Kodėl turėtumėte nerimauti, kai išmesta tarnybos slaptažodžių duomenų bazė

Turinys:

Kodėl turėtumėte nerimauti, kai išmesta tarnybos slaptažodžių duomenų bazė
Kodėl turėtumėte nerimauti, kai išmesta tarnybos slaptažodžių duomenų bazė

Video: Kodėl turėtumėte nerimauti, kai išmesta tarnybos slaptažodžių duomenų bazė

Video: Kodėl turėtumėte nerimauti, kai išmesta tarnybos slaptažodžių duomenų bazė
Video: Žymės (Favourites) mobiliajame ir kompiuteryje, jų sinchronizavimas - YouTube 2024, Kovas
Anonim
"Mūsų slaptažodžių duomenų bazė vakar buvo pavogta. Bet nesijaudinkite: slaptažodžiai buvo užkoduoti. "Mes reguliariai skaitome tokius teiginius kaip ir šis internetinis, įskaitant vakar, iš" Yahoo ". Bet ar tikrai turėtume imtis šių garantijų nominalia verte?
"Mūsų slaptažodžių duomenų bazė vakar buvo pavogta. Bet nesijaudinkite: slaptažodžiai buvo užkoduoti. "Mes reguliariai skaitome tokius teiginius kaip ir šis internetinis, įskaitant vakar, iš" Yahoo ". Bet ar tikrai turėtume imtis šių garantijų nominalia verte?

Tikrovė yra tai, kad slaptažodžių duomenų bazė kompromisuoja yra nesvarbu, kaip bendrovė gali stengtis suktis. Tačiau yra keletas dalykų, kuriuos galite padaryti, kad izoliuotų save, nesvarbu, kokia yra įmonės saugumo praktika.

Kaip saugoti slaptažodžius

Štai kaip įmonės turėtų saugoti slaptažodžius idealiame pasaulyje: sukuriate paskyrą ir pateikiate slaptažodį. Vietoj paties slaptažodžio saugojimo paslauga generuoja "hash" iš slaptažodžio. Tai unikalus pirštų atspaudas, kurio negalima pakeisti. Pavyzdžiui, slaptažodis "password" gali virsti kažkuo, kuris atrodo labiau "4jfh75to4sud7gh93247g …". Kai įvedate savo slaptažodį, kad prisijungtumėte, paslauga generuoja iš jo esantį maišos ir patikrina, ar maišos vertė atitinka duomenų bazėje saugomą vertę. Jokiu būdu ši tarnyba niekada neišsaugo savo slaptažodžio į diską.

Norėdami nustatyti savo tikrąjį slaptažodį, užpuolikas, turintis prieigą prie duomenų bazės, turėtų iš anksto apskaičiuoti bendrų slaptažodžių maišus ir patikrinti, ar jie egzistuoja duomenų bazėje. Užpuolikai tai daro su paieškos lentelėmis - didžiuliais maišų sąrašais, atitinkančiais slaptažodžius. Hesai tada gali būti lyginami su duomenų baze. Pavyzdžiui, užpuolikas žino "hash" slaptažodį "1" ir tada pamatysite, ar bet kurios sąskaitos duomenų bazėje naudoja tą hash. Jei jie yra, užpuolikas žino, kad jų slaptažodis yra "password1".
Norėdami nustatyti savo tikrąjį slaptažodį, užpuolikas, turintis prieigą prie duomenų bazės, turėtų iš anksto apskaičiuoti bendrų slaptažodžių maišus ir patikrinti, ar jie egzistuoja duomenų bazėje. Užpuolikai tai daro su paieškos lentelėmis - didžiuliais maišų sąrašais, atitinkančiais slaptažodžius. Hesai tada gali būti lyginami su duomenų baze. Pavyzdžiui, užpuolikas žino "hash" slaptažodį "1" ir tada pamatysite, ar bet kurios sąskaitos duomenų bazėje naudoja tą hash. Jei jie yra, užpuolikas žino, kad jų slaptažodis yra "password1".

Norėdami to išvengti, paslaugos turėtų "druskos" savo maišus. Vietoj to, kad sukurtų hash iš paties slaptažodžio, prieš pradedant maišymą jie prideda atsitiktinę eilutę prie slaptažodžio priekio arba pabaigos. Kitaip tariant, vartotojas turėtų įvesti slaptažodį "slaptažodis", o paslauga prideda druskos ir maišos slaptažodį, kuris labiau atrodo kaip "password35s2dg." Kiekviena vartotojo sąskaita turėtų turėti unikalų druską, ir tai užtikrintų, kad kiekviena vartotojo sąskaita turės skirtingą hash vertę savo slaptažodžiui duomenų bazėje. Net jei kelioms paskyroms naudojamas slaptažodis "password1", dėl skirtingų druskos verčių jie turėtų skirtingų maišų. Tai sugebėtų užkirsti kelią užpuolikui, kuris bandė iš anksto apskaičiuoti hasles už slaptažodžius. Vietoj to, kad būtų galima kurti maišus, kurie buvo taikomi kiekvienai vartotojo abonementai visoje duomenų bazėje vienu metu, jiems reikės sukurti unikalius hashus kiekvienai vartotojo abonementui ir jo unikalią druską. Tai užtruks daug daugiau skaičiavimo laiko ir atminties.

Štai kodėl paslaugos dažnai sako, kad nerimauti. Paslauga, naudodama tinkamas saugumo procedūras, turėtų pasakyti, kad naudojo saulėtus slaptažodžių maišus. Jei jie paprasčiausiai sako, kad slaptažodžiai yra "maišomi", tai kelia susirūpinimą. "LinkedIn", pavyzdžiui, keičia savo slaptažodžius, bet jie jų ne druska, todėl tai buvo didelis įvykis, kai "LinkedIn" 2012 m. Prarado 6,5 milijono maišytų slaptažodžių.

Blogos slaptažodžių praktikos

Tai nėra pats sunkiausias dalykas, kurį reikia įgyvendinti, tačiau daugeliui svetainių vis dar pavyksta įveikti įvairius būdus:
Tai nėra pats sunkiausias dalykas, kurį reikia įgyvendinti, tačiau daugeliui svetainių vis dar pavyksta įveikti įvairius būdus:
  • Slaptažodžių saugojimas paprastu tekstu: Užuot nerimauti dėl maišymo, kai kurie blogiausi pažeidėjai gali paprasčiausiai išmesti slaptažodžius į duomenų bazę. Jei tokia duomenų bazė yra pažeista, jūsų slaptažodžiai yra akivaizdžiai pažeisti. Nesvarbu, kaip jie buvo stiprūs.
  • Keisti slaptažodžius be jų išdarymo: Kai kurios paslaugos gali turėti slaptažodžius ir atsisakyti, pasirenkant nenaudoti druskos. Tokios slaptažodžių bazės būtų labai pažeidžiamos paieškos lentelėse. Užpuolikas gali sugeneruoti daugeliui slaptažodžių esančius maišus, o tada patikrinti, ar jie egzistavo duomenų bazėje. Jie galėtų tai padaryti kiekvieną paskyrą iškart, jei nebuvo naudojama druska.
  • Pakartotinis naudojimas druskos: Kai kurios paslaugos gali naudoti druską, bet jos gali pakartotinai naudoti tą pačią druską kiekvieno vartotojo abonemento slaptažodžiui. Tai yra beprasmiška - jei kiekvienam vartotojui būtų naudojama ta pati druska, du vartotojai, turintys tą patį slaptažodį, turėtų tą patį maišą.
  • Trumpųjų druskų naudojimas: Jei naudojate tik kelis skaitmenis druskos, būtų galima kurti paieškos lenteles, į kurias įtraukta visa galima druska. Pavyzdžiui, jei vienas skaitmuo buvo naudojamas kaip druska, užpuolikas gali lengvai kurti maišų sąrašus, į kuriuos įtraukta visa galima druska.

Įmonės ne visada jums pasakys visą istoriją, taigi, net jei jie sako, kad slaptažodis buvo maišytas (arba maišytas ir sūdytas), jie gali nenaudoti geriausios praktikos. Visada klaida atsargiai.

Kiti rūpesčiai

Tikėtina, kad druskos vertė taip pat yra slaptažodžių duomenų bazėje. Tai nėra taip blogai - jei kiekvienam vartotojui būtų naudojama unikali druskos vertė, užpuolikai turės išleisti didžiulį CPU galingumą, nutraukdami visus šiuos slaptažodžius.

Praktikoje tiek daug žmonių naudoja akivaizdžius slaptažodžius, kuriuos greičiausiai būtų lengva nustatyti daugeliui vartotojų paskyrų slaptažodžių. Pvz., Jei užpuolikas žino jūsų maišą ir jie žino savo druską, jie gali lengvai patikrinti, ar naudojate dažniausiai naudojamus slaptažodžius.

Jei užpuolikas jį išjungia ir nori įstrigti savo slaptažodį, jis gali tai padaryti su brutalia jėga tol, kol jie žino druskos vertę, kurią jie, tikriausiai, daro.Naudodamiesi vietine prieiga neprisijungus prie slaptažodžių duomenų bazių, užpuolikai gali panaudoti visas jiems reikalingas grubus jėgos išpuolius.

Kiti asmens duomenys taip pat gali pasisavinėti, kai bus pavogta slaptažodžių duomenų bazė: vartotojo vardai, el. Pašto adresai ir kt. "Yahoo" nuotėkio atveju taip pat buvo išspręstos saugumo problemos ir atsakymai - tai, kaip mes visi žinome, palengvina prieigą prie asmens paskyros.

Pagalba, ką turėčiau daryti?

Nesvarbu, kokia paslauga pasakoja, kai pavogta jo slaptažodžių duomenų bazė, geriausia manyti, kad kiekviena paslauga yra visiškai nekompetentinga ir atitinkamai elgiasi.

Pirma, nepasinaudokite slaptažodžiais keliose svetainėse. Naudokite slaptažodžių tvarkyklę, kuri sukuria unikalius slaptažodžius kiekvienai svetainei. Jei užpuolikas sugeba sužinoti, kad jūsų paslaugos slaptažodis yra "43 ^ tSd% 7uho2 # 3" ir jūs naudojate tą slaptažodį tik vienoje konkrečioje svetainėje, jie nieko nesužinojo naudingu. Jei visur naudojate tą patį slaptažodį, jie gali pasiekti kitas jūsų paskyras. Tai yra daugelio žmonių paskyrų "įsilaužta".

Jei paslauga tampa pavojinga, būtinai pakeiskite ten naudojamą slaptažodį. Jūs taip pat turėtumėte pakeisti slaptažodį kitose svetainėse, jei ją vėl panaudosite - bet pirmiausia neturėtumėte tai daryti.
Jei paslauga tampa pavojinga, būtinai pakeiskite ten naudojamą slaptažodį. Jūs taip pat turėtumėte pakeisti slaptažodį kitose svetainėse, jei ją vėl panaudosite - bet pirmiausia neturėtumėte tai daryti.

Taip pat turėtumėte apsvarstyti galimybę naudoti dviejų veiksnių autentifikavimą, kuris apsaugo jus net jei užpuolikas sužinos slaptažodį.

Svarbiausias dalykas nėra pakartotinis slaptažodžių naudojimas. Kompiuterizuotos slaptažodžių duomenų bazės jums negali pakenkti, jei naudojate unikalų slaptažodį visur - nebent jie saugo kažką svarbaus duomenų bazėje, pvz., Jūsų kredito kortelės numerį.

Rekomenduojamas: