opm. Breach的副作用:保护您的密码,超越密码复杂性

—从我的同事弗兰克布里格里奥在戴尔软件…

By Frank J. Briguglio,Cissp,Security Architect,Dell Software

人事管理办公室(OPM)表示,自2000年(且可能先前)以来,任何政府雇员,承包商或军事服务成员填写了“国家安全职位SF-86”的“调查问卷”。有可能收集数据的风险包括攻击者。

在表单上收集的数据包含我们遇到的个人身份信息(PII)或敏感的个人信息(SPI)和生命事件,就个人才能在1988年首次填写一次,并从那时起一次更新每五(5)年,这是大量数据。

想到那些数据,你住的地方,出生地,学校出席,各国旅行,配偶信息,母亲的娘家姓。

现在,考虑您使用密码的每个帐户,在工作 - 特权账户,电子邮件,金融机构,公用事业公司,社交媒体,学校等。

这是OPM网站的推荐;

“如果背景技术调查表格中的信息可用于猜测您的密码,或者如果您使用的密码您在填写后背景调查表单时,请更改它们。使用10-12个字符的复杂密码,组合字母,数字和特殊字符。大学教师’使用一些很容易猜到的人对认识您或有关您的信息的人。大学教师’T重复密码的几个帐户。“

有些东西缺失,我们需要更加警惕我们向管理账户的挑战问题提供的回复。典型的挑战的问题通常包括母亲的娘家姓,就读学校,出生地,你走过来最喜欢的国家,你在哪里满足你的配偶,你在哪里结婚,等,都容易记住的答案,但他们都包含在或可能源自受损数据!

我建议您对这些挑战问题的存储响应审核,如果您使用的任何可能损害或从受损数据派生的数据考虑更改这些答案,则会审核。

我可能会在这里说明这一点,但经常我们不认为那些掩盖了对挑战问题的回答,以保护我们的资产,但我们肯定需要。