Kodėl turėtumėte jaudintis, kai „Service“ slaptažodžių duomenų bazė yra išleista
„Mūsų slaptažodžių duomenų bazė buvo pavogta vakar. Tačiau nesijaudinkite: jūsų slaptažodžiai buvo užšifruoti. “Mes reguliariai matome tokius pareiškimus kaip internete, įskaitant ir vakar, iš„ Yahoo “. Bet ar turėtume iš tikrųjų atsižvelgti į šias garantijas pagal nominalią vertę?
Realybė yra ta, kad slaptažodžių duomenų bazės kompromisai yra nerimaujama, nesvarbu, kaip bendrovė gali bandyti ją sukti. Tačiau yra keletas dalykų, kuriuos galite padaryti, norėdami izoliuoti save, nesvarbu, kokia yra įmonės saugumo praktika.
Kaip turėtų būti saugomi slaptažodžiai
Štai kaip įmonės turėtų saugoti slaptažodžius idealiame pasaulyje: kuriate paskyrą ir pateikiate slaptažodį. Vietoj to, kad pats slaptažodis būtų saugomas, ši paslauga generuoja „slaptažodį“ iš slaptažodžio. Tai unikalus pirštų atspaudas, kurio negalima pakeisti. Pavyzdžiui, slaptažodis „slaptažodis“ gali tapti kažkuo, kuris atrodo labiau panašus į „4jfh75to4sud7gh93247g…“. Kai įvesite slaptažodį, kad galėtumėte prisijungti, paslauga generuoja iš jo maišos ir patikrina, ar maišos vertė atitinka duomenų bazėje saugomą vertę. Jokiu būdu paslauga niekada neišsaugo jūsų slaptažodžio diske.
Kad nustatytumėte savo tikrąjį slaptažodį, užpuolikas, turintis prieigą prie duomenų bazės, turėtų iš anksto apskaičiuoti bendrų slaptažodžių srautus ir tada patikrinti, ar jie yra duomenų bazėje. Užpuolikai tai daro su paieškos lentelėmis - didžiuliais slaptažodžių sąrašais. Tada maišos gali būti lyginamos su duomenų baze. Pvz., Užpuolikas žinotų „slaptažodį1“ užklausą ir tada pamatys, ar duomenų bazėje yra tos paskyros. Jei taip, užpuolikas žino, kad jų slaptažodis yra „slaptažodis1“.
Siekiant to išvengti, paslaugos turėtų „druskoti“ jų maišus. Vietoj to, kad iš slaptažodžio būtų sukurta maišymo sistema, jie prideda atsitiktinę eilutę prie slaptažodžio priekio arba pabaigos, prieš jį išjungdami. Kitaip tariant, vartotojas įvestų slaptažodį „slaptažodis“, o paslauga pridėtų druską ir maišyti slaptažodį, kuris atrodo labiau panašus į „password35s2dg“. duomenų bazėje būtų kitokia jų slaptažodžio vertė. Net jei keliose sąskaitose buvo naudojamas slaptažodis „password1“, dėl skirtingų druskos verčių jie turi skirtingus maišus. Tai nugalėtų užpuoliklį, kuris bandė iš anksto apskaičiuoti slaptažodžius slaptažodžiams. Vietoj to, kad būtų galima generuoti maišus, kurie vienu metu buvo taikomi kiekvienai vartotojo abonementui visoje duomenų bazėje, jie turėtų sukurti unikalius maišus kiekvienai vartotojo abonementui ir unikaliajai druskai. Tai užtruks daug daugiau skaičiavimo laiko ir atminties.
Todėl tarnybos dažnai sako, kad nerimauti. Paslauga, kurioje naudojamos tinkamos saugumo procedūros, turėtų pasakyti, kad jie naudoja sūdytus slaptažodžius. Jei jie tiesiog sako, kad slaptažodžiai yra „išnykę“, tai kelia nerimą. Pavyzdžiui, „LinkedIn“ sugriovė savo slaptažodžius, tačiau jie nesūdijo, todėl „LinkedIn“ 2012 m. Prarado 6,5 mln..
Netinkamas slaptažodžių naudojimas
Tai ne pats sunkiausias dalykas, kurį reikia įgyvendinti, tačiau daugelis svetainių vis dar sugeba ją sulaikyti įvairiais būdais:
- Slaptažodžių išsaugojimas paprastu tekstu: Užuot varginant su maišymu, kai kurie blogiausi nusikaltėliai gali tiesiog nuskaityti slaptažodžius paprasto teksto formoje į duomenų bazę. Jei tokia duomenų bazė yra pažeista, jūsų slaptažodžiai yra akivaizdžiai pažeisti. Nesvarbu, kaip stiprūs jie buvo.
- Slaptažodžių persekiojimas be jų sūdymo: Kai kurios paslaugos gali maišyti slaptažodžius ir atsisakyti ten, pasirinkdami nenaudoti druskų. Tokios slaptažodžių duomenų bazės būtų labai pažeidžiamos paieškos lentelėse. Užpuolikas gali generuoti daug slaptažodžių ir tada patikrinti, ar jie egzistavo duomenų bazėje - jie galėjo tai padaryti kiekvienai paskyrai iš karto, jei nebuvo naudojama druska..
- Naudojant druskas: Kai kurios paslaugos gali naudoti druską, tačiau jos gali naudoti tą pačią druską kiekvienam vartotojo abonemento slaptažodžiui. Tai beprasmiška, jei kiekvienas vartotojas naudojo tą pačią druską, du vartotojai, turintys tą patį slaptažodį, turėtų tą patį maišą.
- Trumpų druskų naudojimas: Jei naudojamos tik kelių skaitmenų druskos, būtų galima sukurti paieškos lenteles, kuriose būtų įtrauktos visos galimos druskos. Pvz., Jei vienintelis skaitmuo buvo naudojamas kaip druska, užpuolikas gali lengvai generuoti maišų sąrašus, kuriuose buvo įtrauktos visos galimos druskos.
Įmonės ne visada pasakys jums visą istoriją, taigi, net jei jie sako, kad slaptažodis buvo išnykęs (arba išnykęs ir sūdytas), jie gali nesinaudoti geriausia praktika. Visada klaidingai elkitės atsargiai.
Kiti klausimai
Tikėtina, kad druskos vertė yra ir slaptažodžių duomenų bazėje. Tai ne taip, kad, jei kiekvienam vartotojui buvo naudojama unikali druskos vertė, užpuolikai turėtų išleisti didžiulį kiekį procesoriaus galios, nutraukdami visus tuos slaptažodžius.
Praktiškai tiek daug žmonių naudoja akivaizdžius slaptažodžius, kuriuos būtų galima lengvai nustatyti daugeliui vartotojų abonementų slaptažodžių. Pvz., Jei užpuolikas žino jūsų maišelį ir jie žino jūsų druską, jie gali lengvai patikrinti, ar naudojate kai kuriuos dažniausius slaptažodžius.
Jei užpuolikas jį išeina ir nori įveikti jūsų slaptažodį, jie gali tai padaryti su brutalia jėga, kol jie žino druskos vertę, kurią jie tikriausiai daro. Naudodamiesi vietine, neprisijungus prieigos prie slaptažodžių duomenų bazėmis, užpuolikai gali panaudoti visas norimas jėgas.
Kiti pavardės duomenys taip pat gali nutekėti, kai pavogiama slaptažodžių duomenų bazė: naudotojų vardai, el. Pašto adresai ir kt. „Yahoo“ nuotėkio atveju taip pat nutekėjo saugumo klausimai ir atsakymai, kurie, kaip visi žinome, leidžia lengviau pavogti prieigą prie kažkieno paskyros.
Pagalba, ką turėčiau daryti?
Nepriklausomai nuo to, kokia paslauga sakoma, kai pavogta slaptažodžių duomenų bazė, geriausia manyti, kad kiekviena paslauga yra visiškai nekompetentinga ir atitinkamai veikia.
Pirma, pakartotinai nenaudokite slaptažodžių keliose svetainėse. Naudokite slaptažodžių tvarkyklę, kuri sukuria unikalius slaptažodžius kiekvienai svetainei. Jei užpuolikas sugeba atrasti, kad paslaugos slaptažodis yra „43 ^ Sd% 7uho2 # 3“ ir naudosite tą slaptažodį tik vienoje konkrečioje svetainėje, jie nieko išmokė. Jei visur naudojate tą patį slaptažodį, jie galėtų pasiekti kitas paskyras. Tai, kiek žmonių sąskaitų tampa „nulaužtos“.
Jei paslauga tampa netinkama, pakeiskite ten naudojamą slaptažodį. Jūs taip pat turėtumėte pakeisti slaptažodį kitose svetainėse, jei ją dar kartą panaudosite, bet neturėtumėte to daryti pirmiausia.
Taip pat turėtumėte apsvarstyti galimybę naudoti dviejų veiksnių autentifikavimą, kuris apsaugo jus net ir tada, kai užpuolikas sužino slaptažodį.
Svarbiausias dalykas yra ne pakartotinis slaptažodžių naudojimas. Sutrikusios slaptažodžių duomenų bazės jums negali pakenkti, jei visur naudojate unikalų slaptažodį - nebent jie saugotų kažką kito svarbaus duomenų bazėje, kaip ir jūsų kredito kortelės numeris.
Vaizdo kreditas: Marc Falardeau, „Flickr“, „Wikimedia Commons“