Debunking RIM’s BlackBerry 10 wachtwoord ‘zwarte lijst; enterprise security nog steeds een topprioriteit

Een verslag ontstond deze week suggereert dat RIM’s nieuwste mobiele besturingssysteem, BlackBerry 10, bepaalde woorden zoals wachtwoorden zal verbieden met het oog op de consument en de enterprise messaging security versterken.

Tech blunders, rampen en epische mislukt van 2012

Thanksgiving is voorbij, en we zijn post in december. Het is tijd voor een terugblik op alle blunders, rampen, epische mislukt en grote schroef-ups van 2012.

Helaas, het is niet helemaal waar.

Lees verder

Veiligheid; FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; beveiliging; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber -emergency reactie van de overheid waakhond

Tim Segato, RIM senior product manager voor BlackBerry Veiligheid, ging niet in veel detail, maar hij kwam uitleggen vertelde de website dat dit in feite slechts van toepassing op BlackBerry ID – de universele single sign-on dienstverlening aan de gebruikers van de consument – in plaats van de enterprise versie, die enterprise-grade messaging security mogelijk maakt.

BlackBerry ID werd uitgerold naar het bedrijf smartphone user base met BlackBerry 7 te maken het veel eenvoudiger om één enkele set van gebruikersnaam en wachtwoord geloofsbrieven gebruiken over zijn diensten: van BlackBerry-e-setup om BlackBerry App World, BlackBerry Protect en ga zo maar door.

Hij zei: “BlackBerry voortdurend lijkt te helpen haar klanten te beschermen hun vertrouwelijke informatie Een onderdeel van de totale beveiligingsoplossing BlackBerry is om veelgebruikte wachtwoorden beperken op BlackBerry ID.”.

123456 “,” A1B2C3 “en” changeme “zijn slechts enkele van de voor de hand liggende – met inbegrip van degenen die het woord noemen” f ** k “, zoals men zou verwachten – dacht dat er zijn enkele verrassende die op de lijst.

Wachtwoorden zoals ‘Gandalf’ worden verworpen, zoals het is “aap”, “big” en “poohbear”. (Niet helemaal zeker wat RIM heeft tegen Winnie the Pooh personages, maar iemand had om eindelijk iets te zeggen.)

Segato legde uit dat RIM heeft onderzoek gedaan op basis van gemeenschappelijke wachtwoorden die door BlackBerry-gebruikers om te helpen hen te beschermen tegen kwaadaardige aanvallen van hackers of malware

Deze wachtwoorden zijn degenen die zijn geïdentificeerd door de security research community. BlackBerry ID maakt BlackBerry klanten toegang tot BlackBerry-websites, apps, en diensten, alsmede vertrouwelijke en persoonlijke informatie, met een single sign-on. Het wachtwoord lijst wordt niet toegepast voor de log-in voor BlackBerry-apparaten.

De ‘zwarte lijst’ betekent gewoon dat BlackBerry ID gebruikers kunnen geen bepaalde zoekwoorden gebruiken als hun wachtwoord. Enterprise-gebruikers worden niet beïnvloed door dit.

Als CIO’s en IT-mensen niet van plan om sterke wachtwoorden af ​​te dwingen, het is beneden de smartphone en de fabrikant van het apparaat om het een poging te geven. Immers, veel bring-your-own-device (BYOD) medewerkers te brengen in hun eigen smartphone of tablet uit binnen- en gebruiken hun kinderen namen als wachtwoorden … of zoals het geval kan zijn, hun kinderen ‘favoriete stripfiguren.

Echter, BlackBerry zakelijke gebruikers – die aangesloten op een BlackBerry Enterprise Server (BES), in plaats van de e-consument module, BlackBerry Internet Service (BIS) – kunnen nog steeds deze ‘blacklist’-achtige beleid op hun domein.

Bijvoorbeeld, BES 5 kunt voorzien van een “verboden wachtwoorden IT beleidsregel” dat bepaalde woorden wordt gebruikt voor het aansluiten van een BlackBerry met een bedrijfsnetwerk beperkt. Dit beleid beheersen vergeten dat het toestel ontgrendeld. Zo kan bedrijfsnamen of namen gezamenlijk project kan worden gefinancierd. Het stelt IT-medewerkers te beperken op een bedrijf per bedrijf basis.

Echter, BES 5 biedt ook ingebouwde beleid om “vereisen wachtwoord of pass phrase” of “vereisen een sterk wachtwoord of pass zin.

In het bijzonder, heeft BES 5 IT-beleid voorgeconfigureerd om voor “basic wachtwoord” veiligheid en “medium wachtwoord” veiligheid. Basic wachtwoord beveiliging vereist een eenvoudig wachtwoord voor hun BlackBerry-apparaten te beveiligen, maar het wachtwoord ust regelmatig worden gewijzigd. Medium wachtwoord beveiliging vereist een complex wachtwoord voor hun BlackBerry-smartphones te ontsluiten, en niet vereist alleen reguliere wachtwoord veranderen, maar de server houdt een wachtwoord geschiedenis aan de gebruiker niet terug te springen in oude gewoonten te garanderen.

In feite is de lijst gaat maar door, en de vooraf geconfigureerde IT-beleid (IT-medewerkers kunnen ook op maat maken en gebruiken-case specifiek beleid voor hun werknemers) bevat zelfs “geavanceerde beveiliging,” waarvoor een wachtwoord time-out om apparaten op slot zet, beperkt de Bluetooth-technologie, maakt sterke bescherming inhoud, versleutelt het bestandssysteem en voorkomt dat de USB-poort van het doen – goed, om het even wat.

RIM’s aanstaande BES 10 zal ook deze (relatief) elementaire beveiligingsfunctie.

RIM’s BES 10 (of “Mobile Fusion” zoals het nu wordt genoemd) heeft ook deze functionaliteit, dus het is niet overal snel gaan elk gewenst moment. RIM zou niet uit deze relatief standaard, basic beveiligingsfunctie alleen omdat BES 10 toevallig een grote versie herziening van de server.

In een per e-mail statement, SpiderLabs EMEA-directeur John Yeo (ten onrechte) gesteld in het antwoord op de eerste geruchten dat verspreidde zich snel: “T zijn verhuizing is gewoon een token maatregel die weinig doet aan de veiligheid en waarschijnlijk veel te gebruikers frustreren te verhogen in plaats van op de zwarte lijst. een paar woorden, zou een veiligere optie zijn om een ​​aantal fundamentele complexiteit van het wachtwoord eis af te dwingen. ”

(Het is misschien verstandig om zeer publieke en eenvoudig te zoeken enterprise security policies BlackBerry te controleren voordat eerst een reactie zijn geweest?)

Voor BlackBerry ID klanten, echter, moet men rekening houden met kwaadaardige pogingen om toegang te krijgen tot de account van een gebruiker. Uiteindelijk betekent dit dat er een lijst van (nu openbaar) wachtwoorden voor hackers om gewoon voorkomen dat proberen, maar het wachtwoord ‘zwarte lijst’ voor bedrijven blijft net zo veilig en dynamisch als de meeste andere Mobile Device Management (MDM) diensten.

Dat is een mythe ontkracht vóór mijn koffie in de ochtend.

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond