据报道,在重大数据泄露事故后,雅虎公司信息安全团队希望公司强制对所有电子邮件账户进行密码重置,但被管理层拒绝。那么,对于遭遇数据泄露的公司,应强制执行密码重置吗?这种做法有什么缺点?
Mike O. Villegas :2016年12月,雅虎公司确认其曾在2013年8月遭遇数据泄露事故,涉及超过10亿雅虎用户账户。此前在2016年9月,雅虎透露在2014年至少5亿用户账户被盗。被盗信息包括姓名、电子邮件地址、电话号码、出生日期、密码,以及加密或未加密的安全问题和答案。那些信息被泄露的用户都收到通知要求更改密码。
当雅虎公司信息安全团队请求管理层对所有用户账户强制执行重新设置密码时,雅虎的管理层拒绝了该请求,他们认为强制重置密码会让雅虎电子邮件用户流失而转向其他服务。然而最终很多雅虎用户都被迫更改密码。
大多数网络安全领域人士可能都会认同:在数据泄漏事故发生后,至少应强制执行重置密码以确保基本控制。雅虎和其他服务提供商支持两步验证和多因素身份验证以确保用户的正常访问。
强制密码重置的缺点是,为了确保安全的登录,用户需要设置更高强度的密码,而很多用户不太关心这个问题,推迟密码更改。但企业还是应该咬紧牙关执行强制密码重置。这样才更安全,不会让大多数用户信息暴露在外。
京公网安备 11010502049343号