בסקירת היומנים שנוצרו על ידי SIEMs שונים (Splunk, HP Logger Trial ו- SIEM של פלטפורמת AlienVault) שמתי לב שמשום מה לא מעט משתמשים נוטים לטעות בהקלדת הסיסמאות שלהם בשדה שם המשתמש, או בשדה שם המשתמש. כניסה לתחום OS, או בתוך יישומי אינטרנט. אני מנחש שאלו אנשים שלא יכולים להקליד בלי להסתכל על המקלדת ובניסיון לעשות זאת, לעשות זאת מהר, בסופו של דבר להקליד את הסיסמאות שלהם בשדה הלא נכון. המשמעות היא שהסיסמה נשלחת בטקסט רגיל לכל מקום ברשת ובסופו של דבר נרשמת ביומני עם אירוע שאומר משהו בסגנון:
משתמש P @ $$ w0rd לא קיים [...]
או
חשבון נכשל בכניסה: P @ $$ w0rd [...]
(כאשר P @ $$ w0rd היא סיסמת המשתמש בפועל)
זה נהיה די ברור להבין למי שייכות הסיסמאות: בדרך כלל האירוע הקודם או הבא (הלא) המוצלח ביותר ב- אותו קובץ יומן יודיע לך על אירוע שהופעל על ידי אותו משתמש.
כל אנליסט אחר, המתבונן ביומנים, יכול לקבל אישורי מישהו אחר מבלי שהבעלים הראוי יהיה מודע לכך; התרחיש הגרוע ביותר הוא האזנת רשת, או פשרה של קובץ יומן בפועל.
אני מחפש הנחיות כלליות שיעזרו למנוע זאת. אני מניח שפשוט מיסוך שם המשתמש אינו אפשרי וגם אם זה היה, זה בטח יביא לחיסול רב מניתוח היומן מכיוון שלא היה יכול לדעת מי עשה מה.
הערה: b > יש כבר פוסט בנושא דומה, אבל אני מנסה לטפל בדרך למנוע את זה. מה הסיכון אם אני מקליד בטעות את הסיסמה שלי בשדה שם משתמש (כניסה ל- Windows)?
תשובה מקובלת: b> הלוואי שיכולתי לבחור כמה תשובות מהרשימה. לצערי אני צריך לדבוק רק בפורום אחד, אבל בפועל אני יכול לשלב ביניהם. תודה רבה על כל התשובות; אני רואה שאין פיתרון אחד. מכיוון שאני מסכים שהוספת 'דברים' מוסיפה מורכבות המגדילה את הסבירות לחורי אבטחה, עלי להסכים עם מרבית המצביעים כי ל- @ AJHenderson יש את התשובה האלגנטית והפשוטה ביותר בגישה ראשונה. בהחלט SSL ואימות קוד פשוט בשרת או אפילו בצד הלקוח. מכיוון שאני מחפש למתן לא נגד משתמשים זדוניים, אלא אלה המפוזרים, זה יסתדר. ברגע שזה יהיה במקום, נוכל להתחיל לבדוק את הרחבת היישום למשתמשים שאינם מיועדים במידת הצורך. שוב תודה רבה על הקלט של כולם.