RIM의 블랙 베리 10 암호 블랙리스트 불통, 기업 보안은 여전히 ​​최우선 순위

이번 주에 RIM의 최신 모바일 운영 체제 인 BlackBerry 10이 소비자 및 기업 메시징 보안을 강화하기 위해 특정 단어를 암호로 허용하지 않는다는 보고서가 나왔습니다.

Tech blunders, catastrophes, 2012 년 서사시 실패

추수 감사절은 끝났고 우리는 12 월로 향하고 있습니다. 이제 2012 년의 모든 실수, 재앙, 서사시 실패 및 주요 실패를 되돌아 볼 시간입니다.

아아, 그건 사실이 아니야.

더 많은 것을 읽으십시오

보안, FBI가 Crackas 회원을 체포하여 미국 공무원 해킹에 대한 태도, 보안, WordPress는 중요한 보안 구멍을 고치기 위해 사용자를 업데이트 할 것을 촉구하고 보안, 백악관은 첫 번째 연방 정보 보안 책임자 (COO)를 임명하고 보안, 펜타곤은 사이버 정부 감시원의 비상 사태 대응

BlackBerry Security의 RIM 선임 제품 관리자 인 Tim Segato는 세부 사항을 설명하지는 않았지만 실제로 웹 사이트에 설명하면 BlackBerry ID (소비자 사용자를위한 유니버설 싱글 사인온 서비스)에만 적용된다는 설명을 해주었습니다. 엔터 프라이 즈급 메시징 보안을 허용하는 엔터프라이즈 버전.

BlackBerry ID는 BlackBerry 7을 사용하여 회사의 스마트 폰 사용자 기반에 배포되어 서비스 전반에 걸쳐 단일 사용자 이름 및 암호 자격 증명 집합 (BlackBerry 전자 메일 설정에서 BlackBerry App World, BlackBerry Protect 등)을 사용하는 것이 훨씬 간단 해졌습니다.

그는 “블랙 베리는 고객들이 기밀 정보를 보호 할 수 있도록 지속적으로 노력하고 있으며, 블랙 베리의 전반적인 보안 솔루션의 한 요소는 블랙 베리 ID에서 일반적으로 사용되는 암호를 제한하는 것이다”라고 말했다.

123456 “,”a1b2c3 “및”changeme “등은 분명한 내용 중 일부입니다. 예를 들어”f ** k “라는 단어를 언급하는 사람도 포함됩니다.

“gandalf”와 같은 암호는 “monkey”, “piglet”및 “poohbear”와 같이 허용되지 않습니다. (RIM이 Winnie the Pooh 캐릭터와 비교하여 어떤 역할을했는지는 확실하지 않지만 누군가가 마침내 말을해야만했습니다.)

Segato는 해커 또는 악성 코드에 의한 악의적 인 공격으로부터 BlackBerry 사용자를 보호하기 위해 BlackBerry 사용자가 사용하는 일반적인 암호를 기반으로 RIM이 연구를 수행했다고 설명했습니다

이 암호는 보안 연구 커뮤니티에서 식별 한 암호입니다. BlackBerry ID를 사용하면 BlackBerry 고객은 싱글 사인온으로 BlackBerry 웹 사이트, 응용 프로그램 및 서비스는 물론 기밀 정보 및 개인 정보에 액세스 할 수 있습니다. BlackBerry 장치에 로그인하는 데 암호 목록이 적용되지 않습니다.

‘블랙리스트’는 BlackBerry ID 사용자가 특정 키워드를 비밀번호로 사용할 수 없다는 것을 의미합니다. 엔터프라이즈 사용자는이 영향을받지 않습니다.

CIO와 IT 직원이 강력한 암호를 시행하지 않으면 스마트 폰 및 장치 제조업체가 맹독성을 잃게됩니다. 어쨌든 많은 BYOD (bring-your-own-device) 직원이 집에서 스마트 폰이나 태블릿을 가져 와서 아이들의 이름을 암호로 사용하거나 아이들의 좋아하는 만화 캐릭터를 사용합니다.

그러나 소비자 전자 메일 모듈 인 BlackBerry Internet Service (BIS) 대신 BlackBerry Enterprise Server (BES)에 연결된 BlackBerry 엔터프라이즈 사용자는 자신의 도메인에서이 ‘차단 목록’과 같은 정책을 계속 사용할 수 있습니다.

예를 들어, BES 5에는 BlackBerry 네트워크를 연결하는 데 사용되는 특정 단어를 제한하는 “금지 된 암호 IT 정책 규칙”이 있습니다. 이 정책은 장치를 잠금 해제하는 암호를 제어합니다. 예를 들어 회사 이름이나 공통 프로젝트 이름이 허용되지 않을 수 있습니다. 이를 통해 IT 직원은 회사 단위로 제한 할 수 있습니다.

그러나 BES 5는 “암호 또는 암호 문구 필요”또는 “강력한 암호 또는 암호문 필요”라는 내장 정책도 제공합니다.

특히 BES 5는 “기본 암호”보안 및 “중간 암호”보안을 허용하는 IT 정책을 미리 구성했습니다. 기본 암호 보안을 사용하면 BlackBerry 장치 보안을위한 간단한 암호가 필요하지만 암호는 정기적으로 변경해야합니다. 중간 비밀번호 보안을 사용하려면 BlackBerry 스마트 폰을 잠금 해제 할 때 복잡한 비밀번호가 필요하며 비밀번호를 정기적으로 변경해야 할뿐만 아니라 사용자가 이전 습관으로 되돌아 가지 않도록 비밀번호 기록을 보관합니다.

실제로 목록은 계속되고 IT 직원은 직원을 위해 맞춤 및 유스 케이스 별 정책을 만들 수도있는 사전 구성된 IT 정책에는 장치를 잠그기위한 암호 시간 제한을 설정하고 Bluetooth 기술을 제한하는 “고급 보안” 강력한 콘텐츠 보호를 가능하게하고 파일 시스템을 암호화하며 USB 포트가 작동하지 못하게합니다.

RIM의 향후 BES 10에는이 (상대적으로) 기본 보안 기능도 포함됩니다.

RIM의 BES 10 (또는 현재 알려진 “모바일 퓨전”)에도이 기능이 있으므로 아무 때라도 곧 갈 수 없습니다. RIM은 BES 10이 서버의 주요 버전 수정 일 뿐이므로이 비교적 표준적인 기본 보안 기능을 사용하지 않습니다.

스파이더 랩 (SpiderLabs)의 EMEA 이사 인 존여 (John Yeo)는 초기 소문에 대한 회신에서 다음과 같이 주장했다. “그의 움직임은 보안을 강화하는 데는별로 도움이되지 않으며 사용자를 좌절시킬 수있는 토큰 수단 일 뿐이다. 몇 마디로,보다 안전한 옵션은 기본적인 암호 복잡성 요구 사항을 이행하는 것입니다. ”

(처음 언급하기 전에 BlackBerry의 매우 공개적이고 검색하기 쉬운 엔터프라이즈 보안 정책을 확인하는 것이 현명했을 것입니다.)

그러나 BlackBerry ID 고객의 경우 악의적 인 사용자 계정 액세스 시도를 고려해야합니다. 궁극적으로 이것은 해커가 단순히 시도하는 것을 피할 수있는 (현재 공개 된) 암호 목록이 있음을 의미하지만 기업의 암호 ‘블랙리스트’는 대부분의 다른 모바일 장치 관리 (MDM) 서비스만큼 안전하고 동적입니다.

그것은 나의 모닝 커피 앞에서 공언 된 하나의 신화입니다.

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

WordPress는 사용자가 중요한 보안 취약점을 수정하기 위해 지금 업데이트하도록 촉구합니다.

백악관, 연방 정보 보안 책임자 (Federal Chief Information Security Officer) 선임

미 국방부, 정부의 감시로 사이버 비상 대응 비판