近日對數據庫的Web托管公司DreamHost的FTP密碼數據庫的攻擊事件突出了日益增加的數據庫泄露趨勢。雖然這些數據庫包含敏感的身份信息，但是這些數據庫的保護力度遠遠趕不上那些包含PII的數據庫。專家警告說，如果企業真的關心他們的安全和合規計劃，就必須找出更好的方法來保護數據庫中的密碼，或者完全摒棄這種存儲方法而尋求更好的密碼存儲辦法。

　　上個月，黑客攻入了DreamHost公司包含密碼的數據庫(密碼以純文本格式存儲在傳統表格中)，泄露了該公司所有共享托管賬戶的FTP登錄密碼。

　　“這個被攻擊的數據庫包含客戶登錄FTP服務器的登錄信息，黑客可以使用這些登錄信息來假冒客戶訪問FTP服務器，”Imperva公司高級安全分析師Noa Bar-Yosef表示，“造成的結果就是，黑客可以訪問客戶文件、下載文件，甚至上傳他們自己的文件。”

　　據Bar-Yosef稱，除了遵循數據庫安全第一條規則(知道你的數據所在位置)外，DreamHost顯然沒有遵循數據庫密碼存儲的一些最佳做法。

　　“為了保護用戶密碼，企業必須部署強有力的密碼政策，并在加密之前存儲好密碼。黑客通常都能夠非常迅速地攻擊加密密碼。這里的關鍵是加大黑客的工作難度，”她表示，“這不僅保護禁止使用常見密碼，而且還要禁止使用鍵盤序列密碼。使用密碼短句是一個很好的辦法，因為密碼短句能夠提供足夠的長度來防止黑客對密碼的暴力攻擊。”

　　同時，Bar-Yosef認為，大多數企業在涉及加密密鑰時還要加大力度，因為簡單的加密并不足以阻止黑客。

　　“黑客采用一些技術(例如彩虹表)來找到原始密碼，”她表示，“然而，企業可以給每個密碼增加一個隨機值，從而讓黑客的密碼破解工作變得更加困難。”

　　然而，一些身份驗證專家認為，關于密碼存儲在數據庫的安全問題并不是單靠這些最佳做法就可以解決的，他們認為只有避免將密碼存儲在不安全的分布式數據庫才能夠從根本上預防這些數據泄露事故。

　　“我們的觀點是從一開始就應該摒棄將密碼存儲在數據庫的觀念，”身份管理公司Cyber-Ark Software公司執行副總裁Adam Bosnian表示，“在前端部署一個安全的登錄憑證管理系統，這一切問題都可以解決。”

　　Bosnian表示，開發人員每次在開發一個應用程序時，往往會重塑身份管理系統，基本上是將密碼管理硬編碼到他們的中間件中，并將密碼存儲在不安全的數據庫，這使得很難對密碼進行集中管理和保護。

　　另一家身份管理公司Viewfinity首席執行官Leonid Shtilman表示，這種非集中式管理會讓企業陷入非常危險的境地。

　　“這些賬戶實際上沒有出現在IT管理人員的行政賬戶(由AD管理)標準跟蹤清單上，并可能被惡意軟件用以通過‘本地’ 管理員賬戶在本地計算機上安裝惡意軟件，”Shtilman表示，“對IT環境的進一步滲透就是捕獲密碼，包括訪問關鍵數據的密碼。IT安全和運營管理人員必須想辦法緩解這種風險。”

　　身份管理公司Lieberman Software公司首席執行官Phil Lieberman表示，現在市面上有工具可以解決這個問題，真正的問題在于讓所有人關心這個問題。

　　“web應用程序使用包含重要登錄憑證以及數據庫憑證的中間件堆棧，而這些憑證信息一般沒有得到主動管理。這種情況的產生是因為缺乏管理密碼修改過程需要的必要的資源和技能，”Lieberman表示，“IT管理人員和數據庫管理員對于憑證信息的不當管理既不會得到褒獎也不會受到懲罰，而高層管理人員通常根本不知道什么是中間件，甚至不知道什么是連接字符串以及需要如何進行管理。”

　　即使當企業購買一個管理平臺，如果開發人員沒有好好利用這個平臺，企業仍然會看到密碼散落在各處。即使部署了這些管理平臺，每個部門都應該對開發人員進行重新培訓以正確利用身份管理平臺，否則企業為平臺支付的資金將付諸東流。

　　“應用程序開發團隊仍然不斷將硬編碼憑證放入系統中，因為雙方并沒有連接好，”他表示，“企業必須從上到下制定一套使用規范。”

原文鏈接：http://safe.it168.com/a2012/0201/1305/000001305735.shtml