If-Koubou

Kāpēc jums jāuztraucas, kad tiek izmesti pakalpojuma paroles datu bāze

Kāpēc jums jāuztraucas, kad tiek izmesti pakalpojuma paroles datu bāze (Kā)

"Mūsu paroles datu bāze tika nozagta vakar. Bet neuztraucieties: jūsu paroles tika šifrētas. "Mēs regulāri redzam tādus pārskatus kā šis tiešsaistē, tostarp vakar, no Yahoo. Bet vai mēs patiešām ņemam šos apliecinājumus par nominālvērtību?

Realitāte ir tā, ka paroli datu bāzē tiek kompromitēti ir bažas, neatkarīgi no tā, kā uzņēmums var mēģināt to spin. Bet ir dažas lietas, ko varat darīt, lai izolētu sevi neatkarīgi no tā, cik slikti ir uzņēmuma drošības prakse.

Kā paroles jāglabā

Tālāk ir norādīts, kā uzņēmumiem būtu jāuzglabā paroles ideālā pasaulē: jūs izveidojat kontu un ievadāt paroli. Tā vietā, lai glabātu pašu paroli, pakalpojums ģenerē no paroles "hash". Tas ir unikāls pirkstu nospiedums, kuru nevar mainīt. Piemēram, parole "parole" var pārvērsties par tādu, kas izskatās vairāk kā "4jfh75to4sud7gh93247g ...". Kad ievadāt savu paroli, lai pieteiktos, pakalpojums ģenerē no tā radu un pārbauda, ​​vai maiņas vērtība atbilst datubāzē saglabātajai vērtībai. Nekādā gadījumā šis pakalpojums nekad neizdzēš jūsu paroli uz diska.

Lai noteiktu jūsu faktisko paroli, uzbrucējam, kuram ir piekļuve datubāzei, būtu iepriekš jāaprēķina parastajām parasēm un pēc tam pārbaudiet, vai tie pastāv datu bāzē. Uzbrucēji to dara ar meklēšanas tabulām - milzīgs maiņu saraksts, kas atbilst parolēm. Heses tad var salīdzināt ar datu bāzi. Piemēram, uzbrucējs varētu uzzināt par "password1" hash un pēc tam noskaidrot, vai kādi konti datu bāzē izmanto šo hash. Ja tie ir, uzbrucējs zina, ka viņu parole ir "password1".

Lai to novērstu, pakalpojumiem vajadzētu "sāls" to ievākt. Tā vietā, lai radītu hash no paša paroles, pirms izmaiņas to pievieno izlases virkni paroles priekšā vai galā. Citiem vārdiem sakot, lietotājam būtu jāievada parole "parole", un pakalpojums būtu jāpievieno sāls un ievada paroli, kas izskatās vairāk kā "password35s2dg." Katram lietotāja kontam vajadzētu būt sava unikāla sāls, un tas nodrošinātu, ka katrs lietotāja konts savai parolei būtu atšķirīga hash vērtība datu bāzē. Pat ja vairākos kontos tiek izmantota parole "password1", dažādu sāls vērtību dēļ tiem ir dažādas maizes. Tas varētu uzvarēt uzbrucēju, kurš mēģināja iepriekš aprēķināt paroles par hashes. Tā vietā, lai varētu radīt hashes, kas uzreiz tika izmantotas katram lietotāja kontam visai datubāzei, tām vajadzētu radīt unikālas maiņas katram lietotāja kontam un tā unikālajam sālam. Tas prasīs daudz vairāk laika un atmiņas.

Tieši tāpēc pakalpojumi bieži vien neuztraucas. Pakalpojumam, kas izmanto atbilstošas ​​drošības procedūras, būtu jāsaka, ka viņi izmanto sālītas paroles. Ja viņi vienkārši saka, ka paroles ir "hashed", tas ir vairāk satraucoši. LinkedIn, piemēram, ir izmainījis savas paroles, taču tās nesapilda, tādēļ tas bija liels darījums, kad 2012.gadā LinkedIn zaudēja 6,5 ​​miljonus izlaista paroles.

Slikta paroles prakse

Tas nav visgrūtāk īstenot, bet daudzām vietnēm joprojām ir dažādas sajūtas:

  • Paroļu glabāšana vienkāršā tekstā: Tā vietā, lai izvairītos no maiņas, daži no sliktākajiem likumpārkāpējiem var vienkārši izlaist paroles vienkāršā teksta veidā datu bāzē. Ja šāda datu bāze ir apdraudēta, jūsu paroles acīmredzami tiek apdraudētas. Nebūtu svarīgi, cik stipri viņi bija.
  • Haizivis paroles, nesagatavojot tos: Daži pakalpojumi var izmainīt paroles un atdot to, izvēloties neizmantot sāļus. Šādas paroļu datubāzes būtu ļoti neaizsargātas pret uzmeklēšanas tabulām. Uzbrucējs var ģenerēt daudzu paroļu masas un pēc tam pārbaudīt, vai tās pastāvēja datu bāzē - viņi var to izdarīt katram kontam uzreiz, ja netiek izmantota sāls.
  • Atkārtoti lietojot sāļus: Daži pakalpojumi var izmantot sāli, taču tie var atkārtoti izmantot to pašu sāli katram lietotāja konta param. Tas ir bezjēdzīgi - ja katram lietotājam tiktu izmantots viens un tas pats sāls, tad diviem lietotājiem ar vienu un to pašu paroli būtu tāds pats hash.
  • Īsu sāļu izmantošana: Ja tiek izmantoti tikai dažu ciparu sāļi, būtu iespējams ģenerēt uzmeklēšanas tabulas, kurās ir iekļauta visa iespējamā sāls. Piemēram, ja viens cipars tika izmantots kā sāls, uzbrucējs var viegli ģenerēt hesu sarakstus, kas ietvertu visu iespējamo sāli.

Uzņēmumi ne vienmēr pateiks jums visu stāstu, tādēļ pat tad, ja viņi saka, ka parole ir bijusi hehhed (vai irmatizēta un sālīta), viņi var neizmantot labāko praksi. Vienmēr ievērojiet piesardzību.

Citas problēmas

Iespējams, ka sāls vērtība ir iekļauta arī paroļu datubāzē. Tas nav tik slikti - ja katram lietotājam tiktu izmantota unikāla sāls vērtība, uzbrucējiem būtu jāpavada milzīgas CPU jaudas, pārtraucot visas šīs paroles.

Praksē tik daudz cilvēku izmanto acīmredzamas paroles, ka varētu viegli noteikt daudzu lietotāju kontu paroles. Piemēram, ja uzbrucējs zina jūsu hash un viņi zina jūsu sāli, viņi var viegli pārbaudīt, vai jūs lietojat dažas visbiežāk sastopamās paroles.

Ja uzbrucējs to dara un vēlas pārtraukt savu paroli, viņi to var izdarīt ar brutālu spēku, kamēr viņi zina sāls vērtību, ko viņi, iespējams, dara. Izmantojot lokālu, bezsaistes piekļuvi paroles datubāzēm, uzbrucēji var izmantot visus brutālos spēkus, kurus tie vēlas.

Citus personas datus, iespējams, noplūdēs arī tad, ja tiek nozagta paroļu datu bāze: Lietotājvārdi, e-pasta adreses un citi. Yahoo noplūdes gadījumā tika arī noplūkti drošības jautājumi un atbildes, kas, kā mēs visi zinām, atvieglotu piekļuvi kāda lietotāja kontam.

Palīdzība, kas man jādara?

Neatkarīgi no pakalpojuma teikšanas, kad ir nozagta tā paroļu datu bāze, vislabāk ir pieņemt, ka katrs pakalpojums ir pilnīgi nekompetents un rīkojas atbilstoši.

Pirmkārt, neatkārtoties paroļu izmantošanai vairākās vietnēs. Izmantojiet paroli, kas ģenerē unikālas paroles katrai vietnei. Ja uzbrucējs atklāj, ka jūsu pakalpojuma parole ir "43 ^ tSd% 7uho2 # 3", un jūs izmantojat šo paroli tikai tajā konkrētajā vietnē, viņi nav iemācījuši neko noderīgu. Ja vienuviet lietojat to pašu paroli, viņi var piekļūt saviem citiem kontiem. Tas ir, cik daudz cilvēku konti kļūst "hacked".

Ja pakalpojums kļūst par kompromitētu, noteikti nomainiet tajā turēto paroli. Jums arī vajadzētu mainīt paroli citās vietnēs, ja to atkārtoti izmantojat - bet vispirms to nevajadzētu darīt.

Jums vajadzētu arī apsvērt iespēju izmantot divu faktoru autentifikāciju, kas pasargās jūs, pat ja uzbrucējs uzzina jūsu paroli.

Vissvarīgākais nav atkārtoti izmantot paroles. Kompromitētas paroļu datu bāzes nevar jums nodarīt ļaunumu, ja jūs izmantojat unikālu paroli visur - ja vien tie nesaglabā kaut ko citu svarīgu datu bāzē, piemēram, jūsu kredītkartes numuru.

Attēlu kredīts: Marc Falardeau, Flickr, Wikimedia Commons