¿Hay alguna manera buena (o menos mala) de manejar un portal web o sitio web con una seguridad terrible?

Navega tus respuestas
3

Background:

Estoy enfrentando una situación con un sitio en línea que debo (por el momento inmediato) uso para asuntos financieros y de recursos humanos que simplemente apesta. En todos los sentidos, pero la seguridad en particular. Por mucho que me gustaría, no puedo deshacerme de este sitio inmediatamente, pero definitivamente estoy avanzando hacia hacerlo lo antes posible (dentro de unos meses en el exterior, espero). Es un portal muy grande en los EE. UU. Para acceder a información altamente sensible a través de la web: recursos humanos, finanzas, contabilidad y similares.

Problema :

Su seguridad Chupa . Una captura de pantalla a continuación y tenga en cuenta que la contraseña tiene un límite de 12 caracteres. La contraseña de 7 a 12 de caracteres, no tiene un conjunto de caracteres especiales, y se subvierte mediante preguntas de seguridad [-eliminating] que son en su mayoría responsables con algunas búsquedas de registros públicos y / o algunos Google-Fu decentes. No hay controles para asegurarse de que la PC que accede a él no esté infectada con algo desagradable o algo así, naturalmente.



Nuevamente, este es un portal muy grande con base en los EE. UU. para recursos humanos e información financiera. Si no estuviera tan acostumbrado a la atroz seguridad en la web, estaría realmente enojado, en lugar de solo moderadamente enojado y preocupado. Por lo que puedo decir, tampoco existe un método de autenticación alternativo, como la autenticación de dos factores, la capacidad de deshabilitar las preguntas de seguridad, o usar una contraseña que en realidad podría durar más de unos minutos contra un atacante que sabe lo que está haciendo.

No tengo visibilidad de su seguridad detrás de las cámaras (uso de contraseñas, eliminación de sal, pruebas de penetración, vulnerabilidades, etc.), pero en base a lo que he visto hasta ahora, apuesto a que se está cerrando la cortina. Sólo sería más motivo de preocupación / alarma.


Pregunta:

  1. ¿Qué puedo hacer para protegerme mejor a mí mismo mientras tengo que tolerar esta abominación?
  2. ¿Qué debería hacer con respecto al hecho de que toda esta información confidencial para tantas personas está protegida por políticas de seguridad tan deficientes? ¿Cómo debo notificar y qué debo hacer cuando recibo el we take security seriously, eff off de respuesta que sé que obtendré?
    • Como teorizado, remover la cortina probablemente revelaría algunos horrores verdaderos, pero eso parece una mala idea.

Voy a aplicar una respuesta a lo que he hecho hasta ahora para manejar esto desde el punto de vista de mi seguridad personal, pero no estoy seguro si he hecho lo suficiente o me he perdido algo de lo que podría estar haciendo ( dado que tengo que usar este punto de venta) y agradecería sus comentarios.

No tengo idea de qué hacer con respecto a (2) . Mi experiencia ha sido probando mis propios sistemas y corrigiéndolos, sin tropezar en sistemas como este con peor seguridad que mi teléfono, respaldado por una corporación masiva que se moverá más lento que las melazas cuesta arriba en invierno (a menos que haga algo estúpido / fuera de línea y deciden demandarme, en cuyo caso apuesto a que se moverán muy rápido).

    
pregunta HopelessN00b 21.09.2012 - 07:39
fuente

5 respuestas

7

Autoprotección:

Lo que enumeras en tu respuesta suena bastante bien. Mi único pensamiento sería cambiar sus respuestas de preguntas falsas de seguridad de garantía larga por respuestas realmente falsas. Ya sea oraciones o más caracteres pseudoaleatorios. Pero asumiendo que llegas a algún lugar tratando de cambiar el sistema, no creo que quieras tenerlos allí cuando algún tipo que esté investigando e intentando ayudar los vea. Nunca sugiero realmente la estrategia de "espero que el administrador tenga sentido del humor".

También sugeriría una doble verificación manual: parece que un ser humano accede a esta cuenta para buscar información. Haga que el humano realice un registro físico de cuándo se accede a la cuenta - hora de inicio / finalización, y si realmente está analizado - trabajo realizado. De modo que si surge un problema de acceso inapropiado, tiene una lista separada de lo que ha sido su actividad. Lo mejor es algo que proporciona una marca de tiempo automatizada, por ejemplo, envíese un correo electrónico a través del servidor de correo de la empresa, por lo que puede enviar los registros y tiene una marca de tiempo (ligeramente) bien documentada (fecha / hora de envío). Sí, es falso, pero aquí hay un límite para la cantidad de cheques razonables que un proceso puede manejar.

Protección a largo plazo:

Está bien, así que estoy molesto, pero ventilar, despotricar y sonar de otra manera a los propietarios del sitio, a la web o a la alta gerencia de su propia empresa probablemente no lo lleve muy lejos. Cuando un hombre cabreado aparece en la escena pidiendo que todo se arregle en este momento, las personas que realmente podrían responder de una manera productiva probablemente cerrarán las compuertas y tratarán de descubrir cómo sacarlo de su oficina. , o sitio web y pasar más tiempo eliminándote a ti que eliminando el problema.

Intente mantenerse libre de culpa y concéntrese en el problema en cuestión.

Empezaría con los riesgos:

  • Riesgo para las personas: la exposición de los datos de RR.HH. / financieros vinculados a individuos - puede violar las leyes, causar daños y generar juicios fiscalmente perjudiciales.

  • Riesgo para la reputación de la empresa, tanto su empresa como el proveedor del servicio.

  • Riesgo para los usuarios: de ser acusado de acceso inapropiado a los datos

Tenga una estimación de la probabilidad de riesgo, el nivel de impacto, etc.

Luego comience a hacer un seguimiento con las partes interesadas, comenzando por su empresa.

También puede hacer un seguimiento con el proveedor de datos: si este sitio de alojamiento no es interno de la compañía que proporciona los datos de recursos humanos / finanzas, busque la organización de seguridad del proveedor de datos y comience a hablar de los riesgos con ellos.

Lo más probable es que, si alguna de las compañías no tiene un CSO o un CISO, tenga un CTO o un CFO. Honestamente, comenzaría con cualquiera que sea el nivel más alto de gestión de riesgos: un riesgo de seguridad es un riesgo empresarial. Las personas con más probabilidades de responder son aquellas tareas con riesgos atenuantes.

El truco es sonar sano, escribir bien, hablar de manera convincente y, en general, demostrar que eres una persona inteligente y confiable.

Para la protección del trabajo, comenzaría de manera interna, obtendría las aprobaciones antes de ir a grupos externos y mantendría informado a mi gerente en todo momento.

Si eso no dio resultados, vale la pena investigar las leyes de protección de la información personal en su país / región y verificar cuáles son las expectativas de la diligencia debida, legalmente. Esto puede ser difícil, ya que la jurisdicción puede ser el estado que alberga el servicio, el estado de las personas cuyos datos se están violando o algo más amplio. Inyectar el manejo inadecuado de los datos no es el punto de partida. Empezaría de manera interna y trabajaré hacia afuera. Ayudar a prevenir pérdidas, daños a la reputación y mejores prácticas de seguridad te hacen un héroe. Hacer sonar el silbato puede darle cobertura de prensa y puede ahorrar mucha pérdida de datos, pero no será un héroe universal, ya que las compañías involucradas casi seguramente perderán la cara, y no estarán tan entusiasmados con eso.

Esto se relaciona con fuerza con el lado más suave de la seguridad: encontrar a las partes interesadas clave que realmente pueden afectar el cambio organizativo y hacer que participen. Saber cómo presentar el problema y hacer preguntas para generar un pensamiento real es realmente importante aquí. Es improbable que entres y les digas que han cometido un error al conseguir los resultados que deseas, debes convencerlos de que hay un problema que solucionar aquí.

Honestamente, ni siquiera podría decirte si te escucharía si vinieras a mí ... Estoy tan feliz en un foro público por NO saber exactamente qué datos están en riesgo aquí, pero es así. Realice una investigación realmente seria sobre EXACTAMENTE qué información es privada o pública, específica o generalizada antes de poder presentar el caso.

    
respondido por el bethlakshmi 21.09.2012 - 17:43
fuente
6

Cuenta para seguridad de backend pobre

Si están almacenando su contraseña en texto simple (lo que es más que razonable sospechar), entonces realmente no hay nada que pueda hacer al respecto. Pero lo que puede hacer es limitar la cantidad de exposición a usted mismo que podría causar una violación de seguridad. En la medida en que su mala seguridad no sea su problema, realmente no tiene que preocuparse.

Tenga cuidado con la información que comparte con ellos; aunque para ser honesto, ya debería ya tener el hábito de limitar el intercambio de datos personales con cualquier persona . Cualquier persona con la que tratas puede ser pirateada, no solo las que parecen tener una seguridad horrible. Asegúrate de que sus fallos no te causen dolor.

Elija una contraseña única, aleatoria y decente

Una contraseña de 20 caracteres elegida de su conjunto de caracteres limitado de [A-Za-z0-9] sigue siendo aproximadamente 120 bits de entropía, y está mucho más allá de los límites razonables de fuerza bruta. Las restricciones de contraseña son generalmente una bandera roja, pero en este caso no está limitado tanto como para hacer que las contraseñas seguras sean imposibles. Aún así, el potencial de un backend de texto sin formato significa no volver a usar una contraseña de otro lugar . Por supuesto, no ibas a hacer eso de todos modos, ¿verdad?

Elija buenas respuestas para las preguntas de seguridad

La pregunta que elijas no importa realmente porque no vas a en realidad responderlas, ¿verdad? Por ejemplo:

  

P: ¿Cuál es el apellido de soltera de tu madre?
  A: 1a9457e11b9a879e1939ff8fcc3f6246b48a8fa8

La respuesta es la suma de la pregunta, que no es una respuesta muy buena, pero es mucho mejor que "Smith". Puedes hacerlo mejor; ser creativo.

Como regla general, nunca le des respuestas correctas a las preguntas de seguridad. Pero eso ya lo sabía, ¿no?

Al final, dar cuenta de la falta de seguridad solo implica seguir exactamente las mismas reglas que deberías ya estar siguiendo.

    
respondido por el tylerl 23.09.2012 - 09:33
fuente
2

Para asegurarme lo más posible, aquí están los pasos que he tomado hasta ahora:

  1. Un nombre de usuario que es largo y seudo se genera aleatoriamente.
  2. Una contraseña que es larga (dadas las restricciones) y seudo se genera aleatoriamente.
    • Se cambiará ~ semanalmente.
  3. Respuestas indiscutibles a las preguntas de seguridad, en la línea de:
    • No te preocupes, esos no son los valores reales. Resulta que las respuestas de seguridad tampoco pueden tener caracteres especiales. (Solo ... tanto facepalm .)
  4. Vinculado a una cuenta de correo electrónico que tiene dos factores de autenticación.
  5. Instrucciones para limitar, en la medida de lo posible, la sensibilidad y la cantidad de información para la que realmente usamos este turbo.
  6. Oración. Mucha oración. También ofrendas quemadas y sacrificios de sangre a $[diety] .
respondido por el HopelessN00b 21.09.2012 - 07:39
fuente
1

No creo que esto sea demasiado difícil, si debe usar el sitio, use una combinación aleatoria de mayúsculas y minúsculas y números para el nombre de usuario, la contraseña y las respuestas secretas 1-4.

En cuanto a lo que puede hacer, póngase en contacto con la empresa en cuestión, señale las fallas en su sistema de inicio de sesión y sugiera mejoras, si lo ignoran, al menos lo intentaron.

No nos ha dicho su relación con esta compañía, pero si su empleador los está utilizando, comuníquese con el departamento de seguridad de su empleador con la misma información. Si puede conseguir que se pongan en contacto, es probable que escuchen a las personas que pagan por su producto.

    
respondido por el Andy Smith 21.09.2012 - 13:37
fuente
1

Mi sugerencia: dar un paso atrás por un momento. No te dejes volar por eso. Si tiene que usar el sitio, aquí hay algunos pasos simples que puede seguir para proteger su propia seguridad:

  • Elija una contraseña segura. Elija una contraseña aleatoria de 12 caracteres (que cumpla con sus pautas). Si lo hace, puedo garantizarle que la entropía en su contraseña no será el enlace más débil del sistema, y es muy poco probable que alguien pueda ingresar a su cuenta adivinando su contraseña.

  • Elija respuestas falsas a las preguntas de seguridad. ¡Nadie le dijo que tenía que dar la respuesta correcta a esas preguntas de seguridad! Elija una cadena aleatoria de 16 caracteres y utilícela como respuesta a la pregunta de seguridad. Escríbalo o imprímalo y guárdelo en un lugar seguro.

  • Regístrese con una dirección de correo electrónico privada. Si está realmente preocupado, cree una dirección de correo electrónico privada que sea diferente de su cuenta pública y registre su cuenta con esa, en lugar de que el que todo el mundo puede adivinar. (Pero esto probablemente sea una exageración, y probablemente no me molestaría).

Eso no es tan difícil. Haz eso, y listo.

Bien, el sitio puede haber tomado algunas decisiones de seguridad cuestionables. Por supuesto, es molesto. Pero aún así, no creo que valga la pena invertir demasiado de tu energía emocional en esto. Cosas como estas pasan. Protéjase (como se sugirió anteriormente), siga adelante y continúe con el resto de su vida. Mira una buena película, habla un paseo por el parque, disfruta de las puestas de sol. La vida es buena, ¡no dejes que las cosas tontas de seguridad te depriman!

    
respondido por el D.W. 23.09.2012 - 02:44
fuente

Lea otras preguntas en las etiquetas

¿Qué tan peligroso es el guardabosques? ¿Posibles formas de rastrear remitentes anónimos de correo?