Shopify 无法防止已知的泄露密码原创
最近的一份报告显示,电子商务提供商Shopify在其网站面向客户的部分使用了特别弱的密码策略。根据该报告,Shopify 要求其客户使用长度至少为五个字符且不以空格开头或结尾的密码。
根据该报告,Specops 研究人员分析了一份已知已被破坏的十亿个密码列表,发现其中 99.7% 的密码符合 Shopify 的要求。虽然这并不意味着 Shopify 客户的密码已被泄露,但如此多已知的泄露密码符合 Shopify 的最低密码要求这一事实确实凸显了与使用弱密码相关的危险。
Active Directory 中弱密码的危险
Hive Systems 最近的一项研究呼应了使用弱密码的危险。该研究检查了暴力破解各种长度和复杂程度的密码所需的时间。根据 Hive Systems 的信息图,无论复杂程度如何,一个五个字符的密码都可以立即被破解。鉴于使用暴力破解较短的密码很容易,理想情况下,组织应该要求长度至少为 12 个字符的复杂密码。
即使你将与使用五个字符的密码相关的安全隐患放在一边,还有一个潜在的更大问题 - 法规遵从性。
人们很容易将监管合规视为只有大公司才需要担心的事情。因此,许多开设 Shopify 账户的小型独立卖家可能不知道与此相关的监管要求。但是,支付卡行业要求任何接受信用卡支付的企业遵守官方 PCI 安全标准。
使用第 3 方支付系统避免 PCI 要求
使用 Shopify 或类似电子商务平台的好处之一是零售商不必运营自己的支付卡网关。相反,Shopify 代表客户处理交易。这种支付流程的外包使电子商务企业主免受许多 PCI 要求的影响。
例如,PCI 标准要求商家保护存储的持卡人数据。但是,当电子商务企业将其支付处理外包时,它通常不会拥有客户的信用卡数据。因此,如果企业主从一开始就从未拥有该数据,则他们可以有效地避免保护持卡人数据的要求。
然而,一个可能更成问题的 PCI 要求是识别和验证对系统组件的访问的要求(要求 8)。尽管 PCI 安全标准没有指定所需的密码长度,但 PCI DSS 快速参考指南在第 19 页指出“每个用户都应该有一个强密码进行身份验证”。鉴于此声明,电子商务零售商很难证明使用五个字符的密码是合理的。
开始在内部加强 IT 安全性
当然,这引发了电子商务公司可以采取哪些措施来提高其整体密码安全性的问题。也许最关键的建议是认识到与电子商务门户相关的最低密码要求可能不够。从安全性和合规性的角度来看,通常建议使用比最低要求更长、更复杂的密码。
电子商务零售商应该做的另一件事是认真研究可以采取哪些措施来提高他们自己网络上的密码安全性。如果在你的网络上存储或处理任何客户数据,则尤其如此。根据2019 年的一项研究,60% 的小公司在被黑客入侵后 6 个月内关闭。因此,尽你所能防止安全事件非常重要,其中很大一部分涉及确保你的密码安全。
Windows 操作系统包含可以控制密码长度和复杂性要求的帐户策略设置。虽然此类控制无疑很重要,但 Specops 密码策略可以帮助组织构建比仅使用 Windows 内置的本机工具更强大的密码策略。
Specops 密码策略提供的最引人注目的功能之一是它能够将组织内使用的密码与已知已泄露的数十亿密码的数据库进行比较。这样,如果发现用户使用了泄露的密码,则可以在密码出现问题之前对其进行更改。
Specops 密码策略还允许组织创建不应包含在密码中的禁止单词或短语列表。例如,管理员可能会创建一个策略来阻止用户使用你的公司名称作为其密码的一部分。
此外,组织可以使用 Specops 密码策略来阻止用户常用来规避密码复杂性要求的技术。这可能包括使用连续的重复字符(例如 99999)或用外观相似的符号替换字母(例如 $ 而不是 s)。
最重要的是,Specops 密码策略可以帮助你创建更加安全的密码策略,从而使网络犯罪分子更难以访问你的用户帐户。你可以随时在 Active Directory 中免费测试 Specops 密码策略。