Uber & Thycotic：密码库是一个巨大的安全漏洞吗？

很多时候，当人们谈论安全性时，就会出现密码管理器或保险库的讨论。这些对个人很有用。但是，如果不仔细考虑，它们会给公司带来一些真正的风险。

优步最近被攻破，并且攻击者的所有帐户都是如此。一个名为 Thycotic 的密码保险库系统与其他一些旨在增加而不是消除安全性的措施一起发挥了重要作用。

我想从以下几点开始：

• 技术和工具本身在这里并没有错，而是取决于它们的实施和优步系统的更广泛设计
• 密码管理器和保险库可以互换使用，但通常密码保险库更像是一个企业系统，供公司保护整个企业的凭证，而不是单个用户
• 安全性很复杂，如果从一开始就没有设计好它，你最终会遇到很大的漏洞，这意味着最小的错误可能会在很少通知的情况下成为大规模的漏洞

Uber 黑客事件发生了什么？

我们从通知疲劳开始。攻击者，据称是一名来自英国的 17 岁“TeaPot”，发现了 Uber 承包商的凭据（可能是在线购买的），并开始反复向他们发送多因素身份验证请求。这正在迅速成为一种常见的攻击，只是试图惹恼人们接受通知，尽管在这种情况下，他们还通过 WhatsApp 发送了一条消息，声称来自 Uber IT，并告诉承包商有错误，如果他们接受了通知它将停止警报。

在承包商接受了 TeaPot 声称已访问内网的警报后，发现了一个脚本，其中包含 Uber 用来管理其凭据的 Thycotic Secrets Vault 的管理员凭据。

管理员凭据可能意味着攻击者可以使用密码库中的所有内容，这似乎就是发生的事情。据说它包括访问漏洞赏金计划，这意味着 TeaPot 可以访问优步应用程序和系统中未修复的漏洞。

那么密码库不好吗？

这就是问题所在。安全性很复杂，管理凭证很困难。在优步和其他独角兽的工作规模上，许多从一开始就不是为了安全而建立的，他们实际上是在流沙的基础上工作。拼命尝试将安全性改造到从未为其设计的系统中，同时仍试图作为企业运营并跟上投资者的需求。

像 Thycotic 这样的密码库本身并不是一个坏主意，但对 Uber 的案例有什么帮助呢？你会看到很多关于零信任原则的讨论，这意味着不信任网络中的任何一个设备来访问任何东西，但是虽然这些原则被讨论了很多，但如果它们不是内置于开始。

没有密码库是另一种选择，这可能会有所帮助，因为这意味着将所有这些凭据放在一个地方的可能性较小。另一方面，这意味着用户更有可能首先使用弱密码，并将其以不安全的方式存储在电子表格或文本文件中。

如果实施得当，密码保险库可以让用户更轻松地管理安全系统。这里真正的错误在于首先拥有密码库的管理员凭据，相反，应该创建个人帐户，只能访问他们需要的凭据。任何外部承包商，无论多么受信任，都不应该访问该级别的凭证——他们根本不需要它。

即使最受信任的员工拥有这种访问权限，我也不会感到舒服。这种类型的东西你分成多个部分，分散在董事会的几个成员之间，并锁在一个保险箱中以备不时之需，例如你的整个 IT 团队被外星人绑架。

我应该使用密码库吗？

攻击后确实出现的一件事是许多安全产品供应商出售他们的解决方案作为唯一可以阻止它的解决方案。充其量，这些应该被完全忽略，因为导致漏洞的弱点是（而且几乎总是）复杂且多方面的，不容易修复。另一个问题是，很多人质疑密码保险库或管理器是否突然成为一种新的巨大风险，以及它们是否可以安全使用。

图片来自 URegina

简单的答案是肯定的，如果它对您有用并且有意义的话。设置良好的保管库可让您使用更安全的密码、定期轮换密码并妥善管理密码。许多企业机密保险库会在每次使用后更改密码，并且管理的内容远不止用户凭据，例如证书和其他私钥。

更复杂的答案是，您用来简化安全性的任何工具都会给环境带来权衡取舍及其自身的风险。密码库将为您提供更安全的密码和更好的凭据管理，但代价是所有这些凭据都集中在一个地方使其成为攻击者的诱人目标，并且可能导致轻微的违规行为迅速变得更加严重。