"Mūsų slaptažodžių duomenų bazė vakar buvo pavogta. Bet nesijaudinkite: slaptažodžiai buvo užkoduoti. "Mes reguliariai skaitome tokius teiginius kaip ir šis internetinis, įskaitant vakar, iš" Yahoo ". Bet ar turėtume iš tikrųjų imti šias garantijas nominalia verte?
Tikrovė yra ta, kad slaptažodžių duomenų bazė kompromisuoja yra susirūpinimą, nesvarbu, kaip įmonė gali bandyti ją suktis. Tačiau yra keletas dalykų, kuriuos galite padaryti, kad izoliuotų save, nesvarbu, kokia yra įmonės saugumo praktika.
Štai kaip įmonės turėtų saugoti slaptažodžius idealiu pasauliu: sukursite paskyrą ir pateikite slaptažodį. Vietoj paties slaptažodžio saugojimo paslauga generuoja "hash" iš slaptažodžio. Tai unikalus pirštų atspaudas, kurio negalima pakeisti. Pavyzdžiui, slaptažodis "password" gali virsti kažkuo, kuris atrodo labiau "4jfh75to4sud7gh93247g ...". Kai įvedate savo slaptažodį, kad prisijungtumėte, paslauga generuoja iš jo esantį maišos ir patikrina, ar maišos vertė atitinka duomenų bazėje saugomą vertę. Niekada paslauga niekada neišsaugo savo slaptažodžio į diską.
Norėdami nustatyti savo tikrąjį slaptažodį, užpuolikas, turintis prieigą prie duomenų bazės, turėtų iš anksto apskaičiuoti bendrų slaptažodžių maišus ir patikrinti, ar jie egzistuoja duomenų bazėje. . Užpuolikai tai daro su paieškos lentelėmis - didžiuliais maišų sąrašais, atitinkančiais slaptažodžius. Hesai tada gali būti lyginami su duomenų baze. Pavyzdžiui, užpuolikas žino "hash" slaptažodį "1" ir tada pamatysite, ar bet kurios sąskaitos duomenų bazėje naudoja tą hash. Jei jie yra, užpuolikas žino, kad jų slaptažodis yra "password1".
Norėdami to išvengti, paslaugos turėtų "druskos" savo maišus. Vietoj to, kad sukurtų hash iš paties slaptažodžio, prieš pradedant maišymą jie prideda atsitiktinę eilutę prie slaptažodžio priekio arba pabaigos. Kitaip tariant, vartotojas turėtų įvesti slaptažodį "slaptažodis", o paslauga prideda druskos ir maišos slaptažodį, kuris labiau atrodo kaip "password35s2dg." Kiekviena vartotojo sąskaita turėtų turėti unikalų druską, ir tai užtikrintų, kad kiekviena vartotojo sąskaita turės skirtingą hash vertę savo slaptažodžiui duomenų bazėje. Net jei kelioms paskyroms naudojamas slaptažodis "password1", dėl skirtingų druskos verčių jie turėtų skirtingų maišų. Tai sugebėtų užkirsti kelią užpuolikui, kuris bandė iš anksto apskaičiuoti hasles už slaptažodžius. Vietoj to, kad būtų galima kurti maišus, kurie buvo taikomi kiekvienai vartotojo abonementai visoje duomenų bazėje vienu metu, jiems reikės sukurti unikalius hashus kiekvienai vartotojo abonementui ir jo unikalią druską. Tai užtruks daug daugiau skaičiavimo laiko ir atminties.
Štai kodėl paslaugos dažnai sako, kad nerimauti. Paslauga, naudodama tinkamas saugumo procedūras, turėtų pasakyti, kad naudojo saulėtus slaptažodžių maišus. Jei jie paprasčiausiai sako, kad slaptažodžiai yra "maišomi", tai kelia susirūpinimą. "LinkedIn", pavyzdžiui, pakeitė savo slaptažodžius, tačiau jie nesupildė jų, taigi tai buvo didelis įvykis, kai "LinkedIn" 2012 m. Prarado 6,5 milijono maišytų slaptažodžių.
Tai nėra pats sunkiausias dalykas, kurį reikia įgyvendinti. , tačiau daugeliui svetainių vis dar pavyksta įveikti įvairius būdus:
Įmonės ne visada jums pasakys visą istoriją, taigi net jei jie sako, kad slaptažodis buvo maišomas (arba maišyti ir sūdyti), jie gali nenaudoti geriausios praktikos. Visada klaida atsargiai.
Tikėtina, kad druskos vertė taip pat yra slaptažodžių duomenų bazėje. Tai nėra blogai - jei kiekvienam vartotojui būtų naudojama unikali druskos vertė, užpuolikai turės praleisti didžiulį CPU galingumą, nutraukdami visus šiuos slaptažodžius.
Praktiškai, daugelis žmonių naudoja akivaizdžius slaptažodžius, kurie greičiausiai būti lengva nustatyti daug vartotojo abonemento slaptažodžius. Pavyzdžiui, jei užpuolikas žino jūsų maišą ir jie žino savo druską, jie gali lengvai patikrinti, ar naudojate dažniausiai pasitaikančius slaptažodžius.
SUSIJĘS: Kaip atakuotojai iš tikrųjų "nuskaitymo" sąskaitas internete ir Kaip apsaugoti save
Jei užpuolikas jį išjungia ir nori įstrigti savo slaptažodį, jis gali tai padaryti su brutalia jėga tol, kol jie žino druskos vertę, kurią jie, tikriausiai, daro. Su vietine neprisijungus prieiga prie slaptažodžių duomenų bazių, užpuolikai gali panaudoti visas jiems reikalingas brutalių jėgų išpuolius.
Kai slaptažodžių duomenų bazė yra pavogta, gali būti ir kiti asmens duomenys: vartotojo vardai, el. Pašto adresai ir kt. "Yahoo" nuotėkio atveju taip pat buvo išsiųsti saugumo klausimai ir atsakymai - tai, kaip mes visi žinome, palengvina prieigą prie kažkieno sąskaitos.
Nepriklausomai nuo paslaugos teikimo kai jos slaptažodžių duomenų bazė yra pavogta, geriausia manyti, kad kiekviena paslauga yra visiškai nekompetentinga ir atitinkamai elgiasi.
Pirma, nepasinaudokite slaptažodžiais keliose svetainėse. Naudokite slaptažodžių tvarkyklę, kuri sukuria unikalius slaptažodžius kiekvienai svetainei. Jei užpuolikas sugeba sužinoti, kad jūsų paslaugos slaptažodis yra "43 ^ tSd% 7uho2 # 3" ir jūs naudojate tą slaptažodį tik vienoje konkrečioje svetainėje, jie nieko nesužinojo naudingu. Jei visur naudojate tą patį slaptažodį, jie gali pasiekti kitas jūsų paskyras. Tai yra tai, kiek daug žmonių sąskaitų tampa "įsilaužta".
Jei paslauga tampa pavojinga, būtinai pakeiskite ten naudojamą slaptažodį. Jūs taip pat turėtumėte pakeisti slaptažodį kitose svetainėse, jei ją pakartotinai naudojate - bet pirmiausia neturėtumėte tai daryti.
Taip pat turėtumėte apsvarstyti galimybę naudoti dviejų faktorių autentifikavimą, kuris apsaugo jus, net jei užpuolikas sužino jūsų slaptažodis.
Svarbiausias dalykas nėra pakartotinis slaptažodžių naudojimas. Kompiuterizuotos slaptažodžių duomenų bazės negali jums pakenkti, jei naudojate unikalų slaptažodį visur - nebent jie saugo kažką svarbaus duomenų bazėje, pvz., Jūsų kredito kortelės numerį.
Vaizdo įrašų kreditas: Marc Falardeau, "Flickr", "Wikimedia Commons"
Kaip nustatyti tuščią "Google" žemėlapius "Chrome"
Ar kada nors einate į" Google "žemėlapius savo kompiuteryje tik norėdami pamatyti tuščią perlamutrinę tinklelį? Tai tikrai erzina, ir tai nėra atsitikti dėl kokių nors akivaizdžių priežasčių. Vis tiek galima naudoti "Google" žemėlapius, kai jis tampa panašus į tai. Galite ieškoti ir rasti konkrečius adresus, bet pagrindinė funkcija yra daugiau ar mažiau.
Antenos pagalba nėra nieko panašaus į nemokamą televizorių. Bet ar ne, jei galėtumėte gauti tiesioginį TV srautą savo kompiuteryje, planšetiniame kompiuteryje ar "Xbox"? SUSIJĘS: Kaip gauti HD televizijos kanalus nemokamai (nemokant kabelio) Tuner kortelės ir išorinės dėžutės nėra visiškai nauja technologija, tačiau technologija ir naudojimo paprastumas yra pažengusios šviesos metus.