如何检查我们的客户是否被其他web应用程序的安全漏洞所破坏？

Question

一个已知的网站不时会被黑客入侵，比如Adobe或丘比特媒体的情况。

在这种情况下，用户数据会被泄露，包括用户名、加密(有时甚至是纯文本！)密码。重复使用密码的用户也可能会在其他web应用程序中的帐户受到损害。

我工作的公司运行一个大型web应用程序。我们希望保护我们的客户免受此类安全漏洞的附带损害，方法是重新设置帐户被破坏的用户的密码，例如最近发生的Adobe漏洞中的Facebook做了什么。

如何才能在此类事件中找到泄漏的用户列表？

Answer 1

一些漏洞是在PasteBin或类似网站上公开披露的，但这些漏洞相对较少。即使您可以从所有的数据破坏中获得属于受损害帐户的所有电子邮件地址的列表，这也只会帮助您找到可能受到影响的用户。这并不能告诉您，如果您的用户实际上使用相同的密码在您的网站和一个妥协的网站，所以您可能最终强制设置密码，而不是真正需要它。按照这些天发生的速度，您可能会经常这样做，这将开始使您的用户感到不快。

如果您存储的密码是正确的，那么您甚至不可能在整个用户数据库中检查已知已泄露的密码列表。您希望做的最好的事情就是在登录过程中注入某种检查，这样您就有机会(暂时)捕获用户的密码。这可以帮助您在用户登录时识别密码受损的用户，但并不是所有用户都会很快登录，因此您的一些用户可能永远不会被检查他们的密码。这也会给安全敏感的过程增加不必要的复杂性，而这通常是不明智的。

即使您可以检查所有用户的密码，并验证他们是否已被破坏，这仍然留下了这样的可能性，即用户没有在您的站点上重复使用他们的密码，而是在他们的电子邮件地址上重复使用它--通常是密码重置过程中的一个关键部分，而且可能是您的一部分。这些帐户仍然容易在你的网站上受到损害，在他们的电子邮件帐户被劫持后，你永远不会知道。

您的最佳关注点(如@LucasKauffman所述)是在用户教育方面，而不是每次出现漏洞时都重新设置帐户密码，因此需要解决哪些密码真正需要重置的问题。注意网站违规的通知，特别是那些账户名称/电子邮件地址和密码被泄露的情况，并确保用户在这些事件发生时被告知。

向所有用户发送电子邮件通知，告诉他们哪些帐户可能被破坏了，如果他们认为自己受到了影响，他们应该怎么做。一定要提醒他们，他们不应该仅仅更改他们的密码在受影响的网站，但也在任何其他帐户使用相同的密码。还要提醒他们，他们应该使用强大的密码，这是不被重复使用在不同的帐户。您可能希望(通过提及产品/网站名称和(或)密钥搜索术语-而不是使用超链接)--在用户可以从哪里获得更多有关漏洞的信息或帮助他们创建和管理安全密码的工具上添加指针。提醒他们警惕网络钓鱼攻击，因为网络钓鱼攻击通常会跟踪高调的数据泄露，并且永远不要在电子邮件中提供账户详细信息或跟踪可疑链接。

Answer 2

网络安全专家特洛伊亨特( Troy )有一个名为我被抓了吗？的网站，该网站可以检查与多个漏洞相关的电子邮件地址。从入侵中收集到的密码不会保留在那里，因此它有助于确定某个帐户是否会受到影响，但不会透露哪些密码或哈希是被盗的。

Answer 3

问题是，它们不是通过正常渠道公开分享的。通常你可以在后面的频道上找到它们。LastPass已经找到了这样一个数据库，并且在他们的网站上提供了一个检查服务。但是，我建议您不要使用这个，因为您将把所有的用户帐户都转移到LastPass。

你可以自己去找数据库。作为另一种选择，您可以向所有坚持更改密码的客户发送电子邮件，如果他们在Adobe使用类似的密码。