Kotisivu » miten » Miksi sinun pitäisi huolehtia aina, kun palvelun salasanan tietokanta on poistettu

    Miksi sinun pitäisi huolehtia aina, kun palvelun salasanan tietokanta on poistettu

    ”Salasana-tietokanta varastettiin eilen. Mutta älä huoli: salasanat on salattu. ”Näemme säännöllisesti tämänkaltaisia ​​julkilausumia verkossa, myös eilen, Yahoo: lta. Mutta pitäisikö meidän todella ottaa nämä vakuutukset nimellisarvolla?

    Todellisuus on, että salasanatietokanta kompromissit olemme huolenaihe, riippumatta siitä, miten yritys voi yrittää pyörittää sitä. Mutta on olemassa muutamia asioita, joita voit tehdä itsesi eristämiseksi riippumatta siitä, kuinka huono yrityksen turvallisuuskäytännöt ovat.

    Miten salasanat tulisi tallentaa

    Seuraavassa kuvataan, miten yritykset tallentavat salasanoja ihanteellisessa maailmassa: luot tilin ja annat salasanan. Salasanan tallentamisen sijaan palvelu luo salasanasta ”hajautuksen”. Tämä on ainutlaatuinen sormenjälki, jota ei voi peruuttaa. Esimerkiksi salasana ”salasana” voi muuttua sellaiseksi, joka näyttää enemmän ”4jfh75to4sud7gh93247g…”. Kun kirjoitat salasanasi kirjautuaksesi sisään, palvelu luo siitä hajautuksen ja tarkistaa, onko hash-arvo tietokantaan tallennetun arvon mukainen. Palvelu ei koskaan tallenna salasanaa itse levylle.

    Todellisen salasanan määrittämiseksi tietokannan käyttöoikeuden omaavan hyökkääjän olisi ensin laskettava tavallisten salasanojen hajautukset ja tarkistettava sitten, onko ne olemassa tietokannassa. Hyökkääjät tekevät tämän hakupöydillä - valtavia luetteloita salasanoista. Hajut voidaan sitten verrata tietokantaan. Hyökkääjä tietää esimerkiksi salasanan1 salasanan ja tarkistaa sitten, onko tietokannassa olevia tilejä käytössä. Jos ne ovat, hyökkääjä tietää, että heidän salasanansa on "salasana1".

    Tämän estämiseksi palvelujen tulisi "suolaa" niiden hajautus. Sen sijaan, että luotaisiin salasanasta itsensä, ne lisäävät satunnaisen merkkijonon salasanan eteen tai päähän ennen sen hämmentämistä. Toisin sanoen käyttäjä kirjoittaisi salasanan ”salasana”, ja palvelu lisäisi suolan ja hajautuksen salasanan, joka näyttää enemmän kuin “password35s2dg”. Jokaisella käyttäjätilillä olisi oltava oma ainutlaatuinen suolansa, ja tämä varmistaisi, että jokainen käyttäjätili olisi erilainen hash-arvo niiden salasanalle tietokannassa. Vaikka salasanalla "password1" käytettäisiin useita tilejä, niillä olisi erilaisia ​​hajautuksia eri suolan arvojen vuoksi. Tämä voittaisi hyökkääjän, joka yritti laskea hajautuksia salasanoja varten. Sen sijaan, että he pystyisivät tuottamaan räätälöityjä hajautuksia, joita sovellettiin kaikkiin tietokantaan koko tietokannassa kerrallaan, heidän olisi luotava ainutlaatuisia hajautuksia jokaiselle käyttäjätilille ja sen ainutlaatuiselle suolalle. Tämä vie paljon enemmän laskenta-aikaa ja muistia.

    Siksi palvelut usein sanovat, etteivät huoli. Palvelu, jossa käytetään asianmukaisia ​​turvamenettelyjä, pitäisi sanoa, että he käyttivät suolattua salasanahiertoa. Jos he yksinkertaisesti sanovat, että salasanat ovat hajallaan, se on huolestuttavampaa. Esimerkiksi LinkedIn hajautti salasanansa, mutta ne eivät suola niitä, joten se oli iso juttu, kun LinkedIn menetti 6,5 miljoonaa hajautettua salasanaa vuonna 2012.

    Huonot salasanat

    Tämä ei ole kaikkein vaikeinta toteuttaa, mutta monet sivustot voivat silti sotkea sen eri tavoin:

    • Salasanojen tallentaminen tavalliseen tekstiin: Sen sijaan, että häiritsisit hämmennystä, jotkin pahimmista rikoksista saattavat vain tyhjentää salasanat pelkkänä tekstimuodossa tietokantaan. Jos tällainen tietokanta vaarantuu, salasanat vaarantuvat ilmeisesti. Ei olisi väliä, kuinka vahvoja he olivat.
    • Salasanojen hajauttaminen ilman niiden suolaa: Jotkin palvelut saattavat hajauttaa salasanoja ja luopua sinne, koska he eivät halua käyttää suoloja. Tällaiset salasanatietokannat olisivat erittäin haavoittuvia hakutaulukoille. Hyökkääjä voi luoda hajauksia monille salasanoille ja tarkistaa sitten, onko niitä olemassa tietokannassa - he voisivat tehdä tämän jokaiselle tilille kerralla, jos suolaa ei käytetä.
    • Suolojen uudelleenkäyttö: Jotkin palvelut voivat käyttää suolaa, mutta ne voivat käyttää samaa suolaa jokaista käyttäjätunnusta varten. Tämä on turhaa - jos jokaiselle käyttäjälle käytettiin samaa suolaa, kahdella samaa salasanaa käyttävällä käyttäjällä olisi sama hash.
    • Lyhyiden suolojen käyttö: Jos käytetään vain muutaman numeron suoloja, olisi mahdollista luoda hakutaulukoita, jotka sisälsivät kaikki mahdolliset suolat. Esimerkiksi, jos yhtä numeroa käytettiin suolana, hyökkääjä voisi helposti luoda luetteloita hashista, jotka sisälsivät kaiken mahdollisen suolan.

    Yritykset eivät aina kerro koko tarinaa, joten vaikka he sanoisivat, että salasana on hajautettu (tai hajautettu ja suolattu), he eivät ehkä käytä parhaita käytäntöjä. Aina syytä olla varovainen.

    Muut huolenaiheet

    On todennäköistä, että suolan arvo on myös salasanan tietokannassa. Tämä ei ole huono, jos jokaiselle käyttäjälle käytettiin ainutlaatuista suolan arvoa, hyökkääjien olisi käytettävä suuria määriä CPU-virtaa rikkomalla kaikki nämä salasanat.

    Käytännössä niin monet ihmiset käyttävät ilmeisiä salasanoja, jotka todennäköisesti olisivat helposti määritettävissä monien käyttäjätunnusten salasanoissa. Jos hyökkääjä tietää esimerkiksi hajautuksen ja tuntevat suolasi, he voivat helposti tarkistaa, käytätkö joitakin yleisimpiä salasanoja.

    Jos hyökkääjä saa sen sinulle ja haluaa rikkoa salasanasi, he voivat tehdä sen raakavoimalla niin kauan kuin he tietävät suolan arvon, jonka he luultavasti tekevät. Paikallisilla, offline-yhteyksillä salasanan tietokantoihin hyökkääjät voivat käyttää kaikkia haluamiaan hyökkäyksiä.

    Muut henkilötiedot myös todennäköisesti vuotavat salasanan tietokannan varastamisen yhteydessä: käyttäjätunnukset, sähköpostiosoitteet ja paljon muuta. Jos kyseessä on Yahoo-vuoto, myös turvallisuuskysymykset ja -vastaukset olivat vuotaneet, mikä, kuten me kaikki tiedämme, helpottaa jonkun tilille pääsyn varastamista.

    Apua, mitä minun pitäisi tehdä?

    Mikä tahansa palvelu sanoo, kun sen salasanatietokanta varastetaan, on parasta olettaa, että jokainen palvelu on täysin epäpätevä ja toimii sen mukaisesti.

    Ensinnäkin, älä käytä uudelleen salasanoja useilla verkkosivuilla. Käytä salasananhallintaa, joka luo jokaiselle sivustolle yksilöllisiä salasanoja. Jos hyökkääjä havaitsee, että salasanasi palvelulle on "43 ^ Sd% 7uho2 # 3" ja käytät vain tätä salasanaa kyseisellä tietyllä verkkosivustolla, he eivät ole oppineet mitään hyödyllistä. Jos käytät samaa salasanaa kaikkialla, he voivat käyttää muita tilejäsi. Näin monien ihmisten tileistä tulee hakkeroituja.

    Jos palvelu muuttuu vaaraksi, vaihda siellä käytettävä salasana. Sinun pitäisi myös vaihtaa salasana muilla sivustoilla, jos käytät sitä uudelleen - mutta et pitäisi tehdä sitä ensin.

    Sinun pitäisi myös harkita kahden tekijän tunnistamista, joka suojaa sinua, vaikka hyökkääjä oppii salasanasi.

    Tärkeintä ei ole salasanojen uudelleenkäyttö. Vahingoittuneet salasanatietokannat eivät voi vahingoittaa sinua, jos käytät ainutkertaista salasanaa kaikkialla - ellei he tallenna jotain muuta tärkeää tietokantaan, kuten luottokorttisi numero.

    Kuvaluotto: Marc Falardeau Flickrissä, Wikimedia Commons