在信息和IT安全中,令人討厭的趨勢是特定的“最佳實踐”成為不可侵犯的黃金法則,這導致人們建議無論是否適合特定情況都應應用這些最佳實踐(類似於貨物崇拜編程)
一個很好的例子是密碼策略的通用方法,該方法適用於所有8個字符長度的要求,並結合了高複雜性要求,12個以前的密碼的單一大小存儲在歷史記錄中以停止重複使用,3次不正確的嘗試鎖定和30天的輪換。
30天的輪換旨在降低攻擊者使用被盜密碼的機會,但是可能會導致用戶使用序列密碼,這意味著如果攻擊者可以破解一個實例,他們就可以輕鬆解決其他實例,從而實際上逆轉了預期的安全性好處。
高長度和復雜性的要求旨在阻止暴力行為。強行攻擊。結合明智的鎖定策略和入侵檢測,可以更好地緩解在線暴力攻擊,當攻擊者入侵了包含密碼的數據庫並使用良好的存儲機制(例如bcyprt,PBKDF2)可以更好地緩解離線暴力時,通常會發生脫機暴力),這也是一種意料之外的副作用,它會導致用戶找到一種有效的模式,並且還會增加用戶寫下密碼的風險。
3種錯誤的鎖定策略旨在阻止在線暴力攻擊,但是將其設置得太低會增加帳戶鎖定,並會使服務台超載,還會帶來拒絕服務的風險(許多在線系統很容易猜到用戶名這樣的結構,例如firstname.lastname,因此很容易將用戶拒之門外)
還有其他一些通常不適當地應用的Cargo-Cult安全性示例嗎?