“Cơ sở dữ liệu mật khẩu của chúng tôi đã bị đánh cắp ngày hôm qua. Nhưng đừng lo lắng: mật khẩu của bạn đã được mã hóa. " Chúng tôi thường xuyên thấy những tuyên bố như thế này trên mạng, kể cả ngày hôm qua, từ Yahoo . Nhưng chúng ta có nên thực sự coi những đảm bảo này theo mệnh giá không?
Thực tế là cơ sở dữ liệu mật khẩu xâm phạm Chúng tôi một mối quan tâm, bất kể một công ty có thể cố gắng xoay xở nó như thế nào. Tuy nhiên, có một số điều bạn có thể làm để cách ly bản thân, bất kể các phương pháp bảo mật của công ty có tệ đến đâu.
Mật khẩu nên được lưu trữ như thế nào
Dưới đây là cách các công ty nên lưu trữ mật khẩu trong một thế giới lý tưởng: Bạn tạo tài khoản và cung cấp mật khẩu. Thay vì lưu trữ chính mật khẩu, dịch vụ tạo ra một "băm" từ mật khẩu. Đây là một dấu vân tay duy nhất không thể hoàn nguyên. Ví dụ: mật khẩu “password” có thể biến thành một thứ giống như “4jfh75to4sud7gh93247g…”. Khi bạn nhập mật khẩu của mình để đăng nhập, dịch vụ sẽ tạo một hàm băm từ nó và kiểm tra xem giá trị băm có khớp với giá trị được lưu trữ trong cơ sở dữ liệu hay không. Dịch vụ không bao giờ lưu mật khẩu của bạn vào ổ đĩa.
Để xác định mật khẩu thực của bạn, kẻ tấn công có quyền truy cập vào cơ sở dữ liệu sẽ phải tính toán trước các hàm băm cho các mật khẩu phổ biến và sau đó kiểm tra xem chúng có tồn tại trong cơ sở dữ liệu hay không. Những kẻ tấn công thực hiện điều này bằng các bảng tra cứu — danh sách khổng lồ các hàm băm khớp với mật khẩu. Các băm sau đó có thể được so sánh với cơ sở dữ liệu. Ví dụ, kẻ tấn công sẽ biết mã băm cho “password1” và sau đó xem liệu có tài khoản nào trong cơ sở dữ liệu đang sử dụng hàm băm đó hay không. Nếu đúng như vậy, kẻ tấn công biết mật khẩu của họ là “password1”.
Để ngăn chặn điều này, các dịch vụ nên "muối" các hàm băm của họ. Thay vì tạo một hàm băm từ chính mật khẩu, họ thêm một chuỗi ngẫu nhiên vào phía trước hoặc cuối mật khẩu trước khi băm nó. Nói cách khác, người dùng sẽ nhập mật khẩu “password” và dịch vụ sẽ thêm muối và băm một mật khẩu trông giống như “password35s2dg”. Mỗi tài khoản người dùng phải có muối duy nhất của riêng họ và điều này sẽ đảm bảo rằng mỗi tài khoản người dùng sẽ có một giá trị băm khác nhau cho mật khẩu của họ trong cơ sở dữ liệu. Ngay cả khi nhiều tài khoản sử dụng mật khẩu "password1", chúng sẽ có các hàm băm khác nhau do các giá trị muối khác nhau. Điều này sẽ đánh bại kẻ tấn công đã cố gắng tính toán trước các hàm băm cho mật khẩu. Thay vì có thể tạo các hàm băm áp dụng cho mọi tài khoản người dùng trong toàn bộ cơ sở dữ liệu cùng một lúc, họ phải tạo các hàm băm duy nhất cho từng tài khoản người dùng và muối duy nhất của nó. Điều này sẽ tốn nhiều thời gian tính toán và bộ nhớ hơn.
Đây là lý do tại sao các dịch vụ thường nói đừng lo lắng. Một dịch vụ sử dụng các quy trình bảo mật thích hợp sẽ nói rằng họ đang sử dụng hàm băm mật khẩu mặn. Nếu họ chỉ đơn giản nói rằng mật khẩu đã được “băm” thì điều đó còn đáng lo ngại hơn. Ví dụ, LinkedIn đã băm mật khẩu của họ, nhưng họ không ướp chúng — vì vậy đó là một vấn đề lớn khi LinkedIn mất 6,5 triệu mật khẩu băm vào năm 2012 .
Thực tiễn Mật khẩu Không hợp lệ
Đây không phải là điều khó thực hiện nhất, nhưng nhiều trang web vẫn xoay sở để làm rối nó theo nhiều cách:
- Lưu trữ mật khẩu ở dạng văn bản thuần túy : Thay vì bận tâm với việc băm, một số kẻ vi phạm tồi tệ nhất có thể chỉ đưa mật khẩu ở dạng văn bản thuần túy vào cơ sở dữ liệu. Nếu một cơ sở dữ liệu như vậy bị xâm phạm, mật khẩu của bạn rõ ràng đã bị xâm phạm. Không quan trọng họ mạnh đến mức nào.
- Băm mật khẩu mà không cần muối : Một số dịch vụ có thể băm mật khẩu và từ bỏ ở đó, chọn không sử dụng muối. Cơ sở dữ liệu mật khẩu như vậy sẽ rất dễ bị tấn công bởi các bảng tra cứu. Kẻ tấn công có thể tạo mã băm cho nhiều mật khẩu và sau đó kiểm tra xem chúng có tồn tại trong cơ sở dữ liệu hay không - chúng có thể thực hiện việc này cho mọi tài khoản cùng một lúc nếu không có muối nào được sử dụng.
- Tái sử dụng muối : Một số dịch vụ có thể sử dụng một muối, nhưng chúng có thể sử dụng lại cùng một muối cho mọi mật khẩu tài khoản người dùng. Điều này là vô nghĩa — nếu cùng một loại muối được sử dụng cho mọi người dùng, thì hai người dùng có cùng mật khẩu sẽ có cùng một hàm băm.
- Sử dụng muối ngắn : Nếu các muối chỉ có một vài chữ số được sử dụng, có thể tạo các bảng tra cứu kết hợp mọi muối có thể. Ví dụ: nếu một chữ số duy nhất được sử dụng làm muối, kẻ tấn công có thể dễ dàng tạo danh sách các hàm băm kết hợp mọi muối có thể.
Các công ty không phải lúc nào cũng kể cho bạn nghe toàn bộ câu chuyện, vì vậy ngay cả khi họ nói rằng mật khẩu đã được băm (hoặc băm và ướp muối), họ có thể không sử dụng các phương pháp hay nhất. Luôn luôn sai lầm ở khía cạnh thận trọng.
Mối quan tâm khác
Có khả năng là giá trị muối cũng có trong cơ sở dữ liệu mật khẩu. Điều này không tệ lắm — nếu một giá trị muối duy nhất được sử dụng cho mỗi người dùng, những kẻ tấn công sẽ phải tiêu tốn một lượng lớn năng lượng CPU để phá vỡ tất cả các mật khẩu đó.
Trên thực tế, rất nhiều người sử dụng mật khẩu rõ ràng nên có thể dễ dàng xác định được mật khẩu của nhiều tài khoản người dùng. Ví dụ: nếu kẻ tấn công biết hàm băm của bạn và chúng biết muối của bạn, chúng có thể dễ dàng kiểm tra xem bạn có đang sử dụng một số mật khẩu phổ biến nhất hay không.
LIÊN QUAN: Làm thế nào những kẻ tấn công thực sự "Hack tài khoản" trực tuyến và cách bảo vệ bản thân
Nếu kẻ tấn công có nó cho bạn và muốn bẻ khóa mật khẩu của bạn, họ có thể làm điều đó một cách thô bạo miễn là họ biết giá trị muối - điều mà họ có thể làm. Với quyền truy cập cục bộ, ngoại tuyến vào cơ sở dữ liệu mật khẩu, những kẻ tấn công có thể sử dụng tất cả các lực lượng tấn công họ muốn.
Các dữ liệu cá nhân khác cũng có khả năng bị rò rỉ khi cơ sở dữ liệu mật khẩu bị đánh cắp: Tên người dùng, địa chỉ email, v.v. Trong trường hợp bị rò rỉ Yahoo, các câu hỏi và câu trả lời bảo mật cũng bị rò rỉ — như chúng ta đều biết, việc lấy cắp quyền truy cập vào tài khoản của ai đó trở nên dễ dàng hơn.
Trợ giúp, Tôi nên làm gì?
Dù dịch vụ nói gì khi cơ sở dữ liệu mật khẩu của nó bị đánh cắp, thì tốt nhất hãy cho rằng mọi dịch vụ hoàn toàn không đủ năng lực và hành động theo đó.
Trước tiên, không sử dụng lại mật khẩu trên nhiều trang web. Sử dụng trình quản lý mật khẩu tạo mật khẩu duy nhất cho mỗi trang web . Nếu kẻ tấn công phát hiện ra rằng mật khẩu của bạn cho một dịch vụ là “43 ^ tSd% 7uho2 # 3” và bạn chỉ sử dụng mật khẩu đó trên một trang web cụ thể, chúng sẽ không học được gì hữu ích. Nếu bạn sử dụng cùng một mật khẩu ở mọi nơi, họ có thể truy cập vào các tài khoản khác của bạn. Đây là bao nhiêu tài khoản của người bị “tấn công”.
Nếu một dịch vụ bị xâm phạm, hãy đảm bảo thay đổi mật khẩu bạn sử dụng ở đó. Bạn cũng nên thay đổi mật khẩu trên các trang web khác nếu bạn sử dụng lại mật khẩu ở đó - nhưng bạn không nên làm điều đó ngay từ đầu.
Bạn cũng nên cân nhắc sử dụng xác thực hai yếu tố , điều này sẽ bảo vệ bạn ngay cả khi kẻ tấn công biết được mật khẩu của bạn.
LIÊN QUAN: Tại sao bạn nên sử dụng Trình quản lý mật khẩu và Cách bắt đầu
Điều quan trọng nhất là không sử dụng lại mật khẩu. Cơ sở dữ liệu mật khẩu bị xâm nhập không thể làm hại bạn nếu bạn sử dụng một mật khẩu duy nhất ở mọi nơi - trừ khi chúng lưu trữ thứ gì đó quan trọng khác trong cơ sở dữ liệu, chẳng hạn như số thẻ tín dụng của bạn.
Tín dụng hình ảnh: Marc Falardeau trên Flickr , Wikimedia Commons
