作者:administrator 周四, 2009年 04月 23日 13:54
2009年RSA会议目前正在在旧金山举行,来自世界各地的信息安全专家在这里展开讨论。多数人是在谈论云计算的安全性。事实上,一项关于云安全的倡议将在会议上提出。
我想我将借此机会表达我对saas的安全应用。不,我不准备讨论有关应用程序的安全或任何安全问题可能存在于底层云架构。我要讨论一个更加微不足道的问题:用户密码的安全。当我们思考如何使用saas时,我担心的是大多数用户使用重复的密码的风险。在过去几天里,我们利用saas进行密码劫持模拟而造成大规模得混乱。事实上,有太多的方法可以劫持用户的密码。比如使用恶意的电子邮件欺骗用户,或利用木马记录用户键盘习惯等等。
许多用户使用重复的密码,如果密码被别人知晓,那么得到密码的人也能进入你的其他账户。
许多saas供应商将其应用服务提供给用户。例如,谷歌文件使用单点登录的方式,提供无缝的体验,同时利用现有的企业应用套件。如果攻击者可以获得一个用户的密码,他就可以访问所有应用程序和相关数据的用户。
这只是两个例子,说明用户可能会陷入困境,由于目前的办法,验证了许多saas供应商。一旦saas的进入主流用户,这肯定会造成混乱,现在是saas供应商来解决这个问题的时候了。