Mājas lapa » » Kāpēc jums jāuztraucas, kad tiek izlaista pakalpojuma paroles datu bāze

    Kāpēc jums jāuztraucas, kad tiek izlaista pakalpojuma paroles datu bāze

    „Mūsu paroles datu bāze tika nozagta vakar. Bet neuztraucieties: jūsu paroles ir šifrētas. ”Mēs regulāri redzam tādus paziņojumus kā šis, tostarp vakar, no Yahoo. Bet vai mums patiešām būtu jāievēro šīs garantijas ar nominālvērtību?

    Realitāte ir tāda, ka paroles datu bāzes kompromisi ir bažas, neatkarīgi no tā, kā uzņēmums var mēģināt to spinēt. Bet ir dažas lietas, ko varat darīt, lai izolētu sevi, neatkarīgi no tā, cik slikti ir uzņēmuma drošības prakse.

    Kā jāglabā paroles

    Lūk, kā uzņēmumiem jāglabā paroles ideālā pasaulē: izveidojat kontu un sniedzat paroli. Tā vietā, lai saglabātu paroli, pakalpojums ģenerē paroli no paroles. Tas ir unikāls pirkstu nospiedums, kuru nevar mainīt. Piemēram, parole “parole” var kļūt par kaut ko, kas izskatās vairāk kā “4jfh75to4sud7gh93247g…”. Ievadot paroli, lai pieteiktos, pakalpojums ģenerē hash no tā un pārbauda, ​​vai hash vērtība atbilst datubāzē saglabātajai vērtībai. Pakalpojums nekad nav saglabājis jūsu paroli uz diska.

    Lai noteiktu jūsu faktisko paroli, uzbrucējam, kam ir piekļuve datubāzei, būtu iepriekš jāaprēķina parastās paroles, un pēc tam pārbaudiet, vai tās ir datu bāzē. Uzbrucēji to dara, izmantojot meklēšanas tabulas - milzīgus hashes sarakstus, kas atbilst parolēm. Tad hashes var salīdzināt ar datubāzi. Piemēram, uzbrucējs zinātu „paroles1” problēmu un pēc tam pārbaudīs, vai datubāzē esošie konti izmanto šo hash. Ja tā ir, uzbrucējs zina, ka viņu parole ir “parole1”.

    Lai to novērstu, dienestiem vajadzētu „sālīt” savas hashes. Tā vietā, lai izveidotu hash no pašas paroles, tās pievieno izlases virkni paroles priekšpusē vai beigās, pirms tas tiek nomainīts. Citiem vārdiem sakot, lietotājs ievadītu paroli “parole”, un pakalpojums pievienotu sāli un hash paroli, kas izskatās vairāk kā “password35s2dg”. Katram lietotāja kontam jābūt savam unikālam sālam, un tas nodrošinātu, ka katrs lietotāja konts datu bāzē būtu atšķirīga paroles vērtība. Pat ja vairāki konti izmantoja paroli “password1”, viņiem ir atšķirīgas problēmas, jo atšķiras sāls vērtības. Tas uzvarētu uzbrucēju, kurš mēģināja iepriekš aprēķināt paroles. Tā vietā, lai vienlaicīgi izveidotu visas datubāzes lietotāja kontus, viņiem būtu jāizveido unikāls hashes katram lietotāja kontam un tā unikālajam sālim. Tas prasītu daudz vairāk aprēķina laika un atmiņas.

    Tāpēc dienesti bieži saka, ka nav jāuztraucas. Pakalpojumam, kas izmanto atbilstošas ​​drošības procedūras, būtu jāsaka, ka viņi izmanto sālītu paroli. Ja viņi vienkārši saka, ka paroles ir “izjauktas”, tas ir satraucošāks. LinkedIn, piemēram, sajauca savas paroles, bet tās ne sālīja, tāpēc tas bija liels darījums, kad 2012.gadā LinkedIn zaudēja 6,5 ​​milj..

    Slikta parole

    Tas nav visgrūtākais, ko īstenot, bet daudzas vietnes joprojām var izjaukt to dažādos veidos:

    • Paroļu saglabāšana vienkāršā tekstā: Tā vietā, lai apgrūtinātu hashing, daži no sliktākajiem likumpārkāpējiem var vienkārši izdzēst paroles vienkāršā teksta formātā datu bāzē. Ja šāda datu bāze ir apdraudēta, jūsu paroles acīmredzami tiek apdraudētas. Tas nebūtu svarīgi, cik spēcīgi viņi bija.
    • Paroles lietošana bez sālīšanas: Daži pakalpojumi var izmainīt paroles un atteikties no tām, izvēloties neizmantot sāļus. Šādas paroles datu bāzes būtu ļoti neaizsargātas pret meklēšanas tabulām. Uzbrucējs var radīt daudzas paroles, un pēc tam pārbaudīt, vai tās ir datu bāzē - viņi varēja to darīt katram kontam uzreiz, ja netika izmantots sāls.
    • Sāls atkārtota izmantošana: Daži pakalpojumi var izmantot sāli, taču tie var atkārtoti izmantot to pašu sāli katrai lietotāja konta parolei. Tas ir bezjēdzīgi, ja katram lietotājam izmantots tāds pats sāls, diviem lietotājiem ar to pašu paroli būtu tāds pats hash.
    • Īso sāļu izmantošana: Ja tiek izmantoti tikai dažu ciparu sāļi, būtu iespējams izveidot meklēšanas tabulas, kurās iekļauts viss iespējamais sāls. Piemēram, ja viens sāls tika izmantots kā sāls, uzbrucējs var viegli izveidot sarakstus, kuros ir ietverti visi iespējamie sāļi.

    Uzņēmumi ne vienmēr pateiks visu stāstu, tāpēc, pat ja viņi saka, ka parole ir izjaukta (vai nomākta un sālīta), viņi, iespējams, neizmanto labāko praksi. Vienmēr piesardzīgi.

    Citas bažas

    Iespējams, ka sāls vērtība ir arī paroles datu bāzē. Tas nav tik slikti, ja katram lietotājam tika izmantota unikāla sāls vērtība, uzbrucējiem būtu jāpavada milzīgs daudzums CPU jaudas, pārkāpjot visas šīs paroles.

    Praksē tik daudzi cilvēki izmanto acīmredzamas paroles, kas, iespējams, būtu viegli noteikt daudzu lietotāju kontu paroles. Piemēram, ja uzbrucējs zina jūsu hash un viņi zina jūsu sāli, viņi var viegli pārbaudīt, vai izmantojat dažas no visbiežāk lietotajām parolēm.

    Ja uzbrucējs to dara jums un vēlas izlaist jūsu paroli, viņi to var izdarīt ar brutālu spēku, kamēr viņi zina sāls vērtību, ko viņi, iespējams, dara. Izmantojot vietējo, bezsaistes piekļuvi paroles datu bāzēm, uzbrucēji var izmantot visus brutālu spēku uzbrukumus, ko viņi vēlas.

    Citi personas dati, iespējams, arī noplūst, kad tiek nozagta paroles datu bāze: lietotājvārdi, e-pasta adreses un citi. Yahoo noplūdes gadījumā noplūda arī drošības jautājumi un atbildes, kas, kā mēs visi zinām, atvieglo piekļuvi kādam kontam.

    Palīdzība, kas man jādara?

    Neatkarīgi no pakalpojuma teikuma, kad tiek nozagta paroles datu bāze, vislabāk ir pieņemt, ka katrs pakalpojums ir pilnīgi nekompetents un attiecīgi darbojas.

    Pirmkārt, atkārtoti neizmantojiet paroles vairākās vietnēs. Izmantojiet paroles pārvaldnieku, kas ģenerē unikālas paroles katrai vietnei. Ja uzbrucējs izdodas atklāt, ka jūsu parole pakalpojumam ir “43 ^ Sd% 7uho2 # 3” un lietojat šo paroli tikai vienā konkrētā tīmekļa vietnē, viņi neko nedarīja par noderīgu. Ja visur izmantojat to pašu paroli, viņi var piekļūt citiem jūsu kontiem. Tas ir, cik daudz cilvēku kontu kļūst "hacked".

    Ja pakalpojums tiek apdraudēts, noteikti mainiet tajā lietoto paroli. Jums arī jāmaina parole citās vietnēs, ja jūs to atkārtoti izmantojat, bet jums nevajadzētu to darīt vispirms.

    Jums vajadzētu arī apsvērt iespēju izmantot divu faktoru autentifikāciju, kas aizsargās jūs pat tad, ja uzbrucējs uzzina jūsu paroli.

    Vissvarīgākais nav paroles atkārtota izmantošana. Kompromitētas paroles datu bāzes nevar kaitēt jums, ja jūs izmantojat unikālu paroli visur - ja vien tie neuzglabā kaut ko citu svarīgu datubāzē, piemēram, jūsu kredītkartes numuru.

    Attēla kredīts: Marc Falardeau par Flickr, Wikimedia Commons