A. Nony-Mous
2018-11-15 16:50:57 UTC
在我的工作中,要能夠查看自己的薪水,休假時間和人力資源數據,我需要登錄第三方網站。
我絕對不是安全專家或專家程序員,但我可以告訴(簡單地嘗試一下)我可以繼續嘗試不正確的密碼而不會被鎖定。 (強力:可行)
登錄後,在密碼重置(總共8個!)中,我被迫選擇3個預定的安全問題,例如我的第一輛汽車的車牌。 (從未擁有過3/7的汽車),我的配偶的第二個名字(沒有3/6的配偶),我的第一個孩子的第二個名字(沒有3/5的孩子),生日,我的中學名,最喜歡的寵物,最喜歡的電影或最喜歡的音樂。
您可以從我的facebook上簡單地獲得大多數這些東西(我應該注意,這些東西已經多年沒有更新了!)再次顯示出明顯缺乏了解基本的安全實踐。
我也從使用開發人員工具查看站點中得到的感覺,他們使用了令人難以置信的過時軟件
RSA Data的JavaScript實現Security,Inc. MD5消息*摘要算法,在RFC 1321中定義。*版本2.1版權所有(C)Paul Johnston 1999-2002。 我通過公司報告了此情況,但是我的上級卻沒有不會出現所有有趣的事情
我該怎麼做:
A。找出這個網站是否真的像我認為的那樣不安全嗎?
B。如果為true,請以適當的方式將此信息傳達給公司本身(最好以匿名方式)
緩解安全性問題的方法是,使用來自密碼管理器的隨機生成的密碼作為安全性“答案”。這樣,對手就無法對您使用OSINT。
您的其餘問題應移至https://workplace.stackexchange.com/ TBH
您的分析可能不正確。經過幾次錯誤嘗試並不會打擾您,並不表示它容易受到暴力攻擊,我們還有其他更好用的方法。驗證碼,速率限制等
MD5非常簡單明了,因此,用於生成MD5哈希的代碼自編寫以來(在1992年發布)變化不大也就不足為奇了。*使用* MD5可能有問題,但是可以以安全無害的方式使用它。例如,有人希望該網站不要在客戶端進行密碼哈希。
那就是他們正在使用的我的MD5腳本!
您可以繼續輸入密碼的事實並不意味著沒有暴力保護。每次錯誤嘗試都可能導致更大的延遲(實際上是非常明智的!)。這樣就無法將真正的蠻力強行奪走,而又無法將一直在錯誤輸入密碼的人拒之門外。
@leftaroundabout或無聲鎖定,例如拒絕透露有效用戶名已與無效密碼配對的情況。
-1
上下文就是一切。使用MD5檢測文件傳輸期間的意外數據損壞與使用SHA1或任何更現代,更強大,“更安全”的哈希函數一樣安全。如果可以攔截和操縱哈希值,則使用更強大,更慢的哈希函數,只會給人一種安全的錯覺。
@SeeYouInDisneyland,但這僅保護一個人。該平台(至少)容易受到OSINT攻擊的事實仍然存在,任何其他人都可能會劫持其帳戶。假設*經理*-那些對安全毫無興趣並且反而可能是更好目標的人。
當您提供安全問題的答案時,實際上會發生什麼?這些問題通常通過使用電子郵件向您發送密碼重置令牌來起作用,這使得它本質上是兩步驗證,因為您不僅需要知道答案,還需要訪問電子郵件。---另外,如何訪問該網站?甚至可以從公司網絡外部訪問它嗎?如果不是這樣,那麼安全性就不再那麼重要了,因為公司員工通常(大部分)是受信任的,並且這成為保護公司網絡安全的問題。
也許秘密地把薪水保密不是什麼大不了的事?
該網站是否使用HTTPS?
>我會在某種程度上關心安全性>我的所有詳細信息都在Facebook上
我的理解是,您沒有義務提供真實的答案,只有令人難忘的答案。就是說,我真的很喜歡我的第一隻寵物@ki55 %% h!nrfZZ