่นานเกินกว่าที่จะใช้ในการแฮชแบบทางเดียวและพวกเขาไม่ควรออกจากหน่วยความจำอย่างแน่นอน
• รายการการเปลี่ยนแปลงรหัสผ่านทั้งหมดสำหรับหกเดือนที่ผ่านมาอีกครั้งในข้อความธรรมดา
  • ดูที่ "ที่เก็บข้อมูลถาวรคือไม่ต้องห้าม"
• รายการ "ทุกไฟล์ที่เพิ่มไปยังเซิร์ฟเวอร์จากอุปกรณ์ระยะไกล" ในช่วงหกเดือนที่ผ่านมา
  • นี่อาจเป็นการตรวจสอบให้แน่ใจว่าคุณบันทึกการถ่ายโอนไฟล์ไปยัง / จากเซิร์ฟเวอร์การประมวลผลการชำระเงินหากคุณมีบันทึกการทำงานมันควรจะตกลงที่จะส่งต่อ หากคุณไม่มีบันทึกให้ตรวจสอบสิ่งที่นโยบายความปลอดภัยที่เกี่ยวข้องพูดเกี่ยวกับการบันทึกข้อมูลนั้น
• พับลิกและไพรเวตคีย์ของคีย์ SSH ใด ๆ
  • บางทีความพยายามในการตรวจสอบว่า 'คีย์ SSH ต้องมีวลีรหัสผ่าน' อยู่ในนโยบายและปฏิบัติตาม คุณต้องการวลีรหัสผ่านสำหรับคีย์ส่วนตัวทั้งหมด
• อีเมลที่ส่งถึงเขาทุกครั้งที่ผู้ใช้เปลี่ยนรหัสผ่านประกอบด้วยรหัสผ่านข้อความล้วน
  • นี่เป็นสิ่งที่ไม่ควรทำ

ฉันจะตอบกลับบางสิ่งตามคำตอบของฉันสำรองข้อมูลด้วยความสอดคล้องกับ PCI, SOX_compliance และเอกสารนโยบายความปลอดภัยภายในตามที่ต้องการ

พวกนี้ขอให้สวรรค์สูงและฉันเห็นด้วยว่าการติดต่อจากที่นี่ออกไปควรจะผ่าน CTO ไม่ว่าเขาจะพยายามทำให้คุณเป็นคนล้มเหลวเพราะไม่สามารถตอบสนองคำขอดังกล่าวได้สำหรับการปล่อยข้อมูลลับหรือไร้ความสามารถอย่างไม่มีการลด หวังว่า CTO / ผู้จัดการของคุณจะทำสองครั้งในการร้องขอของพวกนี้และการกระทำในเชิงบวกจะทำและถ้าพวกเขา gung ho อยู่เบื้องหลังการกระทำของผู้ชายคนนี้ .... ดีผู้ดูแลระบบที่ดีมักจะต้องการในคลาสสิฟายด์เช่น ดูเหมือนว่าถึงเวลาแล้วที่จะเริ่มมองหาสถานที่ที่จะเกิดขึ้น

ฉันจะบอกเขาว่าต้องใช้เวลาความพยายามและเงินในการสร้างโครงสร้างพื้นฐานการถอดรหัสสำหรับรหัสผ่าน แต่เนื่องจากคุณใช้การแฮ็ชอย่างแรงเช่น SHA256 หรืออะไรก็ตามคุณอาจไม่สามารถให้รหัสผ่านได้ภายใน 2 สัปดาห์ ยิ่งไปกว่านั้นฉันจะบอกว่าฉันได้ติดต่อแผนกกฎหมายเพื่อยืนยันว่าเป็นการถูกต้องตามกฎหมายที่จะแบ่งปันข้อมูลนี้กับใครก็ตาม PCI DSS ยังเป็นความคิดที่ดีที่จะพูดถึงในขณะที่คุณทำ :)

เพื่อนร่วมงานของฉันรู้สึกตกใจเมื่ออ่านโพสต์นี้

ฉันจะถูกล่อลวงอย่างยิ่งที่จะให้รายชื่อผู้ใช้ / รหัสผ่าน / กุญแจส่วนตัวสำหรับบัญชี honeypot จากนั้นถ้าเขาเคยทดสอบการเข้าสู่ระบบสำหรับบัญชีเหล่านี้จะทำให้เขาเข้าถึงระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต แม้ว่าโชคไม่ดีที่สิ่งนี้อาจทำให้คุณต้องทำละเมิดขั้นต่ำบางอย่างเพื่อแสดงตัวตนที่หลอกลวง

เพียงปฏิเสธการเปิดเผยข้อมูลโดยระบุว่าคุณไม่สามารถส่งรหัสผ่านได้เนื่องจากคุณไม่สามารถเข้าถึงได้ ในการเป็นผู้สอบบัญชีด้วยตนเองเขาจะต้องเป็นตัวแทนของสถาบันบางแห่ง โดยทั่วไปสถาบันดังกล่าวจะเผยแพร่แนวทางปฏิบัติสำหรับการตรวจสอบดังกล่าว ดูว่าคำขอดังกล่าวสอดคล้องกับแนวทางเหล่านั้นหรือไม่ คุณสามารถบ่นกับสมาคมดังกล่าวได้ นอกจากนี้ให้ชัดเจนต่อผู้สอบบัญชีว่าในกรณีที่มีการกระทำผิดใด ๆ ความผิดอาจกลับมาที่เขา (ผู้สอบบัญชี) ในขณะที่เขามีรหัสผ่านทั้งหมด

ฉันจะบอกว่าไม่มีทางที่คุณจะให้ข้อมูลใด ๆ ที่เขาร้องขอกับเขา

• ชื่อผู้ใช้ให้ข้อมูลเชิงลึกเกี่ยวกับบัญชีที่สามารถเข้าถึงระบบของคุณซึ่งเป็นความเสี่ยงด้านความปลอดภัย
• ประวัติรหัสผ่านจะให้ข้อมูลเชิงลึกเกี่ยวกับรูปแบบรหัสผ่านที่ใช้ทำให้เขาสามารถโจมตีได้โดยคาดเดารหัสผ่านถัดไป
• ไฟล์ที่ถ่ายโอนไปยังระบบอาจมีข้อมูลลับที่สามารถใช้ในการโจมตีระบบของคุณรวมถึงให้ข้อมูลเชิงลึกเกี่ยวกับโครงสร้างระบบไฟล์ของคุณ
• กุญแจสาธารณะและกุญแจส่วนตัวสิ่งที่จะเป็นจุดในการมีพวกเขาถ้าคุณจะให้พวกเขาออกไปให้คนอื่นที่ไม่ใช่ผู้ใช้ที่ตั้งใจ?
• อีเมลที่ส่งทุกครั้งที่ผู้ใช้เปลี่ยนรหัสผ่านจะให้รหัสผ่านที่ทันสมัยแก่เขาสำหรับทุกบัญชีผู้ใช้

ผู้ชายคนนี้กำลังดึงเพื่อนคู่หูของคุณ! คุณต้องติดต่อกับผู้จัดการของเขาหรือผู้ตรวจสอบบัญชีอื่น ๆ ใน บริษัท เพื่อยืนยันความต้องการที่รุนแรงของเขา และย้ายออกไปโดยเร็ว

ปัญหาได้รับการแก้ไขโดยตอนนี้ แต่เพื่อประโยชน์ของผู้อ่านในอนาคต ...

พิจารณาว่า:

• คุณดูเหมือนจะใช้เวลามากกว่าหนึ่งชั่วโมงในการทำสิ่งนี้

• คุณต้องปรึกษาที่ปรึกษาด้านกฎหมายของ บริษัท

• พวกเขากำลังของานจำนวนมากหลังจากแก้ไขข้อตกลงของคุณ

• คุณจะได้เงินและมีเวลาเปลี่ยนไปมากกว่านี้

คุณควรอธิบายว่าคุณต้องมีเงินเป็นจำนวนมากล่วงหน้าและอย่างน้อยสี่ชั่วโมง

ไม่กี่ครั้งล่าสุดที่ฉันบอกใครบางคนว่าพวกเขาก็ไม่ได้ยากจน

คุณยังสามารถเรียกเก็บเงินพวกเขาสำหรับการสูญเสียใด ๆ ที่เกิดขึ้นระหว่างการเปลี่ยนแปลงและเวลาที่ใช้เนื่องจากพวกเขาเปลี่ยนข้อตกลงของคุณ ฉันไม่ได้บอกว่าพวกเขาจะจ่ายเงินภายในสองสัปดาห์เท่าที่พวกเขาคิดว่าคุณจะปฏิบัติตามภายในเวลานั้นพวกเขาจะเป็นฝ่ายเดียวฉันไม่สงสัยเลย

มันจะสั่นหากว่าสำนักงานทนายความของคุณส่งหนังสือแจ้งการเรียกเก็บเงิน ควรดึงดูดความสนใจจากเจ้าของ บริษัท ผู้สอบบัญชี

ฉันจะแนะนำต่อการติดต่อใด ๆ กับพวกเขาเพียงเพื่อหารือเกี่ยวกับเรื่องต่อไปจะนำมาซึ่งเงินมัดจำสำหรับงานที่จำเป็น จากนั้นคุณสามารถจ่ายเงินเพื่อบอกพวกเขาออก

มันแปลกที่คุณมีข้อตกลงที่มีผลบังคับใช้และจากนั้นคนที่อยู่อีกด้านหนึ่งจะออกจากทางรถไฟ - หากไม่ใช่การทดสอบความปลอดภัยหรือความฉลาดก็เป็นการทดสอบความอดทนของคุณอย่างแน่นอน