17Aug
"Наша база података о лозинкама је украдена јуче.Али не брините: ваше лозинке су биле шифроване. "Редовно видимо изјаве попут овог на мрежи, укључујући и јуче, од Иахооа.Али да ли заиста треба да узмемо ова гаранција по номиналној вредности?
Стварност је да компресије базе података лозинке представљају забринутост , без обзира на то како компанија може покушати да је окрене.Али постоје неколико ствари које можете учинити да бисте се изоловали, без обзира на то колико су лоше безбедносне праксе компаније.
Како се лозинке требају чувати
Ево како компаније чувају лозинке у идеалном свету: креирате налог и обезбедите лозинку.Уместо да сачува саму лозинку, услуга генерише "исх" из лозинке.Ово је јединствени отисак прста који се не може преокренути.На пример, лозинка "лозинка" може претворити у нешто што више изгледа као "4јфх75то4суд7гх93247г. ..".Када унесете лозинку да бисте се пријавили, услуга генерише хашу из ње и проверава да ли се вредност хасх подудара са вриједношћу меморисаним у бази података.У једном тренутку услуга никада не чува вашу лозинку на диску.
Да бисте одредили своју стварну лозинку, нападач који има приступ бази података мораће да претходно израчунава хеш за уобичајене лозинке, а затим провери да ли постоје у бази података.Нападачи то раде помоћу прегледних табела - огромне листе хашиша које одговарају шифрама.Хаше се онда могу упоредити са базом података.Напримјер, нападач би знао хеш за "пассворд1", а затим погледати да ли неки рачуни у бази користе тај хеш.Ако су, нападач зна да је њихова лозинка "пассворд1".
Да би се то спречило, услуге би требало "слати" своје хаше.Уместо да креирају хеш из саме лозинке, додају случајни низ на предњи или крај лозинке пре него што га пошаљу.Другим речима, корисник би уписао лозинку "лозинка" и услуга би додала соли и хаше лозинку која више изгледа као "пассворд35с2дг." Сваки кориснички рачун треба да има своју јединствену сол, и то би осигурало да сваки кориснички налогби имали другу вредност за хашу за своју лозинку у бази података.Чак и ако је више рачуна користило лозинку "пассворд1", имали би различите хехе због различитих вриједности соли.Ово би поразило нападача који је покушао пре-рачунати хаше за лозинке.Уместо да би могли да генеришу хеш који се примењује на сваки кориснички налог у читавој бази података одједном, морали би да генеришу јединствене хаше за сваки кориснички налог и јединствену сољу.Ово би требало много више времена за рачунање и меморије.
Због тога услуге често кажу да не брину.Услуга која користи одговарајуће сигурносне поступке би требало да каже да користе салате шишане лозинке.Ако једноставно кажу да су лозинке "исхед", то је више забрињавајуће.ЛинкедИн је, на примјер, испрвао своје лозинке, али није их слио-тако да је то била велика ствар када је ЛинкедИн у 2012. изгубио 6,5 милиона хасхед лозинки.
Бад Пассворд Працтицес
Ово није најтежа ствар за имплементацију, али многе веб страницеи даље успевају да га натерају на разне начине:
- Чување лозинки у обичном тексту : Уместо да се мучите са хашом, неки од најгорих преступника могу само да отпадну лозинке у обичном тексту у базу података.Ако је таква база података угрожена, ваше лозинке су очигледно компромитоване.Није битно колико су јаке.
- Хасхинг Пассвордс Без Салтинга : Неке услуге могу имати лозинке и одустати од њих, одлучивши се да не користе соли.Такве базе података о лозинкама биле би веома рањиве за прегледне табеле.Нападач може да генерише хаше за многе лозинке, а затим провјери да ли постоје у бази података - то би могло учинити за сваки рачун одједном ако није кориштена сол.
- Реусинг Салтс : Неке услуге могу користити сол, али могу поново користити исту сол за сваку лозинку корисничког налога.Ово је бесмислено - ако је иста сол коришћена за сваког корисника, два корисника исте лозинке би имали исти хеш.
- Коришћење кратких соли : Ако се користе соли од само неколико цифара, било би могуће генерирати прегледне таблице које укључују сваку могућу сољу.На пример, ако је једна цифра употребљена као сол, нападач би могао лако генерирати спискове хаша који су укључивали сваку могућу со.
Компаније вам неће увек испричати цијелу причу, па чак и ако кажу да је лозинка била исхед( или исхрана и слана), можда неће користити најбоље праксе.Увек грешите са стране опреза.
Остали проблеми
Вероватно је да је вредност со такође присутна у бази лозинке.Ово није толико лоше - ако је за сваког корисника кориштена јединствена вриједност соли, нападачи би морали потрошити огромне количине ЦПУ снаге која би прекрила све те лозинке.
У пракси, толико људи користи очигледне лозинке да ће вероватно бити лако одредити лозинке многих корисничких налога.На примјер, ако нападач зна вашег хеш и они знају своју сол, лако могу провјерити да ли користите неке од најчешћих лозинки.
Ако нападач то направи за вас и жели да вам пробије лозинку, они то могу учинити бруталном силом све док они знају вредност соли - што вероватно и они раде.Са локалним, оффлине приступом бази података лозинке, нападачи могу искористити све нападе бруталне силе које желе.
Остали лични подаци такође вероватно пропуштају када је украдена база података о лозинкама: корисничка имена, адресе е-поште и друго.У случају губитка Иахоо-а, такође су пропуштени и сигурносна питања и одговори - који, као што сви знамо, олакшавају украсти приступ некоме рачуну.
Помоћ, Шта да радим?
Без обзира на услугу која каже када је украдена база података о лозинкама, најбоље је претпоставити да је свака услуга потпуно неспособна и да поступа у складу с тим.
Прво, не користите лозинке на више веб локација.Користите менаџер лозинки који генерише јединствене лозинке за сваку веб локацију.Ако нападач успе открити да је ваша лозинка за услугу "43 ^ тСд% 7ухо2 # 3" и да користите само ону лозинку на тој одређеној веб локацији, нису научили ништа корисно.Ако користите исту лозинку свуда, они би могли приступити вашим другим рачунима.Овдје се рачуни људи "хакирају".
Ако услуга постане компромитирана, обавезно промените лозинку коју тамо користите.Морате такође променити лозинку на другим сајтовима ако га поново употребите - али то не бисте требали радити на првом мјесту.
Такође треба размислити о кориштењу двоструке аутентификације, која ће вас заштитити чак и ако нападач сазна вашу лозинку.
Најважнија ствар није поновно коришћење лозинки.Компромисане базе података о лозинкама не могу вам повредити ако користите јединствену лозинку свугдје - осим ако не складиште нешто друго важно у бази података, као што је број вашег кредитне картице.
Имаге Цредит: Марц Фалардеау на Флицкр, Викимедиа Цоммонс