Miks peaksite muretsema, kui teenuse paroolide andmebaas on lekkinud
„Meie parooli andmebaas varastati eile. Kuid ärge muretsege: teie paroolid on krüpteeritud. ”Näeme regulaarselt selliseid avaldusi võrgus, sealhulgas eile, Yahoo'st. Aga kas me peaksime need tagatised tõesti võtma nimiväärtusega?
Reaalsus on see, et paroolide andmebaasi kompromissid on muret, olenemata sellest, kuidas ettevõte seda proovida püüab. Kuid on mõned asjad, mida saate teha, et isoleerida, olenemata sellest, kui halb on ettevõtte turvapraktika.
Kuidas paroolid tuleks salvestada
Siin on, kuidas ettevõtted peaksid paroolid ideaalses maailmas salvestama: loote konto ja esitate parooli. Selle asemel, et salvestada parool ise, genereerib teenus paroolist „räsi”. See on unikaalne sõrmejälg, mida ei saa ümber pöörata. Näiteks võib parool „parool” muutuda midagi selliseks, mis tundub pigem “4jfh75to4sud7gh93247g…”. Kui sisestate oma parooli sisselogimiseks, genereerib teenus sellest räsi ja kontrollib, kas räsiväärtus vastab andmebaasis salvestatud väärtusele. Mingil hetkel ei pääse teenus kunagi parooli ise kettale.
Teie tegeliku parooli kindlaksmääramiseks peaks andmebaasi juurde pääsev ründaja eelnevalt arvutama tavaliste paroolide räsid ja seejärel kontrollima, kas need on andmebaasis olemas. Ründajad teevad seda otsingu tabelite abil, mis sisaldavad suuri paroole sisaldavate hashide nimekirju. Seejärel võib hashes võrrelda andmebaasi. Näiteks ründaja teaks parooli1 parooli ja vaataks seejärel, kas andmebaasis olevad kontod kasutavad seda räsi. Kui on, siis ründaja teab, et nende parool on „password1”.
Selle vältimiseks peaksid teenused "soolama" oma roogasid. Selle asemel, et luua paroolist räsi, lisavad nad enne selle vahetamist parooli algusesse või lõpuni. Teisisõnu, kasutaja sisestaks parooli "parool" ja teenus lisaks soola ja räsi parooli, mis näeb välja rohkem kui "password35s2dg." oleks parooli jaoks erinev andmebaasis. Isegi kui mitu kontot kasutasid parooli “password1”, on neil erinevad soolaväärtused. See võitis ründaja, kes üritas paroolide räsi eelarvutada. Selle asemel, et oleks võimalik genereerida kogu andmebaasis igale kasutajakontole rakendatud räsi, peaksid nad iga kasutajakonto ja selle ainulaadse soola jaoks looma unikaalsed hashid. See võtaks palju rohkem arvutamise aega ja mälu.
Seetõttu ütlevad teenused sageli, et mitte muretseda. Teenus, mis kasutab nõuetekohaseid turvameetmeid, peaks ütlema, et nad kasutasid soolatud parooli hash. Kui nad lihtsalt ütlevad, et paroolid on "räsitud", on see murettekitavam. LinkedIn on näiteks oma paroole hõivanud, kuid nad ei sooldanud neid, nii et see oli suur asi, kui LinkedIn kaotas 2012. aastal 6,5 miljonit räsitud parooli.
Halb paroolipraktika
See ei ole kõige raskem rakendada, kuid paljudel veebisaitidel õnnestub meil seda mitmel viisil segi ajada:
- Paroolide salvestamine lihttekstina: Selle asemel, et häirida segadust, võivad mõned kõige hullemad õigusrikkujad lihtsalt paroolid lihtsalt tekstivormingus andmebaasi. Kui selline andmebaas on ohustatud, on teie paroolid ilmselt ohustatud. Ei oleks oluline, kui tugevad nad olid.
- Paroolide äratamine ilma nende soolata: Mõned teenused võivad paroole vahetada ja sealt loobuda, valides mitte kasutada soolasid. Sellised paroolide andmebaasid oleksid tabelite jaoks väga haavatavad. Ründaja võib genereerida palju paroole ja seejärel kontrollida, kas need on andmebaasis olemas - nad saaksid seda teha iga konto puhul kohe, kui soola ei kasutatud.
- Soolade korduvkasutamine: Mõned teenused võivad kasutada soola, kuid nad võivad iga kasutajakonto parooli jaoks sama soola uuesti kasutada. See on mõttetu - kui iga kasutaja jaoks kasutati sama soola, siis oleks kaks sama parooliga kasutajat sama räsi.
- Lühike soolade kasutamine: Kui kasutatakse vaid mõne numbri sooli, oleks võimalik luua otsingu tabeleid, mis sisaldaksid kõiki võimalikke soolasid. Näiteks, kui soolana kasutati ühte numbrit, võib ründaja hõlpsasti koostada räsi, mis sisaldas kõiki võimalikke soolasid.
Ettevõtted ei ütle sulle alati kogu lugu, nii et isegi kui nad ütlevad, et parool on räsitud (või räsitud ja soolatud), ei pruugi nad parimat tava kasutada. Vea alati ettevaatlikult.
Muud mured
On tõenäoline, et soola väärtus on olemas ka paroolide andmebaasis. See ei ole nii, et iga kasutaja jaoks kasutataks unikaalset soola väärtust, peaksid ründajad kulutama tohutult palju CPU võimsust, rikkudes kõiki neid paroole.
Praktikas kasutavad nii paljud inimesed ilmselgeid paroole, et paljude kasutajakontode paroolide määramine oleks tõenäoliselt lihtne. Näiteks kui ründaja teab teie räsi ja nad teavad teie soola, saavad nad hõlpsasti kontrollida, kas kasutate mõnda kõige levinumat parooli.
Kui ründajal on see sinu jaoks ja ta tahab parooli lõhkuda, saavad nad seda teha jõuga, kui nad teavad soola väärtust, mida nad tõenäoliselt teevad. Kohaliku, võrguühenduseta parooliandmebaasidele juurdepääsuga saavad ründajad kasutada kõiki soovimatuid rünnakuid.
Teised isikuandmed lekivad tõenäoliselt parooli andmebaasi varguse korral: kasutajanimed, e-posti aadressid jms. Yahoo lekke korral lekkisid ka turvalisuse küsimused ja vastused, mis, nagu me kõik teame, lihtsustavad juurdepääsu mõne inimese kontole.
Abi, mida ma peaksin tegema?
Ükskõik, mida teenus ütleb, kui tema paroolide andmebaas on varastatud, on kõige parem eeldada, et iga teenus on täiesti ebakompetentne ja toimib vastavalt.
Esiteks, ärge kasutage paroolide korduvkasutamist mitmel veebilehel. Kasutage paroolihaldurit, mis loob iga veebisaidi jaoks unikaalsed paroolid. Kui ründajal õnnestub avastada, et teenuse parool on „43 ^ Sd% 7uho2 # 3” ja kasutate seda parooli ainult selles konkreetses veebisaidil, ei ole nad midagi kasu saanud. Kui kasutate sama parooli kõikjal, saavad nad teie teistesse kontodesse juurde pääseda. See on nii palju inimeste kontosid "häkkinud".
Kui teenus muutub ohtlikuks, muutke kindlasti seal kasutatavat parooli. Te peaksite parooli muutma ka muudel saitidel, kui kasutate seda seal uuesti - aga te ei tohiks seda teha kõigepealt.
Peaksite kaaluma ka kahe faktoriga autentimist, mis kaitseb teid isegi siis, kui ründaja õpib teie parooli.
Kõige tähtsam ei ole paroolide korduvkasutamine. Rikutud paroolide andmebaasid ei saa sulle haiget teha, kui kasutate kõikjal unikaalset parooli - kui nad ei talletanud andmebaasis midagi muud, nagu teie krediitkaardi number.
Pildikrediit: Marc Falardeau, Flickr, Wikimedia Commons