17Aug
"Şifre veritabanımız dün çalındı.Ancak endişelenmeyin: şifreleriniz şifrildi. "Dün dâhil, Yahoo'dan gelen çevrimiçi ifadeler düzenli olarak görüyoruz. Fakat biz gerçekten bu güvenceleri karşılığında almamız gerekir mi?
Gerçek şu ki, şifre veritabanından taviz veriyor , bir endişe, ne olursa olsun bir firma onu döndürmeye çalışabilir. Ancak, bir şirketin güvenlik uygulamalarının ne kadar kötü olursa olsun, kendinizi yalıtmak için yapabileceğiniz birkaç şey var.
Parolaların Nasıl Saklanacağı
İşte şirketlerin şifreleri ideal bir dünyada nasıl saklayacakları: Bir hesap oluşturup bir şifre oluşturuyorsun. Parolanın kendisi yerine saklanması, hizmet parola "karma" oluşturur. Bu, tersine çevrilemeyen benzersiz bir parmak izi.Örneğin, "şifre" şifresi "4jfh75to4sud7gh93247g. .." gibi görünen bir şeye dönüşebilir. Oturum açmak için parolanızı girdiğinizde, hizmet ondan bir karma oluşturur ve karma değerin veritabanında depolanan değere uygun olup olmadığını kontrol eder. Hiçbir noktada hizmet şifrenizi diske kaydetmez.
Gerçek şifrenizi belirlemek için, veritabanına erişimi olan bir saldırganın genel şifreler için karmaları önceden hesaplaması ve daha sonra veritabanında bulunup bulunmadıklarını kontrol etmesi gerekir. Saldırganlar bunu, arama tablolarıyla yapar; parolalarla eşleşen büyük karmaşık listeler. Karmalar veritabanıyla karşılaştırılabilir.Örneğin, bir saldırgan "şifre1" için karmayı bilir ve sonra veritabanındaki hesapların bu karmayı kullanıp kullanmadığını görecektir. Varsa, saldırgan parolalarının "şifre1" olduğunu bilir.
Bunun önüne geçmek için, hizmetlerin karmalarını "tuzlaştırması" gerekir.Şifre kendisinden bir karma oluşturmak yerine, şifrelemeden önce şifrenin önüne veya sonuna rastgele bir dize eklerler. Başka bir deyişle, bir kullanıcı parola "parola" girer ve hizmet tuz ekleyip daha "şifre35s2dg" gibi görünen bir şifreyi karışık hale getirir. Her bir kullanıcı hesabının kendi tuzu olmalıdır ve bu, her kullanıcı hesabınınveritabanındaki şifreleri için farklı bir karma değer olurdu. Birden fazla hesap "şifre1" şifresini kullansa bile, farklı tuz değerlerinden dolayı farklı karmalara sahip olurlardı.Bu, parolalar için karmaları önceden hesaplamaya çalışan bir saldırganı yener. Bir seferde tüm veritabanındaki her kullanıcı hesabına uygulanan karmalar üretmek yerine, her kullanıcı hesabı ve eşsiz tuzu için benzersiz karmalar üretmek zorunda kalacaklardı.Bu daha fazla hesaplama zamanı ve bellek gerektirir.
Bu nedenle hizmetler genellikle endişelenmemelerini söylüyor. Doğru güvenlik prosedürlerini kullanan bir servis, tuzlu şifre karmaları kullandıklarını söylemeliydi. Sadece parolaların "karışık" olduğunu söylüyorsanız, bu daha endişelidir. LinkedIn, örneğin şifrelerini hashed ettiler, ancak tuzlamadılar - bu nedenle, LinkedIn'in 2012'de 6,5 milyon şifreleri şifrelerken kaybettikleri büyük bir olaydı.
Kötü Parola Uygulamaları
Bu uygulanması en zor şey değil, ancak birçok web sitesi
- Parolaları Düz Metin Üzerinde Depolama : Karıştırma ile uğraşmak yerine, bazı kötücül suçlular şifreleri düz metin biçiminde bir veritabanına atabilir. Böyle bir veritabanı tehlikeye atılırsa, şifreleriniz açıkça tehlikeye geldik. Ne kadar güçlü oldukları önemli değil.
- Şifreleri Tuzsuz Tutma İle : Bazı servisler şifreleri hash edebilir ve orada bırakır, tuz kullanmamayı tercih eder. Bu tür şifre veri tabanları, arama tablolarına karşı çok savunmasız olur. Bir saldırgan birçok parola için karmalar oluşturabilir ve veritabanında var olup olmadıklarını kontrol edebilir - hiçbir tuz kullanılmadıysa bir kerede her hesap için bunu yapabilirlerdi.
- Yeniden Tuzları Yeniden Kullanma : Bazı hizmetler tuz kullanabilir, ancak her kullanıcı hesabı parolası için aynı tuzu tekrar kullanabilirler. Bu, anlamsızdır - aynı tuz her kullanıcı için kullanılıyorsa, aynı şifreye sahip iki kullanıcı aynı karışıklığa sahip olacaktır. : Sadece birkaç basamaklı tuz kullanılıyorsa, mümkün olan her tuzu içeren arama tabloları oluşturmak mümkündür.Örneğin, tek bir rakam tuz olarak kullanılıyorsa, saldırgan her olası tuzu içeren karma listeler kolayca oluşturabilir.
Şirketler her zaman size hikayenin tamamını anlatmaz, bu nedenle bir şifre hashed edildiğini söylese de( veya hashed edilmiş ve tuzlanmış halde) en iyi uygulamaları kullanmıyor olabilirler. Daima dikkatli olun.
Diğer Konular
Salt değerinin parola veritabanında da bulunması muhtemeldir. Bu o kadar da kötü değil - eğer her kullanıcı için benzersiz bir tuz değeri kullanılıyorsa, saldırganların tüm bu parolaları kıran muazzam miktarda işlemci gücü harcaması gerekecektir.
Uygulamada, birçok kişi açık şifreleri kullanıyor ve bu nedenle birçok kullanıcı hesabının şifresini kolayca belirleyebiliyor olacaksınız.Örneğin, bir saldırgan karınızı biliyor ve tuzlarını biliyorlarsa, en yaygın şifrelerden bazılarını kullanıp kullanmadığınızı kolayca kontrol edebilirler.
Bir saldırgan sizin yeryüzüne sahipse ve şifrenizi kırmak istiyorsa, muhtemelen tuz değerini bildikçe kaba kuvvetle bunu yapabilirsiniz.Şifre çevrimdışı veritabanlarına erişimle, saldırganlar istedikleri tüm kaba kuvvet saldırılarını kullanabilirler.
Bir şifre veritabanı çalındığında diğer kişisel veriler de muhtemelen sızdırıyor: Kullanıcı adları, e-posta adresleri ve daha fazlası.Yahoo sızıntısı durumunda, güvenlik soruları ve cevapları da sızdırıldı-ki bu hepimizin bildiği gibi birinin hesabına erişimini kolaylaştırıyor.
Yardım, Ne Yapmalıyım?
Bir hizmetin şifre veritabanı çalındığında ne derse diyorsanız, her hizmetin tamamen beceriksiz olduğunu varsaymak ve buna göre davranmak en iyisidir.
Öncelikle birden çok web sitesindeki şifreleri tekrar kullanmayın. Her web sitesi için benzersiz şifreler üreten bir şifre yöneticisi kullanın. Bir saldırgan, bir hizmet için şifrenizin "43 ^ tSd% 7uho2 # 3" olduğunu keşfederse ve o şifreyi yalnızca belirli bir web sitesinde kullanırsanız, hiçbir şey öğrenemezler. Her yerde aynı şifreyi kullanırsanız, diğer hesaplarınıza erişebilirler. Bu kaç kişinin hesapları "saldırıya uğradı". Bu, bir hizmetin tehlikeye girmesine neden oluyorsa, kullandığınız şifreyi değiştirdiğinizden emin olun. Diğer sitelerdeki parolayı da orada tekrar kullanırsanız değiştirmeniz gerekir - ancak bunu ilk etapta yapmamalısınız.
Ayrıca, bir saldırgan şifrenizi öğrenmiş olsa bile sizi koruyacak iki faktörlü kimlik doğrulamayı kullanmayı düşünmelisiniz.
En önemli şey şifrelerin tekrar kullanılması değildir.Ödün vermiş şifre veritabanları, her yerde benzersiz bir şifre kullanırsanız, ancak kredi kartı numarası gibi veritabanında önemli bir şey depolamadıklarında size zarar veremez.
Resim Kredisi: Marc Falardeau, Flickr'da, Wikimedia Commons
'da