17Aug
"Salasanatietokantaamme varastettiin eilen. Mutta älä huoli: salasanasi on salattu. "Näemme säännöllisesti tällaisia lausuntoja verkossa, mukaan lukien eilen, Yahooista. Mutta pitäisikö meidän todella ottaa nämä vakuutukset nimellisarvoon?
Tosiasia on, että salasanatietokanta kompromisseja ovat huolenaiheita, vaikka yritys yrittäisi pyörittää sitä.Mutta on olemassa muutamia asioita, joita voit tehdä eristääkseen, vaikka kuinka huono yritys turvallisuuskäytännöt ovat.
Miten salasanat pitäisi tallentaa
Näin yritykset pitävät salasanoja ihanteellisessa maailmassa: Luo tili ja anna salasana. Salasanan tallentamisen sijasta palvelu tuottaa salasanan "hash".Tämä on ainutlaatuinen sormenjälki, jota ei voi kääntää.Esimerkiksi salasanan "salasana" voi muuttua jotain, joka näyttää enemmän kuin "4jfh75to4sud7gh93247g. ..".Kun annat salasanasi kirjautumiseen, palvelu tuottaa hajautuksen siitä ja tarkistaa, onko hajautusarvo vastaava tietokantaan tallennettua arvoa. Palvelu ei missään vaiheessa koskaan tallenna salasanaasi levylle.
Todellisen salasanan määrittämiseksi hyökkääjä, jolla on pääsy tietokantaan, joutuu ennalta laskemaan tavanomaisten salasanojen hashoja ja tarkista sitten, onko heitä olemassa tietokannassa. Hyökkääjät tekevät tämän etsintätaulukoiden avulla - suuret salasanat, jotka vastaavat salasanoja. Hassuja voidaan sitten verrata tietokantaan. Esimerkiksi hyökkääjä tuntee salasanan1 hajautuksen ja näkee sitten, onko tietokannassa olevia tilejä käyttävä sitä hashia. Jos ne ovat, hyökkääjä tietää, että salasana on "salasana1".
Tämän estämiseksi palvelujen pitäisi "suolaa" niiden hashoja. Sen sijaan, että luotaisi salasanan itse, lisätään satunnainen merkkijonon salasanan etuosaan tai loppuun ennen kuin se haetaan. Toisin sanoen käyttäjä syöttää salasanan "salasana" ja palvelu lisää suolan ja hash salasanan, joka näyttää enemmän kuin "password35s2dg". Jokaisella käyttäjätilillä pitäisi olla oma ainutlaatuinen suola, mikä varmistaisi, että kukin käyttäjätilisaisi salasanan erilaisen hash-arvon tietokannassa. Vaikka useat käyttäjät käyttäisivät salasanaa "password1", heillä olisi erilaiset hashoutumat erilaisten suolaveden vuoksi. Tämä heikentäisi hyökkääjän, joka yritti ennalta laskea salasanojen salasanat. Sen sijaan, että pystyt tuottamaan kertakorvauksia, joita sovellettiin jokaiseen käyttäjätiliin koko tietokannassa kerralla, niiden pitäisi luoda ainutkertaisia kopioita jokaiselle käyttäjätilille ja sen ainutlaatuiselle suolalle. Tämä vie paljon enemmän laskenta-aikaa ja muistia.
Siksi palvelut sanovat usein huolta. Asianmukaisten turvajärjestelyjen tarjoavan palvelun tulisi sanoa käyttävänsä suolattuja salasanoja. Jos he vain sanovat, että salasanat ovat "hashed", se on huolestuttavaa. LinkedIn pyyhkäisi esimerkiksi salasanansa, mutta ei suolaa niitä, joten LinkedIn menetti 6,5 miljoonan salasanan salasanan vuonna 2012.
Bad Password Practices
Tämä ei ole vaikeinta toteuttaa, mutta monet sivustotsilti onnistuu sekoittelemaan sitä monin tavoin:
- Salasanojen tallentaminen tavalliselle tekstille : Joidenkin pahimmista rikoksentekijöistä huolimatta vain haastavat salasanat pelkkään tekstimuotoon tietokantaan. Jos tällainen tietokanta vaarantuu, salasanasi on ilmeisesti vaarantunut. Ei väliä kuinka vahvoja he olivat.
- Salasanojen salakuunteleminen ilman suolaamista : Jotkut palvelut saattavat salata salasanat ja luovuttaa siellä, päättäen olla käyttämättä suoloja. Tällaiset salasanatietokannat olisivat hyvin alttiita hakutaulukkoille. Hyökkääjä voi tuottaa hashoja useille salasanoille ja tarkistaa, onko ne olemassa tietokannassa - he voisivat tehdä tämän jokaiselle tilille kerralla, jos suolaa ei käytetä.
- Urien uudelleenkäyttö : Jotkin palvelut saattavat käyttää suolaa, mutta ne voivat käyttää samaa suolaa jokaiseen käyttäjätilin salasanaan. Tämä on hyödytöntä - jos samaa suolaa käytettiin jokaiselle käyttäjälle, kaksi samaa salasanaa käyttävällä käyttäjällä olisi sama hash.
- Käyttämällä lyhyitä suoloja : Jos käytetään vain muutamaa numeroa sisältäviä suoloja, olisi mahdollista luoda hakuvaihtoehtoja, jotka sisälsivät kaikki mahdolliset suolat. Esimerkiksi, jos yhtä numeroa käytettiin suolana, hyökkääjä pystyi helposti luomaan luetteloita hashista, jotka sisälsivät kaikki mahdolliset suolat.
Yritykset eivät aina kerro koko tarinaa, joten vaikka sanovat, että salasana on hajautettu( tai hajautettu ja suolattu), se ei välttämättä käytä parhaita käytäntöjä.Aja aina varovasti.
Muut huolet
On todennäköistä, että suola-arvo on myös salasanatietokannassa. Tämä ei ole niin huono - jos kullekin käyttäjälle käytettiin ainutlaatuista suola-arvoa, hyökkääjät joutuisivat käyttämään massiivisia määriä suorittimen tehoa katkaisemalla kaikki nämä salasanat.
Käytännössä niin monet ihmiset käyttävät ilmeisiä salasanoja, joiden avulla on todennäköistä, että monet käyttäjätunnusten salasanat ovat helposti määritettävissä.Esimerkiksi jos hyökkääjä tuntee haudan ja tietää suustasi, he voivat helposti tarkistaa, käytätkö joitain yleisimpiä salasanoja.
Jos hyökkääjällä on se puolestasi ja haluaa salata salasanasi, he voivat tehdä sen raakajohtimilla niin kauan kuin he tietävät suolan arvosta - mitä he todennäköisesti tekevät. Paikallinen, offline pääsy salasanatietokantoihin hyökkääjät voivat käyttää kaikkia heitä haluamiaan raa'at hyökkäykset.
Myös muita henkilötietoja todennäköisesti vuotaa, kun salasanatietokanta on varastettu: käyttäjätunnukset, sähköpostiosoitteet ja paljon muuta. Yahoo-vuotojen tapauksessa myös turvallisuuskysymykset ja vastaukset olivat vuotaneet - jotka, kuten me kaikki tiedämme, helpottavat pääsyä jonkun tilille.
-apu, mitä minun pitäisi tehdä?
Mikä tahansa palvelu kertoo, kun salasanatietokanta on varastettu, on parasta olettaa, että jokainen palvelu on täysin epäpätevä ja toimivat vastaavasti.
Älä käytä salasanoja useaan verkkosivustoon. Käytä salasanakehittäjää, joka luo ainutlaatuiset salasanat kullekin verkkosivustolle. Jos hyökkääjä havaitsee, että palvelun salasana on "43 ^ tSd% 7uho2 # 3" ja käytät vain kyseistä tietyn verkkosivuston salasanaa, he eivät ole oppineet mitään hyödyllistä.Jos käytät samaa salasanaa kaikkialla, he voivat käyttää muita tilejäsi. Tämä on kuinka monien ihmisten tilit tulevat "hakkeroituneiksi".
Jos palvelu vaarantuu, muista vaihtaa siellä käyttämääsi salasanaa. Sinun tulisi myös muuttaa salasanaa muilla sivustoilla, jos käytät sitä uudestaan - mutta sinun ei pitäisi tehdä sitä ensi sijassa.
Sinun kannattaa myös harkita kahden tekijän todennusta, joka suojaa sinua, vaikka hyökkääjä oppii salasanasi.
Tärkeintä ei ole käyttää salasanoja uudelleen. Salatut salasanatietokannat eivät voi vahingoittaa sinua, jos käytät ainutlaatuista salasanaa kaikkialla - paitsi jos tallennat tietokannassa jotain muuta, kuten luottokorttisi numeroa.
Kuva: Marc Falardeau Flickr, Wikimedia Commons