2026年4月24日
Random News

移动安全网

关注全球网络安全市场

Trending News

安全播报
定期重置密码并没有想象中那么安全 01
02
安全播报
英国“分散蜘蛛”组织核心成员承认参与短信网络钓鱼与加密货币盗窃
03
安全报告
漏洞
漏洞永远修不完,“带洞防护”成必然
04
安全播报
双因素认证突破桌面限制走向物理世界
05
安全播报
第5条与欧盟人工智能法案的绝对红线

定期重置密码并没有想象中那么安全

quange01 mins

弗雷斯特研究公司的研究估算显示,每次密码重置的成本大约为七十美元。作为帮助台最常见的请求之一,许多组织已经引入自助式密码重置工具,以减轻支持团队的负担。然而,即便部署了这些工具,帮助台团队仍然要处理大量密码重置请求,无论是协助用户完成自助式密码重置注册,还是处理各种特殊情况。这也使密码重置自然成为攻击者的目标。攻击者很清楚,只要他们能够说服一名服务人员重置密码,就可以绕过多重身份验证,直接进入目标账户。因此,要加固密码重置流程,首先必须了解这一流程可能在哪些环节出错。一次密码重置如何导致全面失陷二〇二五年四月,英国零售商玛莎百货遭遇攻击,导致其在全国范围内的运营受到干扰,线上销售被迫暂停五天,平均每天损失约三百八十万英镑,约合五百一十万美元。据信,与黑客组织“分散蜘蛛”有关的攻击者,最初是通过冒充一名玛莎百货员工并联系第三方服务台获得初始访问权限的。服务台随后执行了一次密码重置,使攻击者拿到了合法凭据,因此无需利用任何技术漏洞即可进入系统。在此之后,攻击者利用活动目录提取了“域服务目录数据”文件,也就是存储所有域用户密码散列值的数据库。“分散蜘蛛”随后能够离线破解这些散列值,以恢复更多账户凭据。在掌握有效账户并不断提升权限后,攻击者借助标准工具和正常登录活动进行横向移动,在数周内持续扩大访问范围。当他们获取到足够高的权限后,便投放了勒索软件,加密了支撑支付、电子商务和物流业务的系统。玛莎百货最终被迫让相关服务下线,运营与客户交易因此受到严重影响。加固服务台安全像玛莎百货遭遇的这类社会工程学攻击,难点在于它们看起来并不可疑。从帮助台的视角来看,这不过又是一名用户请求重置密码而已。这也正是服务台会成为重点攻击目标的原因所在,同时也说明,仅依赖基础核查手段不足以保障密码重置流程的安全。如果无法以可靠方式核实电话另一端的真实身份,那么一次看似例行的请求,就很容易变成攻击者进入系统的入口。像“安全服务台”这样的方案,可以让帮助台团队在执行任何密码重置之前,先确认用户身份。服务人员不再依赖那些可能被查到或猜到的信息,而是可以向受信任设备发送一次性验证码,或者借助现有身份提供商完成验证,例如“双重安全”或“奥克塔”。“安全服务台”每一项请求都遵循相同的处理步骤,身份核验不再是可选项,也不再取决于具体由谁接听电话。这意味着,攻击者将无法再依赖玛莎百货事件中所使用的那一套手法。

这取决于具体接听电话的个人。这意味着,攻击者无法照搬在 M&S 案件中使用的相同策略。即使他们掌握了看似可信的背景信息,仍然需要能够访问用户已登记的设备或身份验证要素,而这类信息几乎不可能仅靠电话伪装获得。使用 Specops Password Policy 保护您的 Active Directory 密码。Verizon 的《数据泄露调查报告》发现,在 44.7% 的数据泄露事件中都涉及被盗凭证。借助符合合规要求的密码策略,您可以轻松保护 Active Directory,阻止超过 40 亿个已泄露密码,提升安全性,并大幅减少支持负担。立即免费试用。密码重置的最佳实践。对于已经部署了 Specops Secure Service Desk 等解决方案的组织而言,以下最佳实践将帮助团队确保这些标准得到持续且一致的执行。1. 在可能的情况下鼓励用户自助服务。并非每一次密码重置都需要通过服务台处理。事实上,减少对服务台的依赖,是同时降低成本和风险的最简单方式之一。如果您已经部署了自助密码重置解决方案,那么重点应放在推动用户采用上。确保用户知道如何注册、理解其工作原理,并在需要时有信心使用它。这可以很简单,例如编写一份简短指南,为新用户提供清晰的启用说明。2. 使用安全的临时凭证。即使经过验证的重置请求,如果交付环节薄弱,仍然存在风险。通过语音通话告知临时密码,或通过未加密电子邮件发送临时密码,都会为拦截者创造可乘之机。临时凭证必须足够强、仅限一次性使用,并通过加密通道交付。如果一次重置在几分钟之后仍然有效,它就会成为一个持续存在的安全漏洞。3. 监控密码重置活动。跟踪密码重置发生的方式和时间,有助于发现安全风险和流程缺口。应关注诸如频繁重置、反复向服务台提交请求,或用户在自助重置过程中遇到困难等模式。这些迹象既可能表明用户体验不佳,也可能意味着存在潜在滥用。定期监控还有助于强化良好的使用习惯。如果用户没有采用自助服务,或反复遇到问题,这就是提供更清晰指导的机会。随着时间推移,这种可视性将减少服务台工作负担,使密码重置流程更加可预测,并且更重要的是,更加安全。4. 为服务台提供工具并开展培训。当流程未按标准路径进行,或用户需要额外支持时,服务台仍然需要介入。只有在他们拥有合适的工具和清晰指导的情况下,这一机制才能发挥作用。身份验证必须保持一致,而不能依赖个人判断。客服人员还应能够查看密码重置活动,并针对异常情况遵循明确的策略,而且每次都应如此执行。在正确的配置下,服务台将成为防止未授权访问的关键控制点。使用 Specops 保护您的密码重置流程。如果攻击者可以直接“请求”访问权限,他们就没有必要真正“攻破”系统,因此,在处理密码重置请求时核实身份是必不可少的。

如果攻击者只需提出访问请求就能得手,他们就没有必要大费周章地“入侵”系统,因此,在处理密码重置请求时核实身份是必不可少的。借助合适的工具和健全的流程,服务台可以成为一道强有力的防线;反之,它就会变成一个轻易被利用的入口点。如果您希望加强密码重置流程,Specops 可以帮助您部署适当的控制措施。立即联系我们,或预约产品演示,亲自了解我们的解决方案如何发挥作用。本文由 Specops Software 赞助并撰写。

来源: BleepingComputer

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

相关新闻