Verschillende bedrijven hebben onlangs toegegeven wachtwoorden in platte tekst op te slaan. Dat is hetzelfde als het opslaan van een wachtwoord in Kladblok en het opslaan als een .txt-bestand. Wachtwoorden moeten om veiligheidsredenen worden gezouten en gehasht, dus waarom gebeurt dat niet in 2019?
Waarom wachtwoorden niet in platte tekst mogen worden opgeslagen
Als een bedrijf wachtwoorden in platte tekst opslaat, kan iedereen met de wachtwoorddatabase - of welk ander bestand dan ook waarin de wachtwoorden zijn opgeslagen - ze lezen. Als een hacker toegang krijgt tot het bestand, kunnen ze alle wachtwoorden zien.
Wachtwoorden opslaan in platte tekst is een vreselijke praktijk. Bedrijven zouden wachtwoorden moeten salting en hashing, wat een andere manier is om te zeggen "extra gegevens aan het wachtwoord toevoegen en vervolgens versleutelen op een manier die niet ongedaan kan worden gemaakt". Meestal betekent dit dat zelfs als iemand de wachtwoorden uit een database steelt, ze onbruikbaar zijn. Wanneer u zich aanmeldt, kan het bedrijf controleren of uw wachtwoord overeenkomt met de opgeslagen gecodeerde versie, maar ze kunnen niet "achteruit werken" vanuit de database en uw wachtwoord bepalen.
Dus waarom slaan bedrijven wachtwoorden op in platte tekst? Helaas nemen de bedrijven beveiliging soms niet serieus. Of ze kiezen ervoor om de beveiliging in gevaar te brengen uit naam van het gemak. In andere gevallen doet het bedrijf er alles aan om uw wachtwoord op te slaan. Maar ze kunnen overijverige logboekfuncties toevoegen, die wachtwoorden in platte tekst registreren.
Verschillende bedrijven hebben wachtwoorden onjuist opgeslagen
U kunt al last hebben van slechte praktijken omdat Robin Hood , Google , Facebook , GitHub, Twitter en anderen bewaarden wachtwoorden in platte tekst.
In het geval van Google was het bedrijf voor de meeste gebruikers adequaat bezig met het hashen en salting van wachtwoorden. Maar Wachtwoorden van G Suite Enterprise-account werden opgeslagen in platte tekst. Het bedrijf zei dat dit een overblijfsel was sinds het domeinbeheerders tools gaf om wachtwoorden te herstellen. Als Google de wachtwoorden correct had opgeslagen, zou dat niet mogelijk zijn geweest. Alleen een wachtwoordherstelproces werkt voor herstel wanneer wachtwoorden correct zijn opgeslagen.
Wanneer Facebook ook toegelaten tot het opslaan van wachtwoorden in platte tekst vermeldde het niet de exacte oorzaak van het probleem. Maar u kunt het probleem afleiden uit een latere update:
... we ontdekten dat extra logboeken van Instagram-wachtwoorden in een leesbaar formaat werden opgeslagen.
Soms doet een bedrijf er alles aan om uw wachtwoord in eerste instantie op te slaan. En voeg vervolgens nieuwe functies toe die problemen veroorzaken. Naast Facebook, Robin Hood , Github , en Twitter per ongeluk geregistreerde wachtwoorden in platte tekst.
Logboekregistratie is handig om problemen in apps, hardware en zelfs systeemcode op te sporen. Maar als een bedrijf die logboekfunctie niet grondig test, kan dit meer problemen veroorzaken dan het oplost.
In het geval van Facebook en Robinhood, wanneer gebruikers hun gebruikersnaam en wachtwoord hebben opgegeven om in te loggen, kon de logfunctie de gebruikersnamen en wachtwoorden zien en registreren terwijl ze werden getypt. Het heeft die logboeken vervolgens ergens anders opgeslagen. Iedereen die toegang had tot die logboeken, had alles wat nodig was om een account over te nemen.
In zeldzame gevallen kan een bedrijf als T-Mobile Australia het belang van beveiliging negeren, soms uit naam van het gemak. In een sinds-verwijderde Twitter-uitwisseling , legde een vertegenwoordiger van T-Mobile aan een gebruiker uit dat het bedrijf wachtwoorden in platte tekst opslaat. Door op die manier wachtwoorden op te slaan, konden vertegenwoordigers van de klantenservice de eerste vier letters van een wachtwoord zien ter bevestiging. Toen andere Twitter-gebruikers terecht opmerkten hoe erg het zou zijn als iemand de bedrijfsservers zou hacken, antwoordde de vertegenwoordiger:
Wat als dit niet gebeurt omdat onze beveiliging verbazingwekkend goed is?
Het bedrijf schrapte die tweets wel en maakte dat later bekend alle wachtwoorden zouden binnenkort worden gezouten en gehasht . Maar het duurde niet zo lang voordat het bedrijf iemand had zijn systemen geschonden . T-Mobile zei dat de gestolen wachtwoorden gecodeerd waren, maar dat is niet zo goed als het hashen van wachtwoorden.
Hoe bedrijven wachtwoorden moeten opslaan
Bedrijven mogen nooit wachtwoorden in platte tekst opslaan. Wachtwoorden zouden in plaats daarvan gezouten, daarna gehakt . Het is belangrijk om te weten wat zouten is, en het verschil daartussen versleutelen en hashen .
Salting voegt extra tekst toe aan uw wachtwoord
Wachtwoorden zouten is een eenvoudig concept. Het proces voegt in wezen extra tekst toe aan het wachtwoord dat u heeft opgegeven.
Zie het als het toevoegen van cijfers en letters aan het einde van uw gewone wachtwoord. In plaats van "Wachtwoord" als wachtwoord te gebruiken, kunt u "Wachtwoord123" typen (gebruik nooit een van deze wachtwoorden). Salting is een soortgelijk concept: voordat het systeem uw wachtwoord hashes, voegt het er extra tekst aan toe.
Dus zelfs als een hacker in een database breekt en gebruikersgegevens steelt, zal het veel moeilijker zijn om erachter te komen wat het echte wachtwoord is. De hacker weet niet welk deel zout is en welk deel wachtwoord.
Bedrijven mogen salted data van wachtwoord tot wachtwoord niet hergebruiken. Anders kan het worden gestolen of gebroken en dus onbruikbaar worden. Passend variëren van salted data voorkomt ook botsingen (daarover later meer).
Versleuteling is niet de juiste optie voor wachtwoorden
De volgende stap om uw wachtwoord correct op te slaan, is het hashen. Hashing moet niet worden verward met versleuteling.
Wanneer u gegevens codeert, transformeert u deze enigszins op basis van een sleutel. Als iemand de sleutel kent, kunnen ze de gegevens terugzetten. Als je ooit met een decoderring hebt gespeeld die je "A = C" vertelde, dan heb je gegevens versleuteld. Wetende dat "A = C", kunt u er dan achter komen dat die boodschap slechts een Ovaltine-commercial was.
Als een hacker binnendringt in een systeem met versleutelde gegevens en hij slaagt er ook in om de versleutelingssleutel te stelen, dan kunnen uw wachtwoorden net zo goed platte tekst zijn.
Hashing verandert uw wachtwoord in onzin
Wachtwoordhashing transformeert uw wachtwoord fundamenteel in een reeks onverstaanbare tekst. Iedereen die naar een hasj kijkt, ziet gebrabbel. Als je "Password123" hebt gebruikt, kan hashing de gegevens veranderen in "873kldk # 49lkdfld # 1." Een bedrijf moet uw wachtwoord hashen voordat het ergens opslaat, op die manier heeft het nooit een record van uw werkelijke wachtwoord.
Die aard van hashing maakt het een betere methode om uw wachtwoord op te slaan dan codering. Terwijl u versleutelde gegevens kunt ontsleutelen, kunt u gegevens niet 'unhashen'. Dus als een hacker in een database breekt, zullen ze geen sleutel vinden om de gehashte gegevens te ontgrendelen.
In plaats daarvan moeten ze doen wat een bedrijf doet als u uw wachtwoord opgeeft. Zout een wachtwoordgissing (als de hacker weet welk zout hij moet gebruiken), hash het en vergelijk het vervolgens met de hash in het bestand voor een match. Wanneer u uw wachtwoord bij Google of uw bank indient, volgen zij dezelfde stappen. Sommige bedrijven, zoals Facebook, nemen misschien zelfs extra "gissingen" om rekening te houden met een typefout .
Het belangrijkste nadeel van hashing is dat als twee mensen hetzelfde wachtwoord hebben, ze eindigen met de hash. Dat resultaat wordt een aanrijding genoemd. Dat is nog een reden om salt toe te voegen dat verandert van wachtwoord in wachtwoord. Een adequaat gezouten en gehasht wachtwoord heeft geen overeenkomsten.
Hackers kunnen zich uiteindelijk een weg banen door gehashte gegevens, maar het is vooral een spelletje waarbij elk denkbaar wachtwoord wordt getest en op een match wordt gehoopt. Het proces kost nog steeds tijd, waardoor u tijd heeft om uzelf te beschermen.
Wat u kunt doen om u te beschermen tegen datalekken
U kunt niet voorkomen dat bedrijven onjuist met uw wachtwoorden omgaan. En helaas komt het vaker voor dan het zou moeten zijn. Zelfs als bedrijven uw wachtwoord correct opslaan, kunnen hackers inbreuk maken op de systemen van het bedrijf en de gehashte gegevens stelen.
Gezien die realiteit mag u wachtwoorden nooit opnieuw gebruiken. In plaats daarvan moet u een ander ingewikkeld wachtwoord voor elke service die u gebruikt. Op die manier kan een aanvaller, zelfs als hij uw wachtwoord op de ene site vindt, het niet gebruiken om in te loggen op uw accounts op andere websites. Ingewikkelde wachtwoorden zijn ongelooflijk belangrijk, want hoe gemakkelijker uw wachtwoord te raden is, hoe sneller een hacker het hashing-proces kan doorbreken. Door het wachtwoord ingewikkelder te maken, wint u tijd om de schade tot een minimum te beperken.
Het gebruik van unieke wachtwoorden minimaliseert ook die schade. De hacker krijgt hoogstens toegang tot één account en u kunt een enkel wachtwoord gemakkelijker wijzigen dan tientallen. Ingewikkelde wachtwoorden zijn moeilijk te onthouden, dus wij een wachtwoordbeheerder aanbevelen . Wachtwoordbeheerders genereren en onthouden wachtwoorden voor u, en u kunt ze aanpassen om de wachtwoordregels van bijna elke site te volgen.
Sommige, zoals LastPass en 1Paswoord , bieden zelfs services aan die controleren of uw huidige wachtwoorden gecompromitteerd zijn.
Een andere goede optie is om schakel authenticatie in twee stappen in . Op die manier kunt u, zelfs als een hacker uw wachtwoord in gevaar brengt, nog steeds onbevoegde toegang tot uw accounts voorkomen.
Hoewel u een bedrijf er niet van kunt weerhouden uw wachtwoorden verkeerd te gebruiken, kunt u de gevolgen minimaliseren door uw wachtwoorden en accounts goed te beveiligen.
VERWANT: Waarom u een wachtwoordbeheerder moet gebruiken en hoe u aan de slag kunt gaan
