17Aug

Kodėl turėtumėte nerimauti, kai išmesta tarnybos slaptažodžių duomenų bazė

Įveskite savo slaptažodį

"Mūsų slaptažodžių duomenų bazė vakar buvo pavogta. Bet nesijaudinkite: slaptažodžiai buvo užkoduoti. "Mes reguliariai skaitome tokius teiginius kaip ir šis internetinis, įskaitant vakar, iš" Yahoo ".Bet ar tikrai turėtume imtis šių garantijų nominalia verte?

Tikrovė yra tai, kad slaptažodžių duomenų bazė kompromisuoja yra rūpestis, nesvarbu, kaip bendrovė gali bandyti ją suktis. Tačiau yra keletas dalykų, kuriuos galite padaryti, kad izoliuotų save, nesvarbu, kokia yra įmonės saugumo praktika.

Kaip turėtų būti saugomi slaptažodžiai

Štai kaip įmonės turėtų saugoti slaptažodžius idealiame pasaulyje: sukuriate paskyrą ir pateikiate slaptažodį.Vietoj paties slaptažodžio saugojimo paslauga generuoja "hash" iš slaptažodžio. Tai unikalus pirštų atspaudas, kurio negalima pakeisti. Pavyzdžiui, slaptažodis "password" gali virsti kažkuo, kuris atrodo labiau "4jfh75to4sud7gh93247g. ..".Kai įvedate savo slaptažodį, kad prisijungtumėte, paslauga generuoja iš jo esantį maišos ir patikrina, ar maišos vertė atitinka duomenų bazėje saugomą vertę.Jokiu būdu ši tarnyba niekada neišsaugo savo slaptažodžio į diską.

kriptografinė-hash-funkcija

Jei norite nustatyti savo tikrąjį slaptažodį, prieglobos serveris, turintis prieigą prie duomenų bazės, turėtų iš anksto apskaičiuoti bendrų slaptažodžių maišus ir patikrinti, ar jie egzistuoja duomenų bazėje. Užpuolikai tai daro su paieškos lentelėmis - didžiuliais maišų sąrašais, atitinkančiais slaptažodžius. Hesai tada gali būti lyginami su duomenų baze. Pavyzdžiui, užpuolikas žino "hash" slaptažodį "1" ir tada pamatysite, ar bet kurios sąskaitos duomenų bazėje naudoja tą hash. Jei jie yra, užpuolikas žino, kad jų slaptažodis yra "password1".

Norėdami to išvengti, paslaugos turėtų "druskos" savo maišus. Vietoj to, kad sukurtų hash iš paties slaptažodžio, prieš pradedant maišymą jie prideda atsitiktinę eilutę prie slaptažodžio priekio arba pabaigos. Kitaip tariant, vartotojas turėtų įvesti slaptažodį "slaptažodis", o paslauga prideda druskos ir maišos slaptažodį, kuris labiau atrodo kaip "password35s2dg." Kiekviena vartotojo sąskaita turėtų turėti unikalų druską, ir tai užtikrintų, kad kiekviena vartotojo sąskaitaturės skirtingą hash vertę savo slaptažodžiui duomenų bazėje. Net jei kelioms paskyroms naudojamas slaptažodis "password1", dėl skirtingų druskos verčių jie turėtų skirtingų maišų.Tai sugebėtų užkirsti kelią užpuolikui, kuris bandė iš anksto apskaičiuoti hasles už slaptažodžius. Vietoj to, kad būtų galima kurti maišus, kurie buvo taikomi kiekvienai vartotojo abonementai visoje duomenų bazėje vienu metu, jiems reikės sukurti unikalius hashus kiekvienai vartotojo abonementui ir jo unikalią druską.Tai užtruks daug daugiau skaičiavimo laiko ir atminties.

Štai kodėl paslaugos dažnai sako, kad nerimauti. Paslauga, naudodama tinkamas saugumo procedūras, turėtų pasakyti, kad naudojo saulėtus slaptažodžių maišus. Jei jie paprasčiausiai sako, kad slaptažodžiai yra "maišomi", tai kelia susirūpinimą."LinkedIn", pavyzdžiui, pakeitė savo slaptažodžius, bet jie nesupildė jų, taigi tai buvo didelis įvykis, kai "LinkedIn" 2012 m. Prarado 6,5 milijono maišytų slaptažodžių.

blogos slaptažodžių praktikos

plaintext-password-database

Tai nėra sunkiausia įdiegti, tačiau daugelis svetainiųvis tiek sugeba įstrigti įvairiais būdais:

  • Slaptažodžių saugojimas paprastu tekstu : užuot nerimauti dėl maišymo, kai kurie blogiausi pažeidėjai gali paprasčiausiai išmesti slaptažodžius į duomenų bazę.Jei tokia duomenų bazė yra pažeista, jūsų slaptažodžiai yra akivaizdžiai pažeisti. Nesvarbu, kaip jie buvo stiprūs.
  • Slapukų slaptumas, nesupjaudamas jų : Kai kurios paslaugos gali keisti slaptažodžius ir atsisakyti jų, pasirinkdamos ne naudoti druskas. Tokios slaptažodžių bazės būtų labai pažeidžiamos paieškos lentelėse. Užpuolikas gali sugeneruoti daugeliui slaptažodžių esančius maišus, o tada patikrinti, ar jie egzistavo duomenų bazėje. Jie galėtų tai padaryti kiekvieną paskyrą vienu metu, jei nebuvo naudojama druska.
  • pakartotinio naudojimo druskos : kai kurios paslaugos gali naudoti druską, tačiau jos gali pakartotinai naudoti tą pačią druską kiekvieno vartotojo abonemento slaptažodžiui. Tai yra beprasmiška - jei kiekvienam vartotojui būtų naudojama ta pati druska, du vartotojai su tuo pačiu slaptažodžiu turėtų tą patį maišą.
  • Trumpųjų druskų naudojimas : Jei naudojamos tik kelių skaitmenų druskos, būtų galima kurti paieškos lenteles, į kurias įtraukta visa galima druska. Pavyzdžiui, jei vienas skaitmuo buvo naudojamas kaip druska, užpuolikas gali lengvai kurti maišų sąrašus, į kuriuos įtraukta visa galima druska.

Įmonės ne visada jums pasakys visą istoriją, todėl net jei jie sako, kad slaptažodis buvo maišytas( arba maišytas ir sūdytas), jie gali nenaudoti geriausios praktikos. Visada klaida atsargiai.

Kiti rūpesčiai

Tikėtina, kad druskos vertė taip pat yra slaptažodžių duomenų bazėje. Tai nėra taip blogai - jei kiekvienam vartotojui būtų naudojama unikali druskos vertė, užpuolikai turės išleisti didžiulį CPU galingumą, nutraukdami visus šiuos slaptažodžius.

Praktiškai, daugelis žmonių naudoja akivaizdžius slaptažodžius, kad greičiausiai būtų lengva nustatyti daugybę vartotojų paskyrų slaptažodžių.Pvz., Jei užpuolikas žino jūsų maišą ir jie žino savo druską, jie gali lengvai patikrinti, ar naudojate dažniausiai naudojamus slaptažodžius.

Jei užpuolikas jį išjungia ir nori įstrigti savo slaptažodį, jie gali tai padaryti su brutalia jėga tol, kol jie žino druskos vertę, kurią jie tikriausiai daro. Naudodamiesi vietine prieiga neprisijungus prie slaptažodžių duomenų bazių, užpuolikai gali panaudoti visas jiems reikalingas grubus jėgos išpuolius.

Kiti asmens duomenys taip pat gali pasisavinėti, kai yra pavogta slaptažodžių duomenų bazė: vartotojo vardai, el. Pašto adresai ir kt."Yahoo" nuotėkio atveju taip pat buvo išspręstos saugumo problemos ir atsakymai - tai, kaip mes visi žinome, palengvina prieigą prie asmens paskyros.

pagalba, ką turėčiau daryti?

Nesvarbu, kokia paslauga sako, kai jos slaptažodžio duomenų bazė yra pavogta, geriausia manyti, kad kiekviena paslauga yra visiškai nekompetentinga ir atitinkamai elgiasi.

Pirmiausia, nekeiskite slaptažodžių keliose svetainėse. Naudokite slaptažodžių tvarkyklę, kuri sukuria unikalius slaptažodžius kiekvienai svetainei. Jei užpuolikas sugeba sužinoti, kad jūsų paslaugos slaptažodis yra "43 ^ tSd% 7uho2 # 3" ir jūs naudojate tą slaptažodį tik vienoje konkrečioje svetainėje, jie nieko nesužinojo naudingu. Jei visur naudojate tą patį slaptažodį, jie gali pasiekti kitas jūsų paskyras. Tai yra tai, kiek daug žmonių sąskaitų tampa "įsilaužta".

generuoti atsitiktinius slaptažodžius

Jei paslauga tampa pavojinga, būtinai pakeiskite ten naudojamą slaptažodį.Jūs taip pat turėtumėte pakeisti slaptažodį kitose svetainėse, jei ją vėl panaudosite - bet pirmiausia neturėtumėte tai daryti.

Taip pat turėtumėte apsvarstyti galimybę naudoti dviejų veiksnių autentifikavimą, kuris apsaugo jus net jei užpuolikas sužinos slaptažodį.

SUSIJUSIOS DIRBINIAI
Kodėl turėtumėte naudoti slaptažodžių tvarkyklę ir kaip pradėti
Kas yra dviejų faktorių autentifikavimas ir kodėl man reikia?

Svarbiausias dalykas nėra slaptažodžių pakartotinis naudojimas. Kompiuterizuotos slaptažodžių duomenų bazės jums negali pakenkti, jei naudojate unikalų slaptažodį visur - nebent jie saugo kažką svarbaus duomenų bazėje, pvz., Jūsų kredito kortelės numerį.

Image Credit: Marc Falardeau "Flickr", "Wikimedia Commons"