查看了由不同SIEM(Splunk,HP Logger試用版和AlienVault平台的SIEM)生成的日誌後,我注意到,由於某些原因,很多用戶會在用戶名字段(在OS域登錄,或在Web應用程序中。我猜想是那些不看鍵盤就無法打字的人,並且試圖這樣做,快速地完成操作,最終在錯誤的字段中輸入了密碼。這意味著該密碼將以純文本形式發送到網絡中的所有位置,並最終在日誌中記錄一個事件,該事件表明以下內容:
用戶P @ $$ w0rd不存在[...]
或
帳戶無法登錄:P @ $$ w0rd [...]
(其中P @ $$ w0rd是實際用戶的密碼)
找出密碼屬於誰變得很明顯:通常是上一個或下一個(不成功)事件同一日誌文件將告訴您一個由同一用戶觸發的事件。
任何其他分析師,只要查看日誌,都可以獲得他人的憑據,而到期所有者甚至不知道該憑據;最壞的情況是網絡竊聽或實際的日誌文件洩露。
我正在尋找一般指導以幫助防止這種情況。我認為簡單地屏蔽用戶名是不可行的,即使這樣做,這也可能會消除很多日誌分析,因為它們無法告訴誰做了什麼。
注意: b >已經有一個類似問題的帖子,但我正在設法解決它。如果我不小心在用戶名字段(Windows登錄)中輸入密碼,會有什麼風險?
接受的答案: b>我希望我可以從列表中選擇一些答案。不幸的是,我只能在論壇中堅持一個,但實際上,我可以將它們結合在一起。非常感謝您的所有回答;我看到沒有單一的解決方案。因為我同意添加“事物”會增加複雜性,從而增加安全漏洞的可能性,所以我必須同意大多數選民的意見,即@AJHenderson作為第一種方法具有最優雅,最簡單的答案。絕對在服務器上甚至在客戶端進行SSL和簡單的代碼驗證。當我尋求緩解的不是惡意用戶,而是分散注意力的用戶時,這樣做會很好。一旦到位,如果合適的話,我們可以開始考慮將實施擴展到不良用戶。再次非常感謝大家的投入。