«Η βάση δεδομένων κωδικού πρόσβασης κλαπεί χθες. Αλλά μην ανησυχείτε: οι κωδικοί πρόσβασής σας ήταν κρυπτογραφημένοι. " Βλέπουμε τακτικά δηλώσεις όπως αυτή στο Διαδίκτυο, συμπεριλαμβανομένου χθες, από το Yahoo . Αλλά πρέπει πραγματικά να λάβουμε αυτές τις εγγυήσεις στην ονομαστική τους αξία;
Η πραγματικότητα είναι ότι η βάση δεδομένων κωδικού πρόσβασης διακυβεύεται είναι μια ανησυχία, ανεξάρτητα από το πώς μια εταιρεία μπορεί να προσπαθήσει να την περιστρέψει. Υπάρχουν όμως μερικά πράγματα που μπορείτε να κάνετε για να μονώσετε τον εαυτό σας, ανεξάρτητα από το πόσο κακές είναι οι πρακτικές ασφάλειας μιας εταιρείας.
Πώς πρέπει να αποθηκεύονται οι κωδικοί πρόσβασης
Δείτε πώς οι εταιρείες πρέπει να αποθηκεύουν κωδικούς πρόσβασης σε έναν ιδανικό κόσμο: Δημιουργείτε έναν λογαριασμό και παρέχετε έναν κωδικό πρόσβασης. Αντί να αποθηκεύει τον ίδιο τον κωδικό πρόσβασης, η υπηρεσία δημιουργεί ένα "hash" από τον κωδικό πρόσβασης. Αυτό είναι ένα μοναδικό δακτυλικό αποτύπωμα που δεν μπορεί να αντιστραφεί. Για παράδειγμα, ο κωδικός πρόσβασης "κωδικός πρόσβασης" μπορεί να μετατραπεί σε κάτι που μοιάζει περισσότερο με "4jfh75to4sud7gh93247g…". Όταν εισάγετε τον κωδικό πρόσβασής σας για σύνδεση, η υπηρεσία δημιουργεί κατακερματισμό από αυτήν και ελέγχει εάν η τιμή κατακερματισμού ταιριάζει με την τιμή που είναι αποθηκευμένη στη βάση δεδομένων. Σε καμία περίπτωση η υπηρεσία δεν αποθηκεύει ποτέ τον ίδιο τον κωδικό πρόσβασής σας στο δίσκο.
Για να προσδιορίσετε τον πραγματικό κωδικό πρόσβασής σας, ένας εισβολέας με πρόσβαση στη βάση δεδομένων θα πρέπει να υπολογίσει εκ των προτέρων τους κοινόχρηστους κωδικούς πρόσβασης και, στη συνέχεια, να ελέγξει εάν υπάρχουν στη βάση δεδομένων. Οι επιτιθέμενοι το κάνουν με πίνακες αναζήτησης — τεράστιες λίστες κατακερματισμών που ταιριάζουν με τους κωδικούς πρόσβασης. Οι κατακερματισμοί μπορούν στη συνέχεια να συγκριθούν με τη βάση δεδομένων. Για παράδειγμα, ένας εισβολέας θα γνώριζε τον κατακερματισμό για τον «κωδικό πρόσβασης1» και έπειτα θα δει αν υπάρχουν λογαριασμοί στη βάση δεδομένων που χρησιμοποιούν αυτόν τον κατακερματισμό. Εάν είναι, ο εισβολέας γνωρίζει ότι ο κωδικός πρόσβασης είναι «κωδικός πρόσβασης1».
Για να αποφευχθεί αυτό, οι υπηρεσίες πρέπει να «αλατίζουν» τους κατακερματισμούς τους. Αντί να δημιουργούν έναν κατακερματισμό από τον ίδιο τον κωδικό πρόσβασης, προσθέτουν μια τυχαία συμβολοσειρά στο μπροστινό ή στο τέλος του κωδικού πρόσβασης πριν τον κατακερματιστούν. Με άλλα λόγια, ένας χρήστης θα εισήγαγε τον κωδικό πρόσβασης «κωδικό πρόσβασης» και η υπηρεσία θα προσθέσει το αλάτι και θα έχει έναν κωδικό πρόσβασης που μοιάζει περισσότερο με τον «κωδικό πρόσβασης35s2dg». Κάθε λογαριασμός χρήστη θα πρέπει να έχει το δικό του μοναδικό αλάτι και αυτό θα διασφαλίσει ότι κάθε λογαριασμός χρήστη θα έχει διαφορετική τιμή κατακερματισμού για τον κωδικό πρόσβασής τους στη βάση δεδομένων. Ακόμα κι αν πολλοί λογαριασμοί χρησιμοποίησαν τον κωδικό πρόσβασης «password1», θα είχαν διαφορετικούς κατακερματισμούς λόγω των διαφορετικών τιμών αλατιού. Αυτό θα νικήσει έναν εισβολέα που προσπάθησε να υπολογίσει εκ των προτέρων κωδικούς πρόσβασης. Αντί να μπορούν να δημιουργούν κατακερματισμούς που εφαρμόστηκαν σε κάθε λογαριασμό χρήστη σε ολόκληρη τη βάση δεδομένων ταυτόχρονα, θα έπρεπε να δημιουργήσουν μοναδικούς κατακερματισμούς για κάθε λογαριασμό χρήστη και το μοναδικό αλάτι του. Αυτό θα χρειαζόταν πολύ περισσότερο χρόνο υπολογισμού και μνήμη.
Γι 'αυτό οι υπηρεσίες λένε συχνά να μην ανησυχείτε. Μια υπηρεσία που χρησιμοποιεί κατάλληλες διαδικασίες ασφαλείας θα πρέπει να αναφέρει ότι χρησιμοποιούσε αλατισμένους κωδικούς πρόσβασης. Αν απλώς λένε ότι οι κωδικοί πρόσβασης έχουν κατακερματιστεί, αυτό είναι πιο ανησυχητικό. Το LinkedIn έχει κατακερματιστεί τους κωδικούς πρόσβασής τους, για παράδειγμα, αλλά δεν τους αλάτισε - έτσι ήταν μεγάλη υπόθεση όταν το LinkedIn έχασε 6,5 εκατομμύρια κατακερματισμένους κωδικούς πρόσβασης το 2012 .
Κακές πρακτικές κωδικού πρόσβασης
Αυτό δεν είναι το πιο δύσκολο να εφαρμοστεί, αλλά πολλοί ιστότοποι εξακολουθούν να καταφέρνουν να το χάσουν με διάφορους τρόπους:
- Αποθήκευση κωδικών πρόσβασης σε απλό κείμενο : Αντί να ασχολούνται με το κατακερματισμό, μερικοί από τους χειρότερους παραβάτες μπορεί απλώς να απορρίψουν τους κωδικούς πρόσβασης σε μορφή απλού κειμένου σε μια βάση δεδομένων. Εάν μια τέτοια βάση δεδομένων έχει παραβιαστεί, οι κωδικοί πρόσβασής σας είναι προφανώς παραβιασμένοι. Δεν θα είχε σημασία πόσο δυνατοί ήταν.
- Κατακερματισμός των κωδικών πρόσβασης χωρίς να τους αλατίζετε : Ορισμένες υπηρεσίες ενδέχεται να κατακερματιστούν τους κωδικούς πρόσβασης και να παραιτηθούν εκεί, επιλέγοντας να μην χρησιμοποιούν άλατα. Τέτοιες βάσεις δεδομένων κωδικού πρόσβασης θα ήταν πολύ ευάλωτες σε πίνακες αναζήτησης. Ένας εισβολέας θα μπορούσε να δημιουργήσει τους κατακερματισμούς για πολλούς κωδικούς πρόσβασης και, στη συνέχεια, να ελέγξει εάν υπήρχαν στη βάση δεδομένων - θα μπορούσαν να το κάνουν αυτό για κάθε λογαριασμό ταυτόχρονα, εάν δεν είχε αλάτι.
- Επαναχρησιμοποίηση αλάτων : Ορισμένες υπηρεσίες ενδέχεται να χρησιμοποιούν αλάτι, αλλά ενδέχεται να επαναχρησιμοποιήσουν το ίδιο αλάτι για κάθε κωδικό πρόσβασης λογαριασμού χρήστη. Αυτό είναι άχρηστο - εάν το ίδιο αλάτι χρησιμοποιήθηκε για κάθε χρήστη, δύο χρήστες με τον ίδιο κωδικό πρόσβασης θα είχαν τον ίδιο κατακερματισμό.
- Χρήση κοντών αλάτων : Εάν χρησιμοποιούνται άλατα με λίγα ψηφία, θα ήταν δυνατό να δημιουργηθούν πίνακες αναζήτησης που να ενσωματώνουν κάθε πιθανό αλάτι. Για παράδειγμα, εάν ένα μονοψήφιο χρησιμοποιήθηκε ως αλάτι, ο εισβολέας θα μπορούσε εύκολα να δημιουργήσει λίστες κατακερματισμών που ενσωματώνουν κάθε πιθανό αλάτι.
Οι εταιρείες δεν θα σας λένε πάντα ολόκληρη την ιστορία, οπότε ακόμα κι αν λένε ότι ένας κωδικός πρόσβασης είχε κατακερματιστεί (ή κατακερματιστεί και αλατισμένο), ενδέχεται να μην χρησιμοποιούν τις βέλτιστες πρακτικές. Πάντα λάθος από την πλευρά της προσοχής.
Άλλες ανησυχίες
Είναι πιθανό ότι η τιμή αλατιού υπάρχει επίσης στη βάση δεδομένων κωδικών πρόσβασης. Αυτό δεν είναι τόσο άσχημο - εάν χρησιμοποιήθηκε μια μοναδική τιμή αλατιού για κάθε χρήστη, οι επιτιθέμενοι θα πρέπει να ξοδέψουν τεράστιες ποσότητες ισχύος CPU σπάζοντας όλους αυτούς τους κωδικούς πρόσβασης.
Στην πράξη, τόσοι πολλοί άνθρωποι χρησιμοποιούν προφανείς κωδικούς πρόσβασης που πιθανότατα θα ήταν εύκολο να προσδιοριστούν οι κωδικοί πρόσβασης πολλών λογαριασμών χρηστών. Για παράδειγμα, εάν ένας εισβολέας γνωρίζει τον κατακερματισμό σας και ξέρει το αλάτι σας, μπορεί εύκολα να ελέγξει αν χρησιμοποιείτε μερικούς από τους πιο κοινούς κωδικούς πρόσβασης.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Πώς πραγματικά οι επιτιθέμενοι «χαράζουν λογαριασμούς» στο Διαδίκτυο και πώς να προστατευτείτε
Εάν ένας εισβολέας το έχει για εσάς και θέλει να σπάσει τον κωδικό πρόσβασής σας, μπορεί να το κάνει με ωμή δύναμη, όσο γνωρίζουν την τιμή του αλατιού - την οποία πιθανώς κάνουν. Με την τοπική, εκτός σύνδεσης πρόσβαση σε βάσεις δεδομένων κωδικών πρόσβασης, οι εισβολείς μπορούν να χρησιμοποιήσουν όλα τα ωμά επιθέσεις δύναμης αυτοί θέλουν.
Άλλα προσωπικά δεδομένα ενδέχεται επίσης να διαρρεύσουν όταν κλαπεί μια βάση δεδομένων κωδικού πρόσβασης: Όνομα χρήστη, διευθύνσεις email και άλλα. Στην περίπτωση της διαρροής Yahoo, διαρρέθηκαν επίσης ερωτήσεις και απαντήσεις ασφαλείας - οι οποίες, όπως όλοι γνωρίζουμε, διευκολύνουν την κλοπή πρόσβασης στον λογαριασμό κάποιου.
Βοήθεια, τι πρέπει να κάνω;
Ό, τι και αν λέει μια υπηρεσία όταν η βάση δεδομένων κωδικού πρόσβασης κλαπεί, είναι καλύτερο να υποθέσουμε ότι κάθε υπηρεσία είναι εντελώς ανίκανη και να ενεργεί ανάλογα.
Αρχικά, μην χρησιμοποιείτε ξανά κωδικούς πρόσβασης σε πολλούς ιστότοπους. Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης που δημιουργεί μοναδικούς κωδικούς πρόσβασης για κάθε ιστότοπο . Εάν ένας εισβολέας καταφέρει να ανακαλύψει ότι ο κωδικός πρόσβασής σας για μια υπηρεσία είναι "43 ^ tSd% 7uho2 # 3" και χρησιμοποιείτε αυτόν τον κωδικό πρόσβασης μόνο σε αυτόν τον συγκεκριμένο ιστότοπο, δεν έχουν μάθει τίποτα χρήσιμο. Εάν χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης παντού, θα μπορούσαν να έχουν πρόσβαση στους άλλους λογαριασμούς σας. Αυτό είναι πόσους λογαριασμούς ατόμων γίνονται «παραβιασμένοι».
Εάν μια υπηρεσία παραβιαστεί, φροντίστε να αλλάξετε τον κωδικό πρόσβασης που χρησιμοποιείτε εκεί. Θα πρέπει επίσης να αλλάξετε τον κωδικό πρόσβασης σε άλλους ιστότοπους εάν τον χρησιμοποιήσετε ξανά - αλλά δεν πρέπει να το κάνετε πρώτα.
Πρέπει επίσης να σκεφτείτε χρησιμοποιώντας έλεγχο ταυτότητας δύο παραγόντων , το οποίο θα σας προστατεύσει ακόμη και αν ένας εισβολέας μάθει τον κωδικό πρόσβασής σας.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Γιατί πρέπει να χρησιμοποιήσετε έναν Διαχειριστή κωδικών πρόσβασης και πώς να ξεκινήσετε
Το πιο σημαντικό πράγμα δεν είναι η επαναχρησιμοποίηση κωδικών πρόσβασης. Οι συμβιβαστικές βάσεις δεδομένων κωδικών πρόσβασης δεν μπορούν να σας βλάψουν εάν χρησιμοποιείτε έναν μοναδικό κωδικό πρόσβασης παντού - εκτός εάν αποθηκεύουν κάτι άλλο σημαντικό στη βάση δεδομένων, όπως τον αριθμό της πιστωτικής σας κάρτας.
Πιστωτική εικόνα: Ο Marc Falardeau στο Flickr , Wikimedia Commons
