Beim Überprüfen der von verschiedenen SIEMs generierten Protokolle (Splunk, HP Logger Trial und SIEM der AlienVault-Plattform) habe ich festgestellt, dass aus irgendeinem Grund einige Benutzer den Fehler machen, ihre Kennwörter entweder im Feld Benutzername einzugeben OS Domain-Anmeldung oder in Webanwendungen. Ich vermute, das sind Leute, die nicht tippen können, ohne auf die Tastatur zu schauen, und wenn sie dies versuchen, tun sie es schnell und geben ihre Passwörter in das falsche Feld ein. Dies bedeutet, dass das Kennwort überall im Netzwerk im Klartext gesendet wird und in den Protokollen mit einem Ereignis aufgezeichnet wird, das etwas in der Art sagt:
Benutzer P @ $$ w0rd existiert nicht [...]
oder
Ein Konto konnte sich nicht anmelden: P @ $$ w0rd [...]
(wobei P @ $$ w0rd das Kennwort des tatsächlichen Benutzers ist)
Es wird ziemlich offensichtlich, wem die Kennwörter gehören: normalerweise das vorherige oder das nächste (un) erfolgreiche Ereignis auf dem Dieselbe Protokolldatei informiert Sie über ein Ereignis, das vom selben Benutzer ausgelöst wurde.
Jeder andere Analyst, der sich die Protokolle ansieht, kann die Anmeldeinformationen eines anderen Benutzers abrufen, ohne dass der Eigentümer dies überhaupt bemerkt. Das schlimmste Szenario ist das Abhören des Netzwerks oder ein tatsächlicher Kompromiss zwischen Protokolldateien.
Ich suche nach einer allgemeinen Anleitung, um dies zu verhindern. Ich gehe davon aus, dass eine einfache Maskierung des Benutzernamens nicht möglich ist, und selbst wenn dies der Fall wäre, würde dies wahrscheinlich einen Großteil der Protokollanalyse eliminieren, da nicht festgestellt werden kann, wer was getan hat.
Hinweis: b > Es gibt bereits einen Beitrag zu einem ähnlichen Problem, aber ich versuche, einen Weg zu finden, um dies zu verhindern. Was ist das Risiko, wenn ich versehentlich mein Kennwort in ein Feld für den Benutzernamen (Windows-Anmeldung) eingebe?
Akzeptierte Antwort: b> Ich wünschte, ich könnte ein paar Antworten aus der Liste auswählen. Leider muss ich mich nur an eine im Forum halten, aber in der Praxis kann ich sie kombinieren. Vielen Dank für alle Antworten; Ich sehe, es gibt keine einzige Lösung. Da ich damit einverstanden bin, dass das Hinzufügen von "Dingen" die Komplexität erhöht, die die Wahrscheinlichkeit von Sicherheitslücken erhöht, muss ich den meisten Wählern zustimmen, dass @AJHenderson als ersten Ansatz die eleganteste und einfachste Antwort hat. Auf jeden Fall SSL und eine einfache Codeüberprüfung auf dem Server oder sogar auf der Clientseite. Da ich nicht gegen böswillige Benutzer, sondern gegen abgelenkte Benutzer vorgehen möchte, ist dies in Ordnung. Sobald dies geschehen ist, können wir gegebenenfalls versuchen, die Implementierung auf nicht beabsichtigte Benutzer auszudehnen. Nochmals vielen Dank für die Beiträge aller.