lt.phhsnews.com


lt.phhsnews.com / Kodėl turėtumėte nerimauti, kai išmesta tarnybos slaptažodžio duomenų bazė

Kodėl turėtumėte nerimauti, kai išmesta tarnybos slaptažodžio duomenų bazė


"Mūsų slaptažodžių duomenų bazė vakar buvo pavogta. Bet nesijaudinkite: slaptažodžiai buvo užkoduoti. "Mes reguliariai skaitome tokius teiginius kaip ir šis internetinis, įskaitant vakar, iš" Yahoo ". Bet ar turėtume iš tikrųjų imti šias garantijas nominalia verte?

Tikrovė yra ta, kad slaptažodžių duomenų bazė kompromisuoja yra susirūpinimą, nesvarbu, kaip įmonė gali bandyti ją suktis. Tačiau yra keletas dalykų, kuriuos galite padaryti, kad izoliuotų save, nesvarbu, kokia yra įmonės saugumo praktika.

Kaip turėtų būti saugomi slaptažodžiai

Štai kaip įmonės turėtų saugoti slaptažodžius idealiu pasauliu: sukursite paskyrą ir pateikite slaptažodį. Vietoj paties slaptažodžio saugojimo paslauga generuoja "hash" iš slaptažodžio. Tai unikalus pirštų atspaudas, kurio negalima pakeisti. Pavyzdžiui, slaptažodis "password" gali virsti kažkuo, kuris atrodo labiau "4jfh75to4sud7gh93247g ...". Kai įvedate savo slaptažodį, kad prisijungtumėte, paslauga generuoja iš jo esantį maišos ir patikrina, ar maišos vertė atitinka duomenų bazėje saugomą vertę. Niekada paslauga niekada neišsaugo savo slaptažodžio į diską.

Norėdami nustatyti savo tikrąjį slaptažodį, užpuolikas, turintis prieigą prie duomenų bazės, turėtų iš anksto apskaičiuoti bendrų slaptažodžių maišus ir patikrinti, ar jie egzistuoja duomenų bazėje. . Užpuolikai tai daro su paieškos lentelėmis - didžiuliais maišų sąrašais, atitinkančiais slaptažodžius. Hesai tada gali būti lyginami su duomenų baze. Pavyzdžiui, užpuolikas žino "hash" slaptažodį "1" ir tada pamatysite, ar bet kurios sąskaitos duomenų bazėje naudoja tą hash. Jei jie yra, užpuolikas žino, kad jų slaptažodis yra "password1".

Norėdami to išvengti, paslaugos turėtų "druskos" savo maišus. Vietoj to, kad sukurtų hash iš paties slaptažodžio, prieš pradedant maišymą jie prideda atsitiktinę eilutę prie slaptažodžio priekio arba pabaigos. Kitaip tariant, vartotojas turėtų įvesti slaptažodį "slaptažodis", o paslauga prideda druskos ir maišos slaptažodį, kuris labiau atrodo kaip "password35s2dg." Kiekviena vartotojo sąskaita turėtų turėti unikalų druską, ir tai užtikrintų, kad kiekviena vartotojo sąskaita turės skirtingą hash vertę savo slaptažodžiui duomenų bazėje. Net jei kelioms paskyroms naudojamas slaptažodis "password1", dėl skirtingų druskos verčių jie turėtų skirtingų maišų. Tai sugebėtų užkirsti kelią užpuolikui, kuris bandė iš anksto apskaičiuoti hasles už slaptažodžius. Vietoj to, kad būtų galima kurti maišus, kurie buvo taikomi kiekvienai vartotojo abonementai visoje duomenų bazėje vienu metu, jiems reikės sukurti unikalius hashus kiekvienai vartotojo abonementui ir jo unikalią druską. Tai užtruks daug daugiau skaičiavimo laiko ir atminties.

Štai kodėl paslaugos dažnai sako, kad nerimauti. Paslauga, naudodama tinkamas saugumo procedūras, turėtų pasakyti, kad naudojo saulėtus slaptažodžių maišus. Jei jie paprasčiausiai sako, kad slaptažodžiai yra "maišomi", tai kelia susirūpinimą. "LinkedIn", pavyzdžiui, pakeitė savo slaptažodžius, tačiau jie nesupildė jų, taigi tai buvo didelis įvykis, kai "LinkedIn" 2012 m. Prarado 6,5 milijono maišytų slaptažodžių.

Blogas slaptažodžių naudojimas

Tai nėra pats sunkiausias dalykas, kurį reikia įgyvendinti. , tačiau daugeliui svetainių vis dar pavyksta įveikti įvairius būdus:

  • Slaptažodžių saugojimas paprastu tekstu : užuot stengdamiesi susimąstyti, kai kurie blogiausi pažeidėjai gali tiesiog išmesti slaptažodžius paprasta teksto forma į duomenų bazė. Jei tokia duomenų bazė yra pažeista, jūsų slaptažodžiai yra akivaizdžiai pažeisti. Nesvarbu, kiek jie buvo stiprūs.
  • Hidrauliniai slaptažodžiai be jų sulaikymo : kai kurios paslaugos gali keisti slaptažodžius ir atsisakyti jų, nenorėdamos naudoti druskos. Tokios slaptažodžių bazės būtų labai pažeidžiamos paieškos lentelėse. Užpuolikas gali sugeneruoti daugeliui slaptažodžių esančius maišus ir tada patikrinti, ar jie egzistavo duomenų bazėje - jie galėjo tai padaryti kiekvieną sąskaitą iš karto, jei nebuvo panaudota druska.
  • Grįžtamasis druskas : kai kurioms paslaugoms gali būti naudojama druska, bet jie gali pakartotinai naudoti tą pačią druską kiekvienam vartotojo abonemento slaptažodį. Tai yra beprasmiška, jei kiekvienam vartotojui būtų naudojama ta pati druska, du vartotojai, turintys tą patį slaptažodį, turėtų tą patį maišą.
  • Trumpųjų druskų naudojimas : jei naudojami tik kelių skaitmenų druskos, būtų galima sukurti paieškos lenteles, į kurias būtų įtraukta visa įmanoma druska. Pavyzdžiui, jei vienas skaitmuo buvo naudojamas kaip druska, užpuolikas gali lengvai generuoti maišų sąrašus, į kuriuos įtraukta visa galimo druska.

Įmonės ne visada jums pasakys visą istoriją, taigi net jei jie sako, kad slaptažodis buvo maišomas (arba maišyti ir sūdyti), jie gali nenaudoti geriausios praktikos. Visada klaida atsargiai.

Kiti rūpesčiai

Tikėtina, kad druskos vertė taip pat yra slaptažodžių duomenų bazėje. Tai nėra blogai - jei kiekvienam vartotojui būtų naudojama unikali druskos vertė, užpuolikai turės praleisti didžiulį CPU galingumą, nutraukdami visus šiuos slaptažodžius.

Praktiškai, daugelis žmonių naudoja akivaizdžius slaptažodžius, kurie greičiausiai būti lengva nustatyti daug vartotojo abonemento slaptažodžius. Pavyzdžiui, jei užpuolikas žino jūsų maišą ir jie žino savo druską, jie gali lengvai patikrinti, ar naudojate dažniausiai pasitaikančius slaptažodžius.

SUSIJĘS: Kaip atakuotojai iš tikrųjų "nuskaitymo" sąskaitas internete ir Kaip apsaugoti save

Jei užpuolikas jį išjungia ir nori įstrigti savo slaptažodį, jis gali tai padaryti su brutalia jėga tol, kol jie žino druskos vertę, kurią jie, tikriausiai, daro. Su vietine neprisijungus prieiga prie slaptažodžių duomenų bazių, užpuolikai gali panaudoti visas jiems reikalingas brutalių jėgų išpuolius.

Kai slaptažodžių duomenų bazė yra pavogta, gali būti ir kiti asmens duomenys: vartotojo vardai, el. Pašto adresai ir kt. "Yahoo" nuotėkio atveju taip pat buvo išsiųsti saugumo klausimai ir atsakymai - tai, kaip mes visi žinome, palengvina prieigą prie kažkieno sąskaitos.

Pagalba, ką turėčiau daryti?

Nepriklausomai nuo paslaugos teikimo kai jos slaptažodžių duomenų bazė yra pavogta, geriausia manyti, kad kiekviena paslauga yra visiškai nekompetentinga ir atitinkamai elgiasi.

Pirma, nepasinaudokite slaptažodžiais keliose svetainėse. Naudokite slaptažodžių tvarkyklę, kuri sukuria unikalius slaptažodžius kiekvienai svetainei. Jei užpuolikas sugeba sužinoti, kad jūsų paslaugos slaptažodis yra "43 ^ tSd% 7uho2 # 3" ir jūs naudojate tą slaptažodį tik vienoje konkrečioje svetainėje, jie nieko nesužinojo naudingu. Jei visur naudojate tą patį slaptažodį, jie gali pasiekti kitas jūsų paskyras. Tai yra tai, kiek daug žmonių sąskaitų tampa "įsilaužta".

Jei paslauga tampa pavojinga, būtinai pakeiskite ten naudojamą slaptažodį. Jūs taip pat turėtumėte pakeisti slaptažodį kitose svetainėse, jei ją pakartotinai naudojate - bet pirmiausia neturėtumėte tai daryti.

Taip pat turėtumėte apsvarstyti galimybę naudoti dviejų faktorių autentifikavimą, kuris apsaugo jus, net jei užpuolikas sužino jūsų slaptažodis.

Svarbiausias dalykas nėra pakartotinis slaptažodžių naudojimas. Kompiuterizuotos slaptažodžių duomenų bazės negali jums pakenkti, jei naudojate unikalų slaptažodį visur - nebent jie saugo kažką svarbaus duomenų bazėje, pvz., Jūsų kredito kortelės numerį.

Vaizdo įrašų kreditas: Marc Falardeau, "Flickr", "Wikimedia Commons"


Kas yra

Kas yra "Wake-on-LAN" ir kaip tai padaryti?

Technologijos dažnai duoda juokingų patogumų, pavyzdžiui, galite įjungti kompiuterį iš mylių, nepaspaudžiant maitinimo mygtuko. "Wake-on-LAN" yra maždaug tam tikru metu, todėl pažiūrėkime, kaip tai veikia ir kaip galime jį įjungti. Kas yra "Wake-on-LAN"? "Wake-on-LAN" (kartais sutrumpintas WoL) yra pramoninis standartinis protokolas, skirtas kompiuteriams pabusti nuo pat labai mažo galingumo režimo.

(how-top)

Nori greito įkrovimo? Nenaudokite savo automobilio USB prievadų

Nori greito įkrovimo? Nenaudokite savo automobilio USB prievadų

Jei turite palyginti naują automobilį, tikriausiai USB jungtis yra prietaisų skydelyje, pirštinės dėžutėje arba centrinėje konsolėje. Taigi, žinoma, jūs tiesiog turėtumėte juos naudoti, kad galėtumėte apmokestinti savo įrenginius, ar ne? SUSIJĘS: Kaip pasirinkti geriausią USB įkrovimo stotį visoms jūsų mini programoms Deja, "built-in" jūsų automobilio uostuose yra gana anemija, kai kalbama apie stiprintuvą.

(how-top)