"Včera nám byla ukradena databáze hesel." Ale nebojte se: vaše hesla byla šifrována. “ Pravidelně vidíme takové výroky online, včetně včerejška, od Yahoo . Měli bychom ale tyto záruky skutečně brát v nominální hodnotě?
Realita je taková, že kompromisy v databázi hesel jsou problém, bez ohledu na to, jak se to společnost může pokusit roztočit. Existuje však několik věcí, které můžete udělat, abyste se izolovali, bez ohledu na to, jak špatné jsou bezpečnostní postupy společnosti.
Jak by měla být hesla ukládána
Takto by společnosti měly ukládat hesla v ideálním světě: vytvoříte si účet a zadáte heslo. Místo uložení samotného hesla služba vygeneruje z hesla „hash“. Jedná se o jedinečný otisk prstu, který nelze vrátit zpět. Například heslo „heslo“ se může změnit na něco, co vypadá spíše jako „4jfh75to4sud7gh93247g…“. Když zadáte heslo pro přihlášení, služba z něj vygeneruje hash a zkontroluje, zda se hodnota hash shoduje s hodnotou uloženou v databázi. Služba nikdy neuloží vaše vlastní heslo na disk.
Aby bylo možné určit vaše skutečné heslo, musel by útočník s přístupem k databázi předem vypočítat hodnoty hash pro běžná hesla a poté zkontrolovat, zda v databázi existují. Útočníci to dělají pomocí vyhledávacích tabulek - obrovských seznamů hash, které odpovídají heslům. Hodnoty hash lze poté porovnat s databází. Útočník by například znal hash pro „heslo1“ a poté by zjistil, zda nějaké hash používají nějaké účty v databázi. Pokud ano, útočník ví, že jejich heslo je „password1“.
Aby se tomu zabránilo, měly by služby „hasit“ své hashe. Místo toho, aby vytvořili hash ze samotného hesla, přidají na začátek nebo konec hesla náhodný řetězec, než jej zahašují. Jinými slovy, uživatel by zadal heslo „heslo“ a služba by přidala sůl a hash heslo, které vypadá spíše jako „password35s2dg“. Každý uživatelský účet by měl mít svou vlastní jedinečnou sůl, což by zajistilo, že každý uživatelský účet bude mít pro své heslo v databázi jinou hodnotu hash. I když heslo „heslo1“ používalo více účtů, měly by kvůli různým hodnotám solení různé hodnoty hash. To by porazilo útočníka, který se pokusil předem vypočítat hodnoty hash hesel. Místo toho, aby mohli generovat hashe, které se aplikovaly na každý uživatelský účet v celé databázi najednou, museli by generovat jedinečné hashe pro každý uživatelský účet a jeho jedinečnou sůl. To by zabralo mnohem více výpočetního času a paměti.
To je důvod, proč služby často říkají, že si nemusíte dělat starosti. Služba používající správné bezpečnostní postupy by měla říci, že používala hash solených hesel. Pokud jednoduše říkají, že hesla jsou „hašována“, je to znepokojivější. LinkedIn například hashoval svá hesla, ale nezasolili je - takže to byl velký problém když LinkedIn v roce 2012 ztratil 6,5 milionu hashovaných hesel .
Chybné postupy při používání hesla
To není nejtěžší věc implementovat, ale mnoho webů to stále dokáže pokazit různými způsoby:
- Ukládání hesel v prostém textu : Někteří z nejhorších pachatelů mohou namísto toho, aby se trápili hašováním, jednoduše vypsat hesla v prostém textu do databáze. Pokud je taková databáze ohrožena, vaše hesla jsou zjevně ohrožena. Nezáleželo by na tom, jak silné byly.
- Hašování hesel bez jejich solení : Některé služby mohou hashovat hesla a vzdát se tam, pokud nebudou používat soli. Takové databáze hesel by byly velmi citlivé na vyhledávací tabulky. Útočník by mohl vygenerovat hodnoty hash pro mnoho hesel a poté zkontrolovat, zda existují v databázi - mohl by to udělat pro každý účet najednou, pokud by nebyla použita žádná sůl.
- Opakované použití solí : Některé služby mohou používat sůl, ale mohou znovu použít stejnou sůl pro každé heslo uživatelského účtu. To je zbytečné - pokud by byla pro každého uživatele použita stejná sůl, dva uživatelé se stejným heslem by měli stejný hash.
- Používání krátkých solí : Pokud se použijí soli jen několika číslic, bylo by možné vygenerovat vyhledávací tabulky, které by obsahovaly všechny možné soli. Například pokud by byla jako sůl použita jedna číslice, mohl by útočník snadno vygenerovat seznam hashů, které obsahovaly všechny možné soli.
Společnosti vám neřeknou vždy celý příběh, takže i když říkají, že heslo bylo hashováno (nebo hashováno a soleno), nemusí používat osvědčené postupy. Vždy chybujte na straně opatrnosti.
Jiné obavy
Je pravděpodobné, že hodnota soli je také přítomna v databázi hesel. To není tak špatné - pokud by byla pro každého uživatele použita jedinečná hodnota solí, museli by útočníci utratit obrovské množství energie procesoru prolomením všech těchto hesel.
V praxi tolik lidí používá zjevná hesla, takže by bylo pravděpodobně snadné určit hesla mnoha uživatelských účtů. Pokud například útočník zná váš hash a zná vaši sůl, může snadno zkontrolovat, zda používáte některá z nejběžnějších hesel.
PŘÍBUZNÝ: Jak útočníci vlastně hackují účty online a jak se chránit
Pokud to má útočník za vás a chce prolomit vaše heslo, může to udělat hrubou silou, pokud zná hodnotu soli - což pravděpodobně dělá. S místním offline přístupem k databázím hesel mohou útočníci zaměstnat všechnu hrubost silové útoky chtějí.
Při odcizení databáze hesel pravděpodobně také uniknou další osobní údaje: uživatelská jména, e-mailové adresy a další. V případě úniku Yahoo došlo také k úniku bezpečnostních otázek a odpovědí - což, jak všichni víme, usnadňuje krádež přístupu k účtu někoho jiného.
Pomoc, co mám dělat?
Ať už služba řekne cokoli, když dojde ke krádeži databáze hesel, je nejlepší předpokládat, že každá služba je zcela nekompetentní, a podle toho jednat.
Nejprve nepoužívejte hesla na více webech. Použijte správce hesel, který generuje jedinečná hesla pro každý web . Pokud se útočníkovi podaří zjistit, že vaše heslo pro službu je „43 ^ tSd% 7uho2 # 3“ a toto heslo použijete pouze na tomto konkrétním webu, nenaučil se nic užitečného. Pokud všude použijete stejné heslo, budou mít přístup k vašim dalším účtům. Tohle je kolik účtů lidí bylo „hacknuto“.
Pokud dojde k ohrožení služby, nezapomeňte změnit heslo, které zde používáte. Měli byste také změnit heslo na jiných webech, pokud je tam znovu použijete - ale neměli byste to dělat na prvním místě.
Měli byste také zvážit pomocí dvoufaktorového ověřování , která vás ochrání, i když se útočník dozví vaše heslo.
PŘÍBUZNÝ: Proč byste měli používat Správce hesel a jak začít
Nejdůležitější věcí není opětovné použití hesel. Napadené databáze hesel vám nemohou ublížit, pokud všude používáte jedinečné heslo - pokud v databázi neuloží něco důležitého, například číslo vaší kreditní karty.
Kredit obrázku: Marc Falardeau na Flickru , Wikimedia Commons
