Αρκετές εταιρείες πρόσφατα παραδέχτηκαν την αποθήκευση κωδικών πρόσβασης σε μορφή απλού κειμένου. Αυτό είναι σαν να αποθηκεύετε έναν κωδικό πρόσβασης στο Σημειωματάριο και να τον αποθηκεύετε ως αρχείο .txt. Οι κωδικοί πρόσβασης πρέπει να αλατιστούν και να κατακερματιστούν για ασφάλεια, οπότε γιατί δεν συμβαίνει αυτό το 2019;
Γιατί οι κωδικοί πρόσβασης δεν πρέπει να αποθηκεύονται σε απλό κείμενο
Όταν μια εταιρεία αποθηκεύει κωδικούς πρόσβασης σε απλό κείμενο, οποιοσδήποτε διαθέτει τη βάση δεδομένων κωδικών πρόσβασης - ή οποιοδήποτε άλλο αρχείο είναι αποθηκευμένο στους κωδικούς πρόσβασης - μπορεί να τους διαβάσει. Εάν ένας εισβολέας αποκτήσει πρόσβαση στο αρχείο, μπορεί να δει όλους τους κωδικούς πρόσβασης.
Η αποθήκευση κωδικών πρόσβασης σε απλό κείμενο είναι μια φοβερή πρακτική. Οι εταιρείες θα πρέπει να αλατίζουν και να κατακερματιστούν κωδικούς πρόσβασης, κάτι που είναι ένας άλλος τρόπος για να πούμε "προσθέτοντας επιπλέον δεδομένα στον κωδικό πρόσβασης και έπειτα ανακατεύουμε με τρόπο που δεν μπορεί να αντιστραφεί." Συνήθως αυτό σημαίνει ότι ακόμη και αν κάποιος κλέψει τους κωδικούς πρόσβασης από μια βάση δεδομένων, δεν είναι χρησιμοποιήσιμοι. Όταν συνδέεστε, η εταιρεία μπορεί να ελέγξει ότι ο κωδικός πρόσβασής σας ταιριάζει με την αποθηκευμένη αναμετρημένη έκδοση - αλλά δεν μπορεί να "λειτουργήσει πίσω" από τη βάση δεδομένων και να καθορίσει τον κωδικό πρόσβασής σας.
Γιατί λοιπόν οι εταιρείες αποθηκεύουν κωδικούς πρόσβασης σε απλό κείμενο; Δυστυχώς, μερικές φορές οι εταιρείες δεν λαμβάνουν σοβαρά υπόψη την ασφάλεια. Ή επιλέγουν να θέσουν σε κίνδυνο την ασφάλεια στο όνομα της ευκολίας. Σε άλλες περιπτώσεις, η εταιρεία κάνει τα πάντα σωστά όταν αποθηκεύει τον κωδικό πρόσβασής σας. Αλλά ενδέχεται να προσθέσουν υπερβολικές δυνατότητες καταγραφής, οι οποίες καταγράφουν κωδικούς πρόσβασης σε απλό κείμενο.
Πολλές εταιρείες έχουν αποθηκεύσει εσφαλμένα κωδικούς πρόσβασης
Μπορεί να έχετε ήδη επηρεαστεί από κακές πρακτικές επειδή Ρομπέν των Δασών , Google , Facebook , GitHub, Twitter και άλλοι αποθηκευμένοι κωδικοί πρόσβασης σε απλό κείμενο.
Στην περίπτωση της Google, η εταιρεία είχε επαρκώς κατακερματιστεί και αλάτισε κωδικούς πρόσβασης για τους περισσότερους χρήστες. Αλλά Κωδικοί πρόσβασης λογαριασμού G Suite Enterprise αποθηκεύτηκαν σε απλό κείμενο. Η εταιρεία είπε ότι αυτό ήταν εναπομένουσα πρακτική από όταν έδωσε εργαλεία στους διαχειριστές τομέα για την ανάκτηση κωδικών πρόσβασης. Εάν η Google είχε αποθηκεύσει σωστά τους κωδικούς πρόσβασης, αυτό δεν θα ήταν δυνατό. Μόνο μια διαδικασία επαναφοράς κωδικού πρόσβασης λειτουργεί για ανάκτηση όταν οι κωδικοί πρόσβασης αποθηκεύονται σωστά.
Όταν το Facebook επίσης παραδέχτηκε την αποθήκευση κωδικών πρόσβασης σε απλό κείμενο, δεν έδωσε την ακριβή αιτία του προβλήματος. Αλλά μπορείτε να συμπεράνετε το ζήτημα από μια μεταγενέστερη ενημέρωση:
… Ανακαλύψαμε ότι πρόσθετα αρχεία καταγραφής κωδικών πρόσβασης Instagram αποθηκεύονταν σε αναγνώσιμη μορφή
Μερικές φορές μια εταιρεία θα κάνει τα πάντα σωστά όταν αρχικά αποθηκεύει τον κωδικό πρόσβασής σας. Και, στη συνέχεια, προσθέστε νέες δυνατότητες που προκαλούν προβλήματα. Εκτός από το Facebook, Ρομπέν των Δασών , Github , και Κελάδημα καταγράφηκαν κατά λάθος κωδικοί πρόσβασης απλού κειμένου.
Η καταγραφή είναι χρήσιμη για την εύρεση προβλημάτων σε εφαρμογές, υλικό και ακόμη και στον κώδικα συστήματος. Αλλά αν μια εταιρεία δεν δοκιμάσει πλήρως αυτήν την ικανότητα καταγραφής, μπορεί να προκαλέσει περισσότερα προβλήματα από όσα επιλύει.
Στην περίπτωση του Facebook και του Robinhood, όταν οι χρήστες παρείχαν το όνομα χρήστη και τον κωδικό πρόσβασής τους για να συνδεθούν, η λειτουργία καταγραφής μπορούσε να δει και να καταγράψει τα ονόματα χρήστη και τους κωδικούς πρόσβασης καθώς πληκτρολογούνται. Στη συνέχεια αποθηκεύτηκε αυτά τα αρχεία καταγραφής αλλού. Όποιος είχε πρόσβαση σε αυτά τα αρχεία καταγραφής είχε όλα όσα χρειάζεται για να αναλάβει έναν λογαριασμό.
Σε σπάνιες περιπτώσεις, μια εταιρεία όπως η T-Mobile Australia μπορεί να αγνοήσει τη σημασία της ασφάλειας, μερικές φορές στο όνομα της ευκολίας. Σε ένα από τότε που διαγράφηκε η ανταλλαγή Twitter , ένας εκπρόσωπος της T-Mobile εξήγησε σε έναν χρήστη ότι η εταιρεία αποθηκεύει κωδικούς πρόσβασης σε απλό κείμενο. Η αποθήκευση κωδικών πρόσβασης επέτρεψε στους εκπροσώπους εξυπηρέτησης πελατών να δουν τα τέσσερα πρώτα γράμματα ενός κωδικού πρόσβασης για επιβεβαίωση. Όταν άλλοι χρήστες του Twitter επεσήμαναν σωστά πόσο κακό θα ήταν αν κάποιος χάκερ τους διακομιστές της εταιρείας, ο εκπρόσωπος απάντησε:
Τι γίνεται αν αυτό δεν συμβεί επειδή η ασφάλειά μας είναι εκπληκτικά καλή;
Η εταιρεία διέγραψε αυτά τα tweets και αργότερα το ανακοίνωσε όλοι οι κωδικοί πρόσβασης θα αλάτισαν σύντομα και κατακερματισμό . Αλλά δεν ήταν τόσο πολύ πριν από την εταιρεία κάποιος είχε παραβιάσει τα συστήματά του . Η T-Mobile είπε ότι οι κλεμμένοι κωδικοί πρόσβασης ήταν κρυπτογραφημένοι, αλλά αυτό δεν είναι τόσο καλό όσο οι κωδικοί κατακερματισμού.
Πώς πρέπει οι εταιρείες να αποθηκεύουν κωδικούς πρόσβασης
Οι εταιρείες δεν πρέπει ποτέ να αποθηκεύουν κωδικούς πρόσβασης απλού κειμένου. Αντ 'αυτού, οι κωδικοί πρόσβασης πρέπει να είναι αλατισμένο, στη συνέχεια κατακερματισμένο . Είναι σημαντικό να γνωρίζετε τι είναι το αλάτι και τη διαφορά μεταξύ κρυπτογράφηση και κατακερματισμός .
Το Salting προσθέτει επιπλέον κείμενο στον κωδικό πρόσβασής σας
Το αλάτισμα των κωδικών πρόσβασης είναι μια απλή ιδέα. Η διαδικασία προσθέτει ουσιαστικά επιπλέον κείμενο στον κωδικό πρόσβασης που δώσατε.
Σκεφτείτε το σαν να προσθέτετε αριθμούς και γράμματα στο τέλος του κανονικού κωδικού πρόσβασης. Αντί να χρησιμοποιήσετε το "Κωδικός πρόσβασης" για τον κωδικό πρόσβασής σας, μπορείτε να πληκτρολογήσετε "Κωδικός πρόσβασης 123" (μην χρησιμοποιείτε ποτέ κανέναν από αυτούς τους κωδικούς πρόσβασης). Το Salting είναι μια παρόμοια ιδέα: προτού το σύστημα καταγράψει τον κωδικό πρόσβασής σας, προσθέτει επιπλέον κείμενο σε αυτό.
Έτσι, ακόμη και αν ένας εισβολέας εισέλθει σε μια βάση δεδομένων και κλέβει δεδομένα χρηστών, θα είναι πολύ πιο δύσκολο να εξακριβωθεί ποιος είναι ο πραγματικός κωδικός πρόσβασης. Ο εισβολέας δεν θα ξέρει ποιο μέρος είναι αλάτι και ποιο μέρος είναι κωδικός πρόσβασης.
Οι εταιρείες δεν πρέπει να επαναχρησιμοποιούν αλατισμένα δεδομένα από κωδικό πρόσβασης σε κωδικό πρόσβασης. Διαφορετικά, μπορεί να κλαπεί ή να σπάσει και να γίνει άχρηστο. Η κατάλληλη μεταβολή των αλατισμένων δεδομένων αποτρέπει επίσης τις συγκρούσεις (περισσότερα σε αυτό αργότερα).
Η κρυπτογράφηση δεν είναι η κατάλληλη επιλογή για κωδικούς πρόσβασης
Το επόμενο βήμα για την σωστή αποθήκευση του κωδικού πρόσβασής σας είναι ο κατακερματισμός. Το κατακερματισμό δεν πρέπει να συγχέεται με την κρυπτογράφηση.
Όταν κρυπτογραφείτε δεδομένα, τα μετατρέπετε ελαφρώς με βάση ένα κλειδί. Εάν κάποιος γνωρίζει το κλειδί, μπορεί να αλλάξει ξανά τα δεδομένα. Εάν έχετε παίξει ποτέ με έναν δακτύλιο αποκωδικοποιητή που σας είπε "A = C", τότε έχετε κρυπτογραφημένα δεδομένα. Γνωρίζοντας ότι "A = C", τότε μπορείτε να μάθετε ότι το μήνυμα ήταν απλώς μια διαφήμιση Ovaltine.
Εάν ένας χάκερ εισέλθει σε ένα σύστημα με κρυπτογραφημένα δεδομένα και καταφέρει να κλέψει επίσης το κλειδί κρυπτογράφησης, τότε οι κωδικοί πρόσβασης μπορεί επίσης να είναι απλό κείμενο.
Το κατακερματισμό μετατρέπει τον κωδικό πρόσβασής σας σε απατηλή
Ο κατακερματισμός κωδικού πρόσβασης μετατρέπει ουσιαστικά τον κωδικό πρόσβασής σας σε μια σειρά από ακατανόητο κείμενο. Όποιος κοιτάζει ένα κατακερματισμό θα δει ασυναρτησίες. Εάν χρησιμοποιήσατε το "Password123", ο κατακερματισμός ενδέχεται να αλλάξει τα δεδομένα σε "873kldk # 49lkdfld # 1." Μια εταιρεία θα πρέπει να κατακερματίσει τον κωδικό πρόσβασής σας προτού τον αποθηκεύσει οπουδήποτε, με αυτόν τον τρόπο δεν έχει ποτέ αρχείο του πραγματικού κωδικού πρόσβασης.
Αυτή η φύση του κατακερματισμού το καθιστά μια καλύτερη μέθοδο για την αποθήκευση του κωδικού πρόσβασης από την κρυπτογράφηση. Ενώ μπορείτε να αποκρυπτογραφήσετε κρυπτογραφημένα δεδομένα, δεν μπορείτε να "ξεμπλοκάρετε" δεδομένα. Επομένως, εάν ένας εισβολέας σπάσει μια βάση δεδομένων, δεν θα βρει ένα κλειδί για να ξεκλειδώσει τα κατακερματισμένα δεδομένα.
Αντ 'αυτού, θα πρέπει να κάνουν ό, τι κάνει μια εταιρεία όταν υποβάλλετε τον κωδικό πρόσβασής σας. Αλάτισε μια εικασία κωδικού πρόσβασης (αν ο χάκερ ξέρει τι αλάτι να χρησιμοποιήσει), κατακερματιστεί και, στη συνέχεια, συγκρίνουμε το με το κατακερματισμένο αρχείο για έναν αγώνα. Όταν υποβάλλετε τον κωδικό πρόσβασής σας στην Google ή στην Τράπεζα σας, ακολουθούν τα ίδια βήματα. Ορισμένες εταιρείες, όπως το Facebook, μπορεί ακόμη και να πάρουν επιπλέον «εικασίες» για να λάβετε υπόψη ένα λάθος .
Το κύριο μειονέκτημα του κατακερματισμού είναι, εάν δύο άτομα έχουν τον ίδιο κωδικό πρόσβασης, τότε θα καταλήξουν με το κατακερματισμό. Αυτό το αποτέλεσμα ονομάζεται σύγκρουση. Αυτός είναι ένας άλλος λόγος για να προσθέσετε αλάτι που αλλάζει από κωδικό πρόσβασης σε κωδικό πρόσβασης. Ένας επαρκώς αλατισμένος και κατακερματισμένος κωδικός πρόσβασης δεν θα έχει αντιστοιχία.
Οι χάκερ μπορεί τελικά να ξεπεράσουν τα κατακερματισμένα δεδομένα, αλλά ως επί το πλείστον είναι ένα παιχνίδι δοκιμών κάθε πιθανού κωδικού πρόσβασης και ελπίζοντας για έναν αγώνα. Η διαδικασία χρειάζεται ακόμα χρόνο, κάτι που σας δίνει χρόνο για να προστατευτείτε.
Τι μπορείτε να κάνετε για να προστατεύσετε από παραβιάσεις δεδομένων
Δεν μπορείτε να εμποδίσετε τις εταιρείες να χειρίζονται ακατάλληλα τους κωδικούς πρόσβασής σας. Δυστυχώς, είναι πιο συνηθισμένο από ό, τι θα έπρεπε. Ακόμα και όταν οι εταιρείες αποθηκεύουν σωστά τον κωδικό πρόσβασής σας, οι εισβολείς ενδέχεται να παραβιάσουν τα συστήματα της εταιρείας και να κλέψουν τα κατακερματισμένα δεδομένα.
Δεδομένης αυτής της πραγματικότητας, δεν πρέπει ποτέ να επαναχρησιμοποιείτε κωδικούς πρόσβασης. Αντ 'αυτού, θα πρέπει να παρέχετε ένα διαφορετικός περίπλοκος κωδικός πρόσβασης σε κάθε υπηρεσία που χρησιμοποιείτε. Με αυτόν τον τρόπο, ακόμη και αν ένας εισβολέας εντοπίσει τον κωδικό πρόσβασής σας σε έναν ιστότοπο, δεν μπορεί να τον χρησιμοποιήσει για να συνδεθεί στους λογαριασμούς σας σε άλλους ιστότοπους. Οι περίπλοκοι κωδικοί πρόσβασης είναι απίστευτα σημαντικοί, επειδή όσο πιο εύκολο είναι να μαντέψετε τον κωδικό πρόσβασής σας, τόσο πιο γρήγορα ένας εισβολέας μπορεί να σπάσει τη διαδικασία κατακερματισμού. Κάνοντας τον κωδικό πρόσβασης πιο περίπλοκο, αγοράζετε χρόνο για να ελαχιστοποιήσετε τη ζημιά.
Η χρήση μοναδικών κωδικών πρόσβασης ελαχιστοποιεί επίσης τη ζημιά. Το πολύ, ο εισβολέας θα αποκτήσει πρόσβαση σε έναν λογαριασμό και μπορείτε να αλλάξετε έναν μόνο κωδικό πρόσβασης πιο εύκολα από δεκάδες. Οι περίπλοκοι κωδικοί πρόσβασης είναι δύσκολο να θυμηθούμε, έτσι εμείς προτείνουμε έναν διαχειριστή κωδικών πρόσβασης . Οι διαχειριστές κωδικών πρόσβασης δημιουργούν και θυμούνται κωδικούς πρόσβασης για εσάς και μπορείτε να τους προσαρμόσετε ώστε να ακολουθούν τους κανόνες κωδικού πρόσβασης σχεδόν σε οποιονδήποτε ιστότοπο.
Κάποιοι σαν LastPass και 1Κωδικός πρόσβασης , ακόμη και να προσφέρουμε υπηρεσίες που ελέγχουν εάν οι τρέχοντες κωδικοί πρόσβασής σας έχουν παραβιαστεί.
Μια άλλη καλή επιλογή είναι να ενεργοποίηση ελέγχου ταυτότητας δύο βημάτων . Με αυτόν τον τρόπο, ακόμη και αν ένας εισβολέας παραβιάζει τον κωδικό πρόσβασής σας, ενδέχεται να εξακολουθείτε να αποτρέπετε τη μη εξουσιοδοτημένη πρόσβαση στους λογαριασμούς σας.
Παρόλο που δεν μπορείτε να εμποδίσετε μια εταιρεία να χειριστεί εσφαλμένα τους κωδικούς πρόσβασής σας, μπορείτε να ελαχιστοποιήσετε το μειονέκτημα ασφαλώντας σωστά τους κωδικούς πρόσβασης και τους λογαριασμούς σας.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Γιατί πρέπει να χρησιμοποιήσετε έναν Διαχειριστή κωδικών πρόσβασης και πώς να ξεκινήσετε
