17Aug
"سرقت قاعدة بيانات كلمة السر الخاصة بنا أمس.ولكن لا تقلق: تم تشفير كلمات السر الخاصة بك. "نحن نرى بانتظام مثل هذه البيانات على الانترنت، بما في ذلك أمس، من ياهو.ولكن هل ينبغي لنا حقا أن نأخذ هذه التأكيدات على القيمة الاسمية؟
الواقع هو أن قاعدة بيانات كلمة السر تساوم هي مصدر قلق، مهما كانت الشركة قد تحاول تدور ذلك.ولكن هناك بعض الأشياء التي يمكنك القيام بها لعزل نفسك، بغض النظر عن مدى سوء الممارسات الأمنية للشركة.
كيفية تخزين كلمات المرور
إليك كيفية قيام الشركات بتخزين كلمات المرور في عالم مثالي: إنشاء حساب وتوفير كلمة مرور.بدلا من تخزين كلمة المرور نفسها، تقوم الخدمة بإنشاء "هاش" من كلمة المرور.هذه بصمة فريدة لا يمكن عكسها.على سبيل المثال، كلمة السر "كلمة السر" قد تتحول إلى شيء يبدو أكثر مثل "4jfh75to4sud7gh93247g. ..".عند إدخال كلمة المرور لتسجيل الدخول، تقوم الخدمة بإنشاء تجزئة منه والتحقق مما إذا كانت قيمة التجزئة تطابق القيمة المخزنة في قاعدة البيانات.في أي وقت من الأوقات خدمة حفظ كلمة المرور الخاصة بك من أي وقت مضى إلى القرص.
لتحديد كلمة المرور الفعلية الخاصة بك، يجب أن يقوم المهاجم الذي لديه حق الوصول إلى قاعدة البيانات مسبقا بحساب تجزئة كلمات المرور الشائعة ثم التحقق مما إذا كانت موجودة في قاعدة البيانات.المهاجمين تفعل ذلك مع جداول البحث قوائم ضخمة من التجزئة التي تتطابق مع كلمات السر.ويمكن بعد ذلك مقارنة التجزئة إلى قاعدة البيانات.على سبيل المثال، المهاجم يعرف تجزئة "password1" ثم معرفة ما إذا كان أي حسابات في قاعدة البيانات تستخدم هذا التجزئة.إذا كانوا، المهاجم يعرف كلمة المرور الخاصة بهم هو "password1".
لمنع ذلك، يجب أن الخدمات "الملح" تجزئتها.بدلا من إنشاء تجزئة من كلمة المرور نفسها، فإنها تضيف سلسلة عشوائية إلى الأمام أو نهاية كلمة المرور قبل تجزئة ذلك.وبعبارة أخرى، فإن المستخدم إدخال كلمة المرور "كلمة السر" والخدمة إضافة الملح وتجزئة كلمة المرور التي تبدو أكثر مثل "password35s2dg". يجب أن يكون لكل حساب المستخدم الملح فريدة من نوعها، وهذا من شأنه أن يضمن أن كل حساب المستخدمسيكون لها قيمة تجزئة مختلفة لكلمة المرور الخاصة بهم في قاعدة البيانات.حتى لو استخدمت حسابات متعددة كلمة المرور "password1"، سيكون لديهم تجزئة مختلفة بسبب قيم الملح المختلفة.وهذا من شأنه أن هزيمة المهاجم الذي حاول قبل حساب التجزئة التجزئة لكلمات السر.بدلا من أن تكون قادرة على توليد تجزئات التي تطبق على كل حساب المستخدم في قاعدة البيانات بأكملها في آن واحد، سيكون لديهم لتوليد تجزئة فريدة من نوعها لكل حساب المستخدم والملح فريدة من نوعها.وهذا سوف يستغرق وقتا أطول بكثير حساب والذاكرة.
هذا هو السبب في الخدمات غالبا ما يقول لا داعي للقلق.الخدمة التي تستخدم الإجراءات الأمنية المناسبة يجب أن تقول أنها كانت تستخدم تجزئة كلمة المرور المملحة.إذا كانوا يقولون ببساطة أن كلمات المرور "تجزئة"، فهذا أمر مثير للقلق.لينكيدين تجزئة كلمات السر الخاصة بهم، على سبيل المثال، لكنها لم الملح لهم، لذلك كان صفقة كبيرة عندما فقدت لينكيدين 6.5 مليون كلمة السر تجزئة في عام 2012.
ممارسات كلمة المرور سيئة
هذا ليس أصعب شيء لتنفيذ، ولكن العديد من المواقعلا تزال قادرة على فوضى ذلك في مجموعة متنوعة من الطرق:
- تخزين كلمات المرور في نص عادي : بدلا من عناء مع التجزئة، وبعض أسوأ المجرمين قد مجرد تفريغ كلمات المرور في شكل نص عادي إلى قاعدة بيانات.إذا تم اختراق قاعدة البيانات هذه، من الواضح أن كلمات المرور الخاصة بك للخطر.لم يكن مهما كانت قوية.
- تجزئة كلمات المرور دون تسخين لهم : بعض الخدمات قد تجزئة كلمات السر والتخلي هناك، واختيار عدم استخدام الأملاح.ستكون قواعد بيانات كلمة المرور هذه عرضة جدا لجداول البحث.يمكن للمهاجم توليد تجزئة لكثير من كلمات المرور ومن ثم التحقق مما إذا كانت موجودة في قاعدة البيانات - أنها يمكن أن تفعل ذلك لكل حساب في وقت واحد إذا لم يتم استخدام الملح.
- إعادة استخدام الأملاح : قد تستخدم بعض الخدمات ملح، ولكنها قد تعيد استخدام الملح نفسه لكل كلمة مرور لحساب المستخدم.وهذا أمر لا معنى له - إذا كان نفس الملح يستخدم لكل مستخدم، مستخدمين مع نفس كلمة المرور لديهم نفس التجزئة.
- باستخدام أملاح قصيرة : إذا تم استخدام أملاح عدد قليل من الأرقام فقط، سيكون من الممكن إنشاء جداول البحث التي تضمنت كل الملح الممكن.على سبيل المثال، إذا تم استخدام رقم واحد كمحلول، يمكن للمهاجم بسهولة إنشاء قوائم من التجزئة التي تضمنت كل الملح الممكن.
لن تخبرك الشركات دائما بالقصة بأكملها، لذلك حتى لو قولوا أن كلمة المرور قد تم تجزئتها( أو تجزئتها ومملحتها)، فإنها قد لا تستخدم أفضل الممارسات.دائما خاطئة على جانب الحذر.
مخاوف أخرى
من المرجح أن قيمة الملح موجودة أيضا في قاعدة بيانات كلمة المرور.هذه ليست سيئة إذا تم استخدام قيمة الملح فريدة من نوعها لكل مستخدم، والمهاجمين تضطر إلى إنفاق كميات هائلة من الطاقة وحدة المعالجة المركزية كسر كل تلك كلمات السر.
في الممارسة العملية، الكثير من الناس استخدام كلمات مرور واضحة أنه من المرجح أن يكون من السهل تحديد العديد من كلمات مرور حسابات المستخدمين.على سبيل المثال، إذا كان المهاجم يعرف تجزئة الخاص بك ويعرفون الملح الخاص بك، فإنها يمكن أن تحقق بسهولة لمعرفة ما إذا كنت تستخدم بعض كلمات السر الأكثر شيوعا.
إذا قام أحد المهاجمين بخروجه عنك ويريد أن يكسر كلمة المرور الخاصة بك، فيمكنه أن يفعل ذلك بالقوة الغاشمة طالما أنهم يعرفون قيمة الملح التي ربما يفعلونها.مع المحلية، حاليا الوصول إلى قواعد البيانات كلمة المرور، يمكن للمهاجمين توظيف جميع الهجمات القوة الغاشمة يريدون.
من المحتمل أن تسرب بيانات شخصية أخرى عند سرقة قاعدة بيانات كلمة المرور: أسماء المستخدمين وعناوين البريد الإلكتروني وغيرها.في حالة تسرب ياهو، تسربت الأسئلة والأجوبة الأمنية أيضا، والتي، كما نعلم جميعا، تجعل من السهل سرقة الوصول إلى حساب شخص ما.تعليمات
، ماذا يجب أن أفعل؟
مهما كانت الخدمة تقول عندما يتم سرقة قاعدة بيانات كلمة المرور الخاصة بها، فمن الأفضل أن نفترض أن كل خدمة غير كفء تماما والتصرف وفقا لذلك.
أولا، لا تعيد استخدام كلمات المرور على مواقع ويب متعددة.استخدم مدير كلمة مرور ينشئ كلمات مرور فريدة لكل موقع ويب.إذا تمكن أحد المهاجمين من اكتشاف أن كلمة المرور الخاصة بك هي "43 ^ تسد٪ 7uho2 # 3" وكنت تستخدم كلمة المرور هذه على موقع ويب واحد فقط، فقد تعلموا شيئا مفيدا.إذا كنت تستخدم نفس كلمة المرور في كل مكان، فيمكنها الدخول إلى حساباتك الأخرى.هذا هو عدد حسابات الناس تصبح "اختراق".
إذا تم اختراق خدمة ما، تأكد من تغيير كلمة المرور التي تستخدمها هناك.يجب أيضا تغيير كلمة المرور على مواقع أخرى إذا كنت إعادة استخدامها هناك - ولكن يجب أن لا تفعل ذلك في المقام الأول.
يجب عليك أيضا النظر في استخدام المصادقة الثنائية، والتي سوف تحميك حتى لو كان المهاجم يتعلم كلمة المرور الخاصة بك.
أهم شيء هو عدم إعادة استخدام كلمات المرور.قواعد البيانات كلمة المرور للخطر لا يمكن أن يضر بك إذا كنت تستخدم كلمة مرور فريدة من نوعها في كل مكان - ما لم تخزن شيئا آخر مهم في قاعدة البيانات، مثل رقم بطاقة الائتمان الخاصة بك.
الائتمان الصورة: مارك فالارديو على فليكر، ويكيمديا كومونس