17Aug

Kāpēc jums jāuztraucas, kad tiek izmesti pakalpojuma paroles datu bāze

ievadiet savu paroli

"Mūsu paroles datu bāze tika nozagta vakar. Bet neuztraucieties: jūsu paroles tika šifrētas. "Mēs regulāri redzam tādus pārskatus kā šis tiešsaistē, tostarp vakar, no Yahoo. Bet vai mēs patiešām ņemam šos apliecinājumus par nominālvērtību?

Patiesība ir tāda, ka paroļu datu bāzē kompromiss ir bažas, neatkarīgi no tā, kā uzņēmums var mēģināt to spinēt. Bet ir dažas lietas, ko varat darīt, lai izolētu sevi neatkarīgi no tā, cik slikti ir uzņēmuma drošības prakse.

Kā paroles jāuzglabā

Lūk, kā uzņēmumiem būtu jāuzglabā paroles ideālā pasaulē: jūs izveidojat kontu un ievadāt paroli. Tā vietā, lai glabātu pašu paroli, pakalpojums ģenerē no paroles "hash".Tas ir unikāls pirkstu nospiedums, kuru nevar mainīt. Piemēram, parole "parole" var pārvērsties par tādu, kas izskatās vairāk kā "4jfh75to4sud7gh93247g. ..".Kad ievadāt savu paroli, lai pieteiktos, pakalpojums ģenerē no tā radu un pārbauda, ​​vai maiņas vērtība atbilst datubāzē saglabātajai vērtībai. Nekādā gadījumā šis pakalpojums nekad neizdzēš jūsu paroli uz diska.

kriptogrāfijas-hash-funkcija

Lai noteiktu faktisko paroli, uzbrucējam, kuram ir piekļuve datubāzei, būtu iepriekš jāaprēķina parastajām parasēm un pēc tam pārbaudiet, vai tie pastāv datu bāzē.Uzbrucēji to dara ar meklēšanas tabulām - milzīgs maiņu saraksts, kas atbilst parolēm. Heses tad var salīdzināt ar datu bāzi. Piemēram, uzbrucējs varētu uzzināt par "password1" hash un pēc tam noskaidrot, vai kādi konti datu bāzē izmanto šo hash. Ja tie ir, uzbrucējs zina, ka viņu parole ir "password1".

Lai novērstu šo problēmu, pakalpojumiem vajadzētu "sāpēt" savus hashus. Tā vietā, lai radītu hash no paša paroles, pirms izmaiņas to pievieno izlases virkni paroles priekšā vai galā.Citiem vārdiem sakot, lietotājam būtu jāievada parole "parole", un pakalpojums būtu jāpievieno sāls un ievada paroli, kas izskatās vairāk kā "password35s2dg." Katram lietotāja kontam vajadzētu būt sava unikāla sāls, un tas nodrošinātu, ka katrs lietotāja kontssavai parolei būtu atšķirīga hash vērtība datu bāzē.Pat ja vairākos kontos tiek izmantota parole "password1", dažādu sāls vērtību dēļ tiem ir dažādas maizes. Tas varētu uzvarēt uzbrucēju, kurš mēģināja iepriekš aprēķināt paroles par hashes. Tā vietā, lai varētu radīt hashes, kas uzreiz tiek izmantotas katram lietotāja kontam visā datu bāzē, tām ir jārada unikālas javas par katru lietotāja kontu un tā unikālo sāli. Tas prasīs daudz vairāk laika un atmiņas.

Tāpēc bieži vien pakalpojumi neuztraucas par pakalpojumiem. Pakalpojumam, kas izmanto atbilstošas ​​drošības procedūras, būtu jāsaka, ka viņi izmanto sālītas paroles. Ja viņi vienkārši saka, ka paroles ir "hashed", tas ir vairāk satraucoši. LinkedIn, piemēram, ir izmainījis savas paroles, taču tās netika sālītas - tādēļ tas bija liels darījums, kad LinkedIn 2012. gadā zaudēja 6,5 ​​miljonus izlaista paroles.

Bad Password Practices

plaintext-password-datubāze

Tas nav visgrūtāk īstenot, bet daudzas tīmekļa vietnesjoprojām izdodas to sajaukt dažādos veidos:

  • Parole uzglabāšana vienkāršā tekstā : tā vietā, lai izvairītos no maiņas, daži no vissliktākajiem likumpārkāpējiem var vienkārši izlaist paroles vienkāršā tekstā datu bāzē.Ja šāda datu bāze ir apdraudēta, jūsu paroles acīmredzami tiek apdraudētas. Nebūtu svarīgi, cik stipri viņi bija.
  • Pārslēdzas ar parolēm, nesaglabājot tās : daži pakalpojumi var būt paroles un to atdot, izvēloties neizmantot sāļus.Šādas paroļu datubāzes būtu ļoti neaizsargātas pret uzmeklēšanas tabulām. Uzbrucējs var ģenerēt daudzu paroļu masas un pēc tam pārbaudīt, vai tās pastāvēja datu bāzē - viņi var to izdarīt katram kontam uzreiz, ja netiek izmantota sāls.
  • Atkārtoti lietojamie sāļi : daži pakalpojumi var izmantot sāli, bet tie var atkārtoti izmantot to pašu sāli katram lietotāja konta param. Tas ir bezjēdzīgi - ja katram lietotājam tiktu izmantots viens un tas pats sāls, tad diviem lietotājiem ar vienu un to pašu paroli būtu tāds pats hash.
  • Īso sāļu izmantošana : ja tiek izmantoti tikai daži cipari, var izveidot uzmeklēšanas tabulas, kurās ir iekļauta visa iespējamā sāls. Piemēram, ja viens cipars tika izmantots kā sāls, uzbrucējs var viegli ģenerēt hesu sarakstus, kas ietvertu visu iespējamo sāli.

Uzņēmumi ne vienmēr pateiks jums visu stāstu, tādēļ pat tad, ja viņi saka, ka parole ir bijusi hehhed( vai arī ir hidrs un sālīta), viņi var neizmantot labāko praksi. Vienmēr ievērojiet piesardzību.

Citas bažas

Iespējams, ka sāls vērtība ir ietverta arī paroļu datubāzē.Tas nav tik slikti - ja katram lietotājam tiktu izmantota unikāla sāls vērtība, uzbrucējiem būtu jāpavada milzīgas CPU jaudas, pārtraucot visas šīs paroles.

Praksē tik daudzi cilvēki izmanto acīmredzamas paroles, ka varētu viegli noteikt daudzu lietotāju kontu paroles. Piemēram, ja uzbrucējs zina jūsu hash un viņi zina jūsu sāli, viņi var viegli pārbaudīt, vai jūs lietojat dažas visbiežāk sastopamās paroles.

Ja uzbrucējs jums to dara un vēlas salauzt paroli, viņi to var izdarīt ar brutālu spēku, kamēr viņi zina sāls vērtību, ko viņi, iespējams, dara. Izmantojot lokālu, bezsaistes piekļuvi paroles datubāzēm, uzbrucēji var izmantot visus brutālos spēkus, kurus tie vēlas.

Citus personas datus, iespējams, noplūdīs arī tad, ja tiks nozagta paroļu datu bāze: Lietotājvārdi, e-pasta adreses un citi. Yahoo noplūdes gadījumā tika arī noplūkti drošības jautājumi un atbildes, kas, kā mēs visi zinām, atvieglotu piekļuvi kāda lietotāja kontam.

palīdzība, ko man vajadzētu darīt?

Neatkarīgi no pakalpojuma teikšanas, kad tiek nozagta tās paroļu datu bāze, vislabāk ir pieņemt, ka katrs pakalpojums ir pilnīgi nekompetents un rīkojas atbilstoši.

Vispirms atkārtoti neizmantojiet paroles vairākām vietnēm. Izmantojiet paroli, kas ģenerē unikālas paroles katrai vietnei. Ja uzbrucējs atklāj, ka jūsu pakalpojuma parole ir "43 ^ tSd% 7uho2 # 3", un jūs šo paroli izmantojat tikai šajā konkrētajā vietnē, viņi nav iemācījuši neko noderīgu. Ja vienuviet lietojat to pašu paroli, viņi var piekļūt saviem citiem kontiem. Tas ir, cik daudz cilvēku konti kļūst "hacked".

ģenerēt izlases veida paroli

Ja pakalpojums kļūst apdraudēts, noteikti nomainiet tajā turēto paroli. Jums arī vajadzētu mainīt paroli citās vietnēs, ja to atkārtoti izmantojat - bet vispirms to nevajadzētu darīt.

Jums vajadzētu arī apsvērt iespēju izmantot divu faktoru autentifikāciju, kas pasargās jūs, pat ja uzbrucējs uzzina jūsu paroli.

SAISTĪTIE RAKSTI
Kāpēc jums vajadzētu izmantot parožu pārvaldnieku un kā sākt darbu
Kas ir divu faktoru autentificēšana un kāpēc tas ir vajadzīgs?

Vissvarīgākais nav atkārtoti izmantot paroles. Kompromitētas paroļu datu bāzes nevar jums nodarīt ļaunumu, ja jūs izmantojat unikālu paroli visur - izņemot, ja tie uzglabā kaut ko citu svarīgu datu bāzē, piemēram, jūsu kredītkartes numuru.

attēla kredīts: Marc Falardeau no Flickr, Wikimedia Commons