מדוע עליכם לדאוג בכל פעם שמאגר הסיסמאות של השירות דולף

"מאגר הסיסמאות שלנו נגנב אתמול. אבל אל תדאג: הסיסמאות שלך הוצפנו. " אנו רואים באופן קבוע הצהרות כמו זו באופן מקוון, כולל אתמול, מ- Yahoo . אך האם באמת עלינו לקחת את ההבטחות הללו בערך נקוב?

המציאות היא שמאגר סיסמאות מתפשר הם דאגה, לא משנה איך חברה תנסה לסובב אותה. אבל יש כמה דברים שאתה יכול לעשות כדי לבודד את עצמך, לא משנה כמה גרוע נוהלי האבטחה של החברה.

כיצד צריך לשמור סיסמאות

כך חברות צריכות לאחסן סיסמאות בעולם אידיאלי: אתה יוצר חשבון ומספק סיסמה. במקום לאחסן את הסיסמה עצמה, השירות מייצר "hash" מהסיסמה. זו טביעת אצבע ייחודית שלא ניתן להפוך אותה. לדוגמה, הסיסמה "סיסמה" עשויה להפוך למשהו שנראה יותר כמו "4jfh75to4sud7gh93247g ...". כשאתה מזין את הסיסמה שלך בכניסה, השירות מייצר ממנה חשיש ובודק אם ערך הגיבוב תואם לערך השמור במסד הנתונים. בשום שלב השירות מעולם לא שומר את הסיסמה עצמה בדיסק.

כדי לקבוע את הסיסמה שלך בפועל, תוקף עם גישה למסד הנתונים יצטרך לחשב מראש את החשיפות עבור סיסמאות נפוצות ואז לבדוק אם הן קיימות במסד הנתונים. התוקפים עושים זאת באמצעות טבלאות חיפוש - רשימות ענק של hashes שתואמות סיסמאות. לאחר מכן ניתן להשוות את ה- hashes למסד הנתונים. לדוגמא, תוקף ידע את הגיבוי עבור "סיסמה 1" ואז יבדוק אם חשבונות כלשהם במסד הנתונים משתמשים בגיבוב זה. אם כן, התוקף יודע שהסיסמה שלו היא "סיסמה 1".

כדי למנוע זאת, על השירותים "להמליח" את החשיפה שלהם. במקום ליצור חשיש מהסיסמה עצמה, הם מוסיפים מחרוזת אקראית לחזית או לסוף הסיסמה לפני שהם מחסמים אותה. במילים אחרות, משתמש היה מזין את הסיסמה "סיסמה" והשירות יוסיף את המלח ואת הסיסמה שנראית יותר כמו "password35s2dg". לכל חשבון משתמש צריך להיות המלח הייחודי שלו, וזה יבטיח שלכל חשבון משתמש יהיה ערך חשיש שונה לסיסמה שלהם במסד הנתונים. גם אם חשבונות מרובים השתמשו בסיסמה "סיסמה 1", יהיו להם חשיפות שונות בגלל ערכי המלח השונים. זה יביס תוקף שניסה לחשב מראש חשיפות לסיסמאות. במקום להיות מסוגלים ליצור חשיפות שחלו על כל חשבון משתמש במסד הנתונים כולו בבת אחת, הם יצטרכו ליצור חשיפות ייחודיות לכל חשבון משתמש ולמלח הייחודי שלו. זה ייקח הרבה יותר זמן חישוב וזיכרון.

זו הסיבה ששירותים לעתים קרובות אומרים לא לדאוג. שירות המשתמש בנהלי אבטחה מתאימים צריך לומר שהוא משתמש בחשיפות סיסמאות מומלחות. אם הם פשוט אומרים שהסיסמאות "חשיפה", זה מדאיג יותר. לינקדאין חישלה את הסיסמאות שלהם, למשל, אבל הן לא המלחו אותן - אז זה היה עניין גדול כאשר איבדה לינקדאין 6.5 מיליון סיסמאות גיבוב בשנת 2012 .

שיטות סיסמה גרועות

זה לא הדבר הכי קשה ליישום, אבל אתרים רבים עדיין מצליחים לבלגן אותו במגוון דרכים:

• אחסון סיסמאות בטקסט רגיל : במקום לטרוח עם hashing, חלק מהעבריינים הגרועים ביותר עשויים פשוט לזרוק את הסיסמאות בצורה טקסט רגיל למסד נתונים. אם בסיס נתונים כזה נפגע, הסיסמאות שלך ללא ספק נפגעות. לא משנה כמה הם היו חזקים.
• חיסול הסיסמאות בלי המלחתן : שירותים מסוימים עשויים לחסל את הסיסמאות ולוותר שם, ולא יבחרו במלחים. מאגרי מידע מסוג סיסמאות כאלה יהיו פגיעים מאוד לטבלאות חיפוש. תוקף יכול ליצור חשיפות עבור סיסמאות רבות ואז לבדוק אם הן קיימות במסד הנתונים - הוא יכול לעשות זאת לכל חשבון בבת אחת אם לא נעשה שימוש במלח.
• שימוש חוזר במלחים : שירותים מסוימים עשויים להשתמש במלח, אך הם עשויים לעשות שימוש חוזר באותו מלח לכל סיסמת חשבון משתמש. זה חסר טעם - אם היה משתמש באותו מלח עבור כל משתמש, לשני משתמשים עם אותה סיסמה יהיה אותו חשיש.
• שימוש במלחים קצרים : אם משתמשים במלחים של מספר ספרות בודדות, ניתן יהיה ליצור טבלאות בדיקה הכוללות כל מלח אפשרי. לדוגמה, אם ספרה אחת שימשה כמלח, התוקף יכול היה ליצור בקלות רשימות של חשיפות ששילבו כל מלח אפשרי.

חברות לא תמיד יספרו לך את כל הסיפור, כך שגם אם הם אומרים כי סיסמה נגמרה (או חשיכה ומומלחת), ייתכן שהם לא משתמשים בשיטות העבודה המומלצות. תמיד טועה בצד הזהירות.

דאגות אחרות

סביר להניח שערך המלח קיים גם במאגר הסיסמאות. זה לא כל כך רע - אם היה משתמש בערך מלח ייחודי לכל משתמש, התוקפים יצטרכו להוציא כמויות אדירות של מעבד לשבור את כל הסיסמאות האלה.

בפועל, כל כך הרבה אנשים משתמשים בסיסמאות ברורות שכנראה יהיה קל לקבוע את הסיסמאות של חשבונות משתמשים רבים. לדוגמה, אם תוקף מכיר את החשיש שלך והם מכירים את המלח שלך, הם יכולים לבדוק בקלות אם אתה משתמש בכמה מהסיסמאות הנפוצות ביותר.

קָשׁוּר: כיצד תוקפים למעשה "חשבונות פריצה" באופן מקוון וכיצד להגן על עצמך

אם תוקף יביא זאת למענך וירצה לפצח את הסיסמה שלך, הם יכולים לעשות זאת בכוח גס כל עוד הם יודעים את ערך המלח - מה שהם כנראה עושים. עם גישה מקומית, לא מקוונת, למסדי נתונים של סיסמאות, התוקפים יכולים להעסיק את כל הזוועות התקפות כוח הם רוצים.

נתונים אישיים אחרים ככל הנראה דולפים גם כאשר נגנב מאגר סיסמאות: שמות משתמש, כתובות דוא"ל ועוד. במקרה של דליפת יאהו, הודלפו גם שאלות אבטחה ותשובות - שכפי שכולנו יודעים מקלות על גניבת הגישה לחשבון של מישהו.

עזרה, מה עלי לעשות?

לא משנה מה שירות אומר כשמסד הסיסמאות שלו נגנב, עדיף להניח שכל שירות אינו כשיר לחלוטין ולפעול בהתאם.

ראשית, אל תעשה שימוש חוזר בסיסמאות במספר אתרים. השתמש במנהל סיסמאות שיוצר סיסמאות ייחודיות לכל אתר . אם תוקף מצליח לגלות שהסיסמה שלך לשירות היא "43 ^ tSd% 7uho2 # 3" ואתה משתמש בסיסמה רק באתר ספציפי אחד, הם לא למדו שום דבר מועיל. אם אתה משתמש באותה סיסמה בכל מקום, הם יכולים לגשת לחשבונות האחרים שלך. זה כמה חשבונות של אנשים הופכים "פריצים".

אם שירות אכן נפגע, הקפד לשנות את הסיסמה בה אתה משתמש שם. עליך לשנות את הסיסמה גם באתרים אחרים אם אתה עושה בה שימוש חוזר שם - אך מלכתחילה אתה לא אמור לעשות זאת.

כדאי לשקול גם באמצעות אימות דו-גורמי , אשר יגן עליך גם אם תוקף ילמד את הסיסמה שלך.

קָשׁוּר: מדוע כדאי להשתמש במנהל סיסמאות וכיצד להתחיל

הדבר החשוב ביותר הוא לא לעשות שימוש חוזר בסיסמאות. מאגרי סיסמאות פגועים לא יכולים לפגוע בך אם אתה משתמש בסיסמה ייחודית בכל מקום - אלא אם כן הם מאחסנים משהו חשוב אחר במאגר, כמו מספר כרטיס האשראי שלך.

אשראי תמונה: מארק פאלארדו בפליקר , ויקימדיה