Mai multe companii au recunoscut recent că au stocat parole în format text simplu. Este ca și cum ar fi stocarea unei parole în Notepad și salvarea acesteia ca fișier .txt. Parolele ar trebui să fie sărate și sigilate pentru securitate, deci de ce nu se întâmplă asta în 2019?
De ce nu ar trebui stocate parolele în text simplu
Când o companie stochează parolele în text simplu, oricine are baza de date a parolelor - sau orice alt fișier în care sunt stocate parolele - le poate citi. Dacă un hacker obține acces la fișier, acesta poate vedea toate parolele.
Stocarea parolelor în text simplu este o practică teribilă. Companiile ar trebui să facă săruri și să introducă parole, ceea ce reprezintă un alt mod de a spune „adăugarea de date suplimentare la parolă și apoi amestecarea într-un mod care nu poate fi inversat” De obicei, asta înseamnă că, chiar dacă cineva fură parolele dintr-o bază de date, acestea sunt inutilizabile. Când vă conectați, compania poate verifica dacă parola dvs. se potrivește cu versiunea codată stocată - dar nu pot „funcționa înapoi” din baza de date și nu vă pot determina parola.
Deci, de ce companiile stochează parolele în text simplu? Din păcate, uneori companiile nu iau în serios securitatea. Sau aleg să compromită securitatea în numele comodității. În alte cazuri, compania face totul bine atunci când vă stochează parola. Dar ar putea adăuga capabilități de înregistrare exagerate, care înregistrează parolele în text simplu.
Mai multe companii au stocate necorespunzător parole
Este posibil să fiți deja afectat de practicile slabe, deoarece Robinhood , Google , Facebook , GitHub, Twitter și altele au stocat parole în text simplu.
În cazul Google, compania a reușit să adune și săreaze parolele în mod adecvat pentru majoritatea utilizatorilor. Dar Parolele contului G Suite Enterprise au fost stocate în text simplu. Compania a spus că aceasta era o practică rămasă din momentul în care a oferit administratorilor de domeniu instrumente pentru recuperarea parolelor. Dacă Google ar fi stocat corect parolele, acest lucru nu ar fi fost posibil. Doar un proces de resetare a parolei funcționează pentru recuperare atunci când parolele sunt stocate corect.
Când și Facebook admis la stocarea parolelor în text simplu, nu a dat exact cauza problemei. Dar puteți deduce problema dintr-o actualizare ulterioară:
… Am descoperit jurnale suplimentare de parole Instagram stocate într-un format lizibil.
Uneori, o companie va face totul bine atunci când va stoca inițial parola. Și apoi adăugați funcții noi care cauzează probleme. Pe lângă Facebook, Robinhood , Github , și Stare de nervozitate parole cu text simplu înregistrate accidental.
Înregistrarea este utilă pentru a găsi probleme în aplicații, hardware și chiar cod de sistem. Dar, dacă o companie nu testează această capacitate de înregistrare în detaliu, aceasta poate provoca mai multe probleme decât rezolvă.
În cazul Facebook și Robinhood, atunci când utilizatorii și-au furnizat numele de utilizator și parola pentru a se conecta, funcția de logare a putut vedea și înregistra numele de utilizator și parolele în timp ce erau tastate. Apoi a stocat aceste jurnale în altă parte. Oricine avea acces la aceste jurnale avea tot ce avea nevoie pentru a prelua un cont.
În rare ocazii, o companie precum T-Mobile Australia poate ignora importanța securității, uneori în numele comodității. Într-o schimb de Twitter șters de atunci , un reprezentant T-Mobile a explicat unui utilizator că compania stochează parolele în text simplu. Stocarea parolelor în acest fel a permis reprezentanților serviciului pentru clienți să vadă primele patru litere ale unei parole pentru confirmare. Când alți utilizatori de Twitter au arătat în mod corespunzător cât de rău ar fi dacă cineva a spart serverele companiei, reprezentantul a răspuns:
Ce se întâmplă dacă acest lucru nu se întâmplă deoarece securitatea noastră este uimitor de bună?
Compania a șters aceste tweets și ulterior a anunțat acest lucru toate parolele vor fi în curând sărate și mărunțite . Dar nu a trecut atât de mult înainte de companie cineva îi încălcase sistemele . T-Mobile a spus că parolele furate au fost criptate, dar acest lucru nu este la fel de bun ca parolele hashing.
Cum ar trebui companiile să păstreze parolele
Companiile nu ar trebui să stocheze niciodată parole cu text simplu. În schimb, parolele ar trebui să fie sărat, apoi tăiat . Este important să știți ce este sărarea și diferența dintre criptare și hash .
Salting Adaugă text suplimentar la parola ta
Saltarea parolelor este un concept direct. Procesul adaugă, în esență, text suplimentar la parola pe care ați furnizat-o.
Gândiți-vă la asta ca la adăugarea de numere și litere la sfârșitul parolei obișnuite. În loc să utilizați „Parolă” pentru parola dvs., puteți să tastați „Parolă123” (vă rugăm să nu folosiți niciodată una dintre aceste parole). Sarea este un concept similar: înainte ca sistemul să vă hasheze parola, adaugă text suplimentar.
Deci, chiar dacă un hacker intră într-o bază de date și fură datele utilizatorilor, va fi mult mai greu să se constate care este parola reală. Hackerul nu va ști ce parte este sare și ce parte este parolă.
Companiile nu ar trebui să reutilizeze datele sărate din parolă în parolă. În caz contrar, poate fi furată sau spartă și astfel inutilizată. Datele sărate variate în mod corespunzător previn, de asemenea, coliziunile (mai multe despre acestea mai târziu).
Criptarea nu este opțiunea potrivită pentru parole
Următorul pas pentru stocarea corectă a parolei dvs. este hash-ul. Hashing-ul nu trebuie confundat cu criptarea.
Când criptați datele, le transformați ușor pe baza unei chei. Dacă cineva cunoaște cheia, poate schimba datele înapoi. Dacă v-ați jucat vreodată cu un inel de decodor care vă spunea „A = C”, atunci ați criptat datele. Știind că „A = C”, atunci puteți afla că acel mesaj a fost doar o reclamă ovaltină.
Dacă un hacker intră într-un sistem cu date criptate și reușesc să fure și cheia de criptare, atunci parolele dvs. pot fi la fel de bine text simplu.
Hashing vă transformă parola în Gibberish
Hash-ul pentru parole transformă fundamental parola într-un șir de text neinteligibil. Oricine se uită la un hash ar vedea tâmpenii. Dacă ați folosit „Password123”, hashing-ul ar putea schimba datele în „873kldk # 49lkdfld # 1”. O companie ar trebui să hasheze parola dvs. înainte de a o stoca oriunde, astfel nu va avea niciodată o înregistrare a parolei dvs.
Această natură a hashing-ului îl face o metodă mai bună de stocare a parolei decât criptarea. În timp ce puteți decripta datele criptate, nu puteți „desconsidera” datele. Deci, dacă un hacker intră într-o bază de date, nu va găsi o cheie pentru a debloca datele hash.
În schimb, vor trebui să facă ceea ce face o companie atunci când vă trimiteți parola. Sareați o presupunere a parolei (dacă hackerul știe ce sare să folosească), hash-o, apoi comparați-o cu hash-ul din dosar pentru o potrivire. Când trimiteți parola dvs. către Google sau către banca dvs., aceștia urmează aceiași pași. Unele companii, cum ar fi Facebook, pot lua chiar „ghici” suplimentare pentru a contabiliza o greșeală de scriere .
Principalul dezavantaj al hashing-ului este că, dacă două persoane au aceeași parolă, atunci vor ajunge la hash. Acest rezultat se numește o coliziune. Acesta este un alt motiv pentru a adăuga sare care se schimbă de la parolă la parolă. O parolă adecvată sărată și marcată nu va avea nicio potrivire.
Hackerii ar putea, în cele din urmă, să-și deschidă datele prin hash, dar este în mare parte un joc de testare a fiecărei parole imaginabile și speranța unui meci. Procesul durează încă, ceea ce vă oferă timp să vă protejați.
Ce puteți face pentru a vă proteja împotriva încălcărilor de date
Nu puteți împiedica companiile să vă gestioneze necorespunzător parolele. Și, din păcate, este mai frecvent decât ar trebui să fie. Chiar și atunci când companiile vă stochează corect parola, hackerii pot încălca sistemele companiei și pot fura datele hash.
Având în vedere această realitate, nu trebuie să refolosiți niciodată parolele. În schimb, ar trebui să furnizați un altă parolă complicată la fiecare serviciu pe care îl utilizați. În acest fel, chiar dacă un atacator vă găsește parola pe un singur site, nu îl poate folosi pentru a vă conecta la conturile dvs. de pe alte site-uri web. Parolele complicate sunt extrem de importante, deoarece cu cât parola dvs. este mai ușor de ghicit, cu atât mai repede un hacker poate trece prin procesul de hashing. Facând parola mai complicată, câștigați timp pentru a minimiza daunele.
Utilizarea parolelor unice minimizează de asemenea acele daune. Cel mult, hackerul va avea acces la un singur cont și puteți schimba o singură parolă mai ușor decât zeci. Parolele complicate sunt greu de reținut, așa că noi recomand un manager de parole . Administratorii de parole generează și își amintesc parolele pentru dvs. și le puteți ajusta pentru a respecta regulile de parolă de pe aproape orice site.
Ceva ca LastPass și 1 Parola , chiar oferă servicii care verifică dacă parolele dvs. actuale sunt compromise.
O altă opțiune bună este să activați autentificarea în doi pași . În acest fel, chiar dacă un hacker vă compromite parola, este posibil să împiedicați accesul neautorizat la conturile dvs.
Deși nu puteți împiedica o companie să vă gestioneze greșit parolele, puteți minimiza consecințele securizând corect parolele și conturile.
LEGATE DE: De ce ar trebui să utilizați un manager de parole și cum să începeți
