Miks peaksite muretsema, kui teenuse parooli andmebaas lekib

Sisukord:

Miks peaksite muretsema, kui teenuse parooli andmebaas lekib
Miks peaksite muretsema, kui teenuse parooli andmebaas lekib

Video: Miks peaksite muretsema, kui teenuse parooli andmebaas lekib

Video: Miks peaksite muretsema, kui teenuse parooli andmebaas lekib
Video: Cloud Computing - Computer Science for Business Leaders 2016 - YouTube 2024, Märts
Anonim
"Meie parooli andmebaas oli varastatud eile. Kuid ärge muretsege: teie paroolid on krüptitud. "Korraldame regulaarselt selliseid avaldusi, nagu see on Internetis, sealhulgas eile, Yahooilt. Kuid kas peaksime tõepoolest võtma neid tagatisi nimiväärtusega?
"Meie parooli andmebaas oli varastatud eile. Kuid ärge muretsege: teie paroolid on krüptitud. "Korraldame regulaarselt selliseid avaldusi, nagu see on Internetis, sealhulgas eile, Yahooilt. Kuid kas peaksime tõepoolest võtma neid tagatisi nimiväärtusega?

Reaalsus on see, et salasõnade andmebaas kompromisse on muret, ükskõik, kuidas ühing võiks seda üritada. Kuid seal on mõned asjad, mida saate ise isoleerida, olenemata sellest, kui halb on ettevõtte julgeolekualane praktika.

Kuidas paroole peaks olema salvestatud

Siin on, kuidas ettevõtted peaksid paroolid salvestama ideaalmaailmas: loote konto ja esitate parooli. Selle asemel, et salasõna ise salvestada, genereerib teenus paroolist hash. See on unikaalne sõrmejälg, mida ei saa ümber pöörata. Näiteks parooli "parool" võib muutuda selliseks, mis näeb välja rohkem nagu "4jfh75to4sud7gh93247g …". Kui sisestate parooli, et sisse logida, teenib teenus sellest räsi ja kontrollib, kas räsiväärtus vastab andmebaasis salvestatud väärtusele. Teenus kunagi ei salvesta oma parooli kettale.

Et määrata oma tegelik salasõna, peaks ründaja, kellel on juurdepääs andmebaasile, arvutama eelnevalt ressursid tavaliste paroolide jaoks ja seejärel kontrollima, kas need on andmebaasis olemas. Ründajad teevad seda otsingu tabelitega - suured varjunimekirjad, mis vastavad paroolidele. Rähte saab seejärel võrrelda andmebaasiga. Näiteks ründaja teab räsi "password1" jaoks ja seejärel näen, kas mõni andmebaasi kontod kasutavad seda räsi. Kui need on, siis ründaja teab, et nende salasõna on "password1".
Et määrata oma tegelik salasõna, peaks ründaja, kellel on juurdepääs andmebaasile, arvutama eelnevalt ressursid tavaliste paroolide jaoks ja seejärel kontrollima, kas need on andmebaasis olemas. Ründajad teevad seda otsingu tabelitega - suured varjunimekirjad, mis vastavad paroolidele. Rähte saab seejärel võrrelda andmebaasiga. Näiteks ründaja teab räsi "password1" jaoks ja seejärel näen, kas mõni andmebaasi kontod kasutavad seda räsi. Kui need on, siis ründaja teab, et nende salasõna on "password1".

Selle vältimiseks peaksid teenused "soola" oma räsi. Selle asemel, et luua räsi paroolist ise, lisavad nad parooli esiküljele või lõpus juhusliku stringi, enne kui see on helista. Teisisõnu sisestab kasutaja parooli "parool" ja teenus lisab soola ja rägastab parooli, mis näeb välja rohkem kui "password35s2dg." Igal kasutajakontol peaks olema oma unikaalne sool ja see tagaks, et iga kasutajakonto oleks oma andmebaasi parooliga erinev räsiväärtus. Isegi kui mitmed kontod kasutavad parooli "password1", on neil erinevate soolavärtuste tõttu erinevad räsid. See võita ründaja, kes proovis paroole räsi eelnevalt arvutada. Selle asemel, et oleks võimalik genereerida hashesid, mida rakendatakse kõikidele kasutajakontodele kogu andmebaasis korraga, peavad nad iga kasutaja konto ja selle ainulaadse soola jaoks andma unikaalseid happeid. See võtab palju rohkem aega ja mälu.

Seepärast ütlevad sageli, et teenused ei muretse. Teenus, mis kasutab asjakohaseid turvaprotseduure, peaks ütlema, et nad kasutasid soolatud paroolhaigusi. Kui nad lihtsalt ütlevad, et paroolid on "räsitud", on see murettekitavam. LinkedIn räsitses näiteks oma paroole, kuid nad ei soolinud neid - nii oli tegemist suurte tehingutega, kui LinkedIn kaotas 2012. aastal 6,5 miljonit hashitud parooli.

Halva parooli tavad

See pole kõige raskem asi, mida rakendada, kuid paljudel veebisaitidel õnnestub see siiski mitmel viisil segamini ajada:
See pole kõige raskem asi, mida rakendada, kuid paljudel veebisaitidel õnnestub see siiski mitmel viisil segamini ajada:
  • Paroolide salvestamine tavalises tekstis: Hingamise asemel võivad mõned halvimad õigusrikkujad hõlpsasti paroolid tavalises tekstivormis andmebaasist vabastada. Kui selline andmebaas on kahjustatud, on teie paroolid ilmselgelt kahjustatud. Pole tähtis, kui tugev see oli.
  • Hoidke paroole ilma nende soolata: Mõned teenused võivad räsida paroole ja loobuda seal, valides mitte kasutada soolasid. Sellised paroolide andmebaasid oleksid väga haavatavad otsimislauale. Ründaja võib mitmete paroolide jaoks ressursse genereerida ja seejärel kontrollida, kas nad andmebaasis eksisteerivad - nad saavad seda korraga iga konto jaoks teha, kui soola pole kasutatud.
  • Soolade taaskasutamine: Mõned teenused võivad kasutada soola, kuid nad võivad kasutada sama soola iga kasutaja konto parooli jaoks. See on mõttetu - kui iga kasutaja jaoks kasutataks sama soola, oleks kahel sama parooliga kasutajal sama räsi.
  • Lühikeste soolade kasutamine: Kui kasutatakse vaid mõne numbri soolasid, oleks võimalik luua otsingulaute, mis sisaldasid kõiki võimalikke soola. Näiteks, kui soola kasutati ühte numbrit, võib ründaja hõlpsasti genereerida hashide loendeid, mis sisaldasid kõiki võimalikke soolasid.

Ettevõtted ei anna teile alati kogu lugu, nii et isegi siis, kui nad ütlevad, et parool oli räsitud (või räsitud ja soolatud), ei pruugi nad parimaid tavasid kasutada. Alati eksige ettevaatlikult.

Muud probleemid

On tõenäoline, et soola väärtus on olemas ka parooliga andmebaasis. See pole nii halb - kui iga kasutaja jaoks kasutaks ainulaadset soola väärtust, peaksid ründajad kulutama tohutul hulgal CPU võimsust, mis rikub kõiki neid paroole.

Praktikas kasutavad nii paljud inimesed selgeid paroole, et oleks tõenäoliselt lihtne kindlaks määrata paljusid kasutajakontode paroole. Näiteks kui ründaja teab teie räsi ja nad tunnevad teie soola, saavad nad lihtsalt kontrollida, kas kasutate mõnda kõige tavalisemat parooli.

Kui ründaja on sulle ja tahab parooli murda, saavad nad seda teha jõuliselt, kui nad tunnevad soola väärtust - mida nad tõenäoliselt teevad.Kohaliku, võrguühenduseta juurdepääsu parooliga andmebaasidele saavad ründajad kasutada kõiki soovitud rütmisjõu rünnakuid.

Kui salasõna andmebaas on varastatud, levivad ka muud isiklikud andmed: kasutajanimed, e-posti aadressid ja palju muud. Yahoo lekke korral leidsid ka turvaküsimused ja vastused - mis, nagu me kõik teame, lihtsustab juurdepääsu kellelegi kontole.

Abi, mida ma peaksin tegema?

Mis tahes teenus ütleb, kui parooli andmebaas on varastatud, on kõige parem eeldada, et iga teenus on täiesti ebakompetentne ja toimib vastavalt.

Esiteks ärge kordustage paroole enamatel veebisaitidel. Kasuta paroolijuhti, mis genereerib iga veebisaidi jaoks unikaalseid paroole. Kui ründaja õnnestub avastama, et teie teenuse parool on "43 ^ tSd% 7uho2 # 3" ja te kasutate seda parooli ainult sellel konkreetsel veebisaidil, ei ole nad õppinud midagi kasulikku. Kui kasutate ühesugust parooli kõikjal, saavad nad juurdepääsu teie teistele kontodele. See on, kui palju inimeste kontosid hakatakse häkkima.

Kui teenus muutub ohtu, muutke kindlasti seal kasutatavat parooli. Kui soovite seda seal uuesti kasutada, peaksite muude paroolide muutma ka muudel saitidel, kuid te ei peaks seda kõigepealt tegema.
Kui teenus muutub ohtu, muutke kindlasti seal kasutatavat parooli. Kui soovite seda seal uuesti kasutada, peaksite muude paroolide muutma ka muudel saitidel, kuid te ei peaks seda kõigepealt tegema.

Samuti peaksite kaaluma kaheteguri autentimise kasutamist, mis kaitseb teid isegi siis, kui ründaja teie parooli saab.

Kõige tähtsam on paroolide korduskasutamine. Hävitatud parooliga andmebaasid ei saa teile haiget, kui kasutate ainulaadset parooli kõikjal - kui nad ei salvesta andmebaasis midagi muud olulist, nagu teie krediitkaardi number.

Soovitan: