17Aug
"Meie parooli andmebaas oli varastatud eile. Kuid ärge muretsege: teie paroolid on krüptitud. "Korraldame regulaarselt selliseid avaldusi, nagu see on Internetis, sealhulgas eile, Yahooilt. Kuid kas peaksime tõepoolest võtma need tagatised nimiväärtusega?
Reaalsus on see, et salasõnade andmebaas kompenseerib -d, on mure, ükskõik kui ettevõte seda üritab keerata. Kuid seal on mõned asjad, mida saate ise isoleerida, olenemata sellest, kui halb on ettevõtte julgeolekualane praktika.
Kuidas paroolid salvestada
Järgnevalt kirjeldame, kuidas ettevõtted peaksid salasõna paroole salvestama ideaalmaailmas: loote konto ja esitate parooli. Selle asemel, et salasõna ise salvestada, genereerib teenus paroolist hash. See on unikaalne sõrmejälg, mida ei saa ümber pöörata. Näiteks parooli "parool" võib muutuda selliseks, mis näeb välja rohkem nagu "4jfh75to4sud7gh93247g. ..".Kui sisestate parooli, et sisse logida, teenib teenus sellest räsi ja kontrollib, kas räsiväärtus vastab andmebaasis salvestatud väärtusele. Teenus kunagi ei salvesta oma parooli kettale.
Selleks, et määrata oma tegelik parool, peaks ründaja, kellel on juurdepääs andmebaasile, arvutada eelnevalt arvutatud paroolide räsi ja seejärel kontrollida, kas need on andmebaasis olemas. Ründajad teevad seda otsingu tabelitega - suured varjunimekirjad, mis vastavad paroolidele. Rähte saab seejärel võrrelda andmebaasiga. Näiteks peaks ründaja teadma räsi "password1" jaoks ja seejärel nägema, kas mõni andmebaasi kontod kasutavad seda räsi. Kui need on, siis ründaja teab, et nende salasõna on "password1".
Selle vältimiseks peaksid teenused "soola" oma räsi. Selle asemel, et luua räsi paroolist ise, lisavad nad parooli esiküljele või lõpus juhusliku stringi, enne kui see on helista. Teisisõnu sisestab kasutaja parooli "parool" ja teenus lisab soola ja rägastab parooli, mis näeb välja rohkem kui "password35s2dg." Igal kasutajakontol peaks olema oma ainulaadne sool, mis tagab, et iga kasutajakontooleks oma andmebaasi parooliga erinev räsiväärtus. Isegi kui mitmed kontod kasutavad parooli "password1", on neil erinevate soolavärtuste tõttu erinevad räsid. See võita ründaja, kes proovis paroole räsi eelnevalt arvutada. Selle asemel, et oleks võimalik genereerida hashesid, mida rakendatakse kõikidele kasutajakontodele kogu andmebaasis korraga, peavad nad iga kasutaja konto ja selle ainulaadse soola jaoks andma unikaalseid happeid. See võtab palju rohkem aega ja mälu.
Seetõttu väidavad teenused tihtipeale muret. Teenus, mis kasutab asjakohaseid turvaprotseduure, peaks ütlema, et nad kasutasid soolatud paroolhaigusi. Kui nad lihtsalt ütlevad, et paroolid on "räsitud", on see murettekitavam. LinkedIn hüüdis näiteks oma paroole, kuid nad ei soolinud neid, nii et see oli suur asi, kui LinkedIn kaotas 2012. aastal 6,5 miljonit hashitud parooli.
halba parooli tava
See pole kõige raskem asi rakendada, kuid paljud veebisaididikkagi õnnestub seda segada mitmel viisil:
- Salvesta paroolid tavalises tekstis : Selle asemel, et häirida räsi, võivad mõned halvimad õigusrikkujad hõlpsasti paroolid tavalises tekstivormis lihtsalt dumpida andmebaasi. Kui selline andmebaas on kahjustatud, on teie paroolid ilmselgelt kahjustatud. Pole tähtis, kui tugev see oli.
- salvestab paroolid -le: mõned teenused võivad räsida paroole ja loobuda seal, valides mitte kasutada soolasid. Sellised paroolide andmebaasid oleksid väga haavatavad otsimislauale. Ründaja võib mitmete paroolide jaoks ressursse genereerida ja seejärel kontrollida, kas nad andmebaasis eksisteerivad - nad saavad seda korraga iga konto jaoks teha, kui soola pole kasutatud.
- korduskasu soolad : mõned teenused võivad kasutada soola, kuid nad võivad kasutada sama soola iga kasutaja konto parooli jaoks. See on mõttetu - kui iga kasutaja jaoks kasutataks sama soola, oleks kahel sama parooliga kasutajal sama räsi.
- Lühikeste soolade kasutamine : kui kasutatakse vaid mõnda numbrit soola, oleks võimalik luua otsinguplaane, mis hõlmasid kõiki võimalikke soolasid. Näiteks, kui soola kasutati ühte numbrit, võib ründaja hõlpsasti genereerida hashide loendeid, mis sisaldasid kõiki võimalikke soolasid.
Ettevõtted ei anna teile alati kogu lugu, nii et isegi siis, kui nad ütlevad, et parool oli räsitud( või räsitud ja soolatud), ei pruugi nad kasutada parimaid tavasid. Alati eksige ettevaatlikult.
Muud probleemid
On tõenäoline, et soola väärtus on olemas ka paroolide andmebaasis. See pole nii halb - kui iga kasutaja jaoks kasutaks ainulaadset soola väärtust, peaksid ründajad kulutama tohutul hulgal CPU võimsust, mis rikub kõiki neid paroole.
Praktikas kasutavad paljud inimesed selgeid paroole, et oleks tõenäoliselt lihtne kindlaks määrata paljusid kasutajakontode paroole. Näiteks kui ründaja teab teie räsi ja nad tunnevad teie soola, saavad nad lihtsalt kontrollida, kas kasutate mõnda kõige tavalisemat parooli.
Kui ründaja on sulle välja ja tahab oma parooli murda, saavad nad seda teha jõuliselt, kui nad tunnevad soola väärtust - mida nad tõenäoliselt teevad. Kohaliku, võrguühenduseta juurdepääsu parooliga andmebaasidele saavad ründajad kasutada kõiki soovitud rütmisjõu rünnakuid.
Kui salasõna andmebaas on varastatud, levivad ka muud isiklikud andmed: kasutajanimed, e-posti aadressid jms. Yahoo lekke korral leidsid ka turvaküsimused ja vastused - mis, nagu me kõik teame, lihtsustab juurdepääsu kellelegi kontole.
abi, mida ma peaksin tegema?
Ükskõik, milline teenus ütleb, kui parooli andmebaas on varastatud, on kõige parem eeldada, et kõik teenused on täiesti ebakompetentsed ja toimivad vastavalt.
Esiteks ärge kordustage paroole enamatel veebisaitidel. Kasuta paroolijuhti, mis genereerib iga veebisaidi jaoks unikaalseid paroole. Kui ründaja õnnestub avastada, et teie teenuse parool on "43 ^ tSd% 7uho2 # 3" ja te kasutate seda parooli ainult sellel konkreetsel veebisaidil, ei ole nad õppinud midagi kasulikku. Kui kasutate ühesugust parooli kõikjal, saavad nad juurdepääsu teie teistele kontodele. See on, kui palju inimeste kontosid hakatakse häkkima.
Kui teenus muutub ohtu, muutke kindlasti seal kasutatavat parooli. Kui soovite seda seal uuesti kasutada, peaksite muude paroolide muutma ka muudel saitidel, kuid te ei peaks seda kõigepealt tegema.
Samuti tuleks kaaluda kaheteguri autentimise kasutamist, mis kaitseb teid isegi siis, kui ründaja teie parooli saab.
Kõige olulisem asi pole paroolide korduskasutamine. Hävitatud parooliga andmebaasid ei saa teile haiget, kui kasutate ainulaadset parooli kõikjal - kui nad ei salvesta andmebaasis midagi muud olulist, nagu teie krediitkaardi number.
Image Credit: Marc Falardeau Flickrist, Wikimedia Commons