|
|
51CTO旗下网站
|
|
开户注册送38体验金端

知识点 | 4个缓解Slack安全风险的技巧

就暴露的敏感新用户注册送47元彩金而言,Slack违规将是一场噩梦。以下是如何锁定Slack工作区的方法。

作者:高博 编译来源:it168网站|2019-01-29 07:24

就暴露的敏感新用户注册送47元彩金而言,Slack违规将是一场噩梦。以下是如何锁定Slack工作区的方法。

Slack安全风险

作为流行的企业工作区协作工具和IRC克隆,Slack不提供端到端的加密,这使得任何对Slack服务器的破坏都可能给全球用户带来灾难性后果。如果内部Slack对话泄露,您或您的组织将遭受严重损害,那么是时候考虑加密的Slack替代方案,或者通过锁定您的Slack工作区来降低风险。对此我们采访了技术专家安德鲁•福特•莱昂斯(Andrew Ford Lyons),其在英国Internews为高危群体从事数字安全方面的工作。

虽然这些技巧都不能完全保护您免受Slack的漏洞或其他对您的Slack工作区机密性的威胁,但它们可以减少一些不可避免的灾难。

1. 启用双因素身份验证(2FA)

Slack能够提供2FA,使用它,如果Slack被攻破,它不会保护你,但它会让电子游艺免费申请彩金者很难电子游艺免费申请彩金你或你的组织。

Slack支持谷歌身份验证器、Duo Mobile、Authy、1Password和(在极少数使用Windows Phone的情况下)Microsoft Authenticator,这取决于您使用的是哪种开户注册送38体验金设备。Slack还支持SMS 2FA,如果不是必须尽量不要使用它。虽然任何2FA都比没有强,但是SMS 2FA远不如使用软令牌安全。

目前还没有硬令牌(比如Yubikey)支持Slack的迹象。领先的硬令牌制造商Yubico在1月份宣布支持开户注册送38体验金设备。关注帐户安全的大型组织可能会对Slack提供一个友好的说明,询问何时需要Yubikey支持。

一个2FA问题:确保打开强制性2FA,因为Slack默认情况下是关闭此设置的。

即使在不包含网络钓鱼的组织中威胁模型也会发生事故。“有没有人在没有2FA的情况下和Slack一起走来走去,结果手机丢失了?” 莱昂斯 问道。

2. 对非关键的第三方集成说不

Slack提供了大量第三方应用程序集成。尽管Slack会检查所有第三方应用程序的适当权限和新用户注册送47元彩金访问,但每一次额外的集成都会增加组织的整体电子游艺免费申请彩金面。除非你必须需要它,否则就把它们拿掉。

2016年,在GitHub上发现了1500多个被硬编码到开源项目中的Slack访问令牌。“这样的令牌可以提供聊天、文件、私人信息以及Slack团队内部共享的其他敏感新用户注册送47元彩金的访问权限,这些开发人员或机器人都是Slack团队的成员,”我们在PC World的同事当时表示。

“如果我和你谈话,你却进行疯狂的整合,那就会影响我和你的谈话,” 莱昂斯 说。

集成多个工作工具的网络效应意味着它们中的任何一个缺陷都会影响所有工具的安全性。假设违反和划分。那些选择接受风险较高的Slack工作空间以获得轻微生产力优势的组织应该睁大眼睛,意识到风险。

3. 关闭Slack电子邮件通知

如果您担心Slack工作区的机密性,请关闭Slack电子邮件通知。在Slack频道中,每次提及用户都会转到用户的电子邮件收件箱,或默认情况下显示为推送通知。用户可以关闭此默认值,管理员可以在更高的付费层中强制执行此设置。

“即使完全关闭了Slack的电子邮件通知,电子邮件也是Slack安全性的一个弱点,因为这是密码重置和账户恢复过程发生的地方,”莱昂斯说,并指出2FA应该部署在Slack和相应用户的电子邮件账户上。

Slack最大的优势之一是,它的可用性远远超过了在一封电子邮件中抄送几十个人。尽可能地将Slack和电子邮件分开。

4. 人为因素:明智地选择Slack参与者

人类永远是最薄弱的一环。选择你允许谁加入Slack的渠道。在需要知道的基础上这样做。在一段时间后撤消非活动成员或员工。接触敏感信息的人越少,泄露的可能性就越小。500名员工在内部的Slack频道上工作,就像在云端工作一样,让全世界都能看到。

设置自动会话注销,而不是Slack允许的无限登录会话,可以帮助清除不活跃的帐户。不过,里昂警告说,不要把会话设置得太短,因为用户会觉得这非常烦人,尤其是在开户注册送38体验金设备上。

在较短的时间内为需要有限访问权限的承包商或用户使用访客帐户。“如果你是我的客户,我可以在给你一个频道的客人账号,但你看不到其他任何东西,它会在一个月或两个月内到期,到时候设置的任何东西都会过期”莱昂斯说。

加密对于保护消息非常有用,但它不能修复人性。松弛的消息不是短暂的,想想你在输入什么,在哪里输入,以及你的单词的永久性。毕竟,对Slack的一次电子游艺免费申请彩金,一个网络钓鱼的同事,或者内部的一个流氓人士,不会因为你一开始就没有输入过的单词而伤害到你。

【编辑推荐】

  1. Linux systemd受内存损坏漏洞影响,尚无补丁
  2. 3大Web安全漏洞防御详解:XSS、CSRF、以及SQL注入解决方案
  3. Website Planet实测:5个热门网站代管平台皆含有安全漏洞
  4. 解读2018 OWASP TOP10物联网安全漏洞
  5. 《堡垒之夜》现漏洞!Check Point 发现可被黑客盗取玩家帐号、新用户注册送47元彩金与游戏货币的潜在危险
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

活学活用 Ubuntu Server

活学活用 Ubuntu Server

实战直通车
共35章 | UbuntuServer

216人订阅学习

Java EE速成指南

Java EE速成指南

掌握Java核心
共30章 | 51CTO王波

83人订阅学习

Mysql DBA修炼之路

Mysql DBA修炼之路

MySQL入门到高阶
共24章 | 武凤涛

468人订阅学习

读 书 +更多

软件架构设计

本书紧紧围绕“软件架构设计”这一主题,立足实践解析了软件架构的概念,阐述了切实可行的软件架构设计方法,提供了可操作性极强的完整的架...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客

博聚网