Po przejrzeniu dzienników generowanych przez różne SIEM (Splunk, HP Logger Trial i SIEM platformy AlienVault) zauważyłem, że z jakiegoś powodu wielu użytkowników popełnia błąd, wpisując swoje hasła w polu nazwy użytkownika, albo w Logowanie do domeny systemu operacyjnego lub w aplikacjach internetowych. Sądzę, że są to ludzie, którzy nie potrafią pisać bez patrzenia na klawiaturę i próbując to zrobić, robiąc to szybko, w końcu wpisują swoje hasła w niewłaściwym polu. Oznacza to, że hasło jest wysyłane w postaci zwykłego tekstu wszędzie w sieci i jest zapisywane w dziennikach ze zdarzeniem, które mówi coś podobnego:
Użytkownik P @ $$ w0rd nie istnieje [...]
Lub
Konto nie może się zalogować: P @ $$ w0rd [...]
(gdzie P @ $$ w0rd jest rzeczywistym hasłem użytkownika)
Staje się dość oczywiste, aby ustalić, do kogo należą hasła: zwykle poprzednie lub bardzo następne (nie) udane wydarzenie w ten sam plik dziennika poinformuje Cię o zdarzeniu wywołanym przez tego samego użytkownika.
Każdy inny analityk, patrząc na dzienniki, mógłby uzyskać czyjeś poświadczenia, nawet jeśli właściwy właściciel nie byłby tego świadomy; najgorszym scenariuszem jest podsłuchiwanie sieci lub rzeczywiste przejęcie pliku dziennika.
Szukam ogólnych wskazówek, jak temu zapobiec. Zakładam, że zwykłe maskowanie nazwy użytkownika jest niewykonalne, a nawet gdyby tak było, prawdopodobnie wyeliminowałoby to dużą część analizy dziennika, ponieważ nie można stwierdzić, kto co zrobił.
Uwaga: b > Istnieje już post dotyczący podobnego problemu, ale próbuję znaleźć sposób, aby temu zapobiec. Jakie jest ryzyko, jeśli przypadkowo wpiszę hasło w polu nazwy użytkownika (logowanie do systemu Windows)?
Zaakceptowana odpowiedź: chciałbym wybrać kilka odpowiedzi z listy. Niestety muszę trzymać się tylko jednego na forum, ale w praktyce mogę je połączyć. Bardzo dziękuję za wszystkie odpowiedzi; Widzę, że nie ma jednego rozwiązania. Ponieważ zgadzam się, że dodanie „rzeczy” zwiększa złożoność, która zwiększa prawdopodobieństwo wystąpienia luk w zabezpieczeniach, muszę zgodzić się z większością wyborców, że @AJHenderson ma najbardziej elegancką i najprostszą odpowiedź jako pierwsze podejście. Zdecydowanie SSL i prosta weryfikacja kodu na serwerze lub nawet po stronie klienta. Ponieważ szukam sposobu na złagodzenie działań nie przeciwko złośliwym użytkownikom, ale rozproszonym, to wystarczy. Gdy to nastąpi, możemy zacząć rozważać rozszerzenie implementacji na niepotrzebnych użytkowników, jeśli jest to konieczne. Jeszcze raz bardzo dziękuję za wkład wszystkich.