请告诉我这个2009年没有发生:上周,一名18岁的学生据报道,使用密码猜测计划进入一个帐户推特员工(看故事)。从那里,青少年薄脆饼干劫持了账户选拔巴拉克奥巴马总统那布兰妮·斯皮尔斯那福克斯新闻和30个其他推特用户。
密码猜测程序?就是这样1983年。
根据有线博主金Zetter谁追踪崩溃的饼干,称自己为“gmz”并通过电子邮件采访他,裂缝是古老的学校简单的奇迹。GMZ注意到一个名为“Crystal”的一个推特用户正在追随大量推特源。gmz去了Twitter登录页面,键入了Crystal的名字,指出了他的自主猜测程序在密码字段中,然后上床睡觉。
当他在第二天早上检查时,他发现了正确的密码是幸福 - 而且他在。
他还发现水晶不仅仅是一个推特用户。她是一个支持员工,她的帐户可以访问可以重置任何Twitter用户的密码的管理工具。GMZ表示他没有访问任何其他账户 - 但他确实可以访问同胞黑客。
Twitter只在几个小时后才能恢复控制。
可怕,不是吗?不是那个奥巴马和福克斯新闻在他们的Twitter饲料中发出了虚假消息 - 原来是prankster-letch的东西。什么是可怕的,系统管理员在具有数百万用户的系统上忽略了如此多的基本密码安全性。
你不要让员工挑选像幸福一样的猜测密码。您不允许任何人继续尝试在重复的密码失败后登录几小时。您不使用相同的登录界面来为您使用的普通客户使用的强大员工帐户。你只是没有。
Sysadmins可能是如此邋的的想法,他们被这种'80s-era黑客受到了思维 - 令人难以置信的 - 对吗?
抓住这种想法。
现在考虑一下:我们进入了第二岁的全年经济衰退。谈到人员配备时,我们已经削减了脂肪,我们已经切断了肌肉,我们开始在骨头上看到。这意味着甚至是最好的公司IT商店,我们已经开始了偷工减料。
这总是太多了。这完全是关于选择优先事项。操作 - 保持所有运行 - 始终位于列表的顶部。支持 - 帮助遇到问题的个人用户 - 通常是下一个。这两件事有业务方面的重点,因为如果他们失败,事情会发生,商界人士会注意到。然后他们会嚎叫。
但安全性没有大选区。如果我们削减了安全性,没有人可能会注意到,因为没有任何不好的东西可能会立即发生。
在业务方面没有人会在发生某些事情发生之前嚎叫。它可能是非常非常糟糕的。
我们不知道Twitter是如何推特,这是一个与31名员工的初创企业,与密码安全性有邋..但是,并不难以想象如何在大型企业内容中发生。面对太多工作的一点太多的角落切割就是它会采取的。
这意味着即使在简单的安全方面也需要保持警惕 - 即使没有业务方面没有需求。我们必须保持密码难以猜测,锁定重复登录的尝试并保持强大的IT账户尤其安全。
因为它是2009年,野蛮的经济和全部。但如果我们在作为密码安全的简单简单的东西上滑动,它可能会又一次感觉到1983年。
弗兰克海耶斯是计算机上的高级新闻专栏作家。联系他frank_hayes@computerworld.com.。
此版本的故事最初出现在Computerworld的打印版中。
有东西要添加?让我们知道文章评论。
这个故事“坦率地说:Twitter黑客是1983年”最初发表的Computerworld. 。