Tosiasia on, että salasanatietokanta kompromissee olemme huoli siitä, miten yritys voi yrittää pyöriä sitä. Mutta on olemassa muutamia asioita, joita voit tehdä eristääkseen, vaikka kuinka huono yritys turvallisuuskäytännöt ovat.
Miten salasanat pitäisi tallentaa
Näin yritykset pitävät salasanoja ihanteellisessa maailmassa: Luo tili ja anna salasana. Salasanan tallentamisen sijasta palvelu tuottaa salasanan "hash". Tämä on ainutlaatuinen sormenjälki, jota ei voi kääntää. Esimerkiksi salasanan "salasana" voi muuttua jotain, joka näyttää enemmän kuin "4jfh75to4sud7gh93247g …". Kun annat salasanasi kirjautumiseen, palvelu tuottaa hajautuksen siitä ja tarkistaa, onko hajautusarvo vastaava tietokantaan tallennettua arvoa. Palvelu ei missään vaiheessa koskaan tallenna salasanaasi levylle.
Tämän estämiseksi palvelujen pitäisi "suolaa" niiden hashoja. Sen sijaan, että luotaisi salasanan itse, lisätään satunnainen merkkijonon salasanan etuosaan tai loppuun ennen kuin se haetaan. Toisin sanoen käyttäjä syöttää salasanan "salasana" ja palvelu lisää suolan ja hash salasanan, joka näyttää enemmän kuin "password35s2dg". Jokaisella käyttäjätilillä pitäisi olla oma ainutlaatuinen suola, mikä varmistaisi, että kukin käyttäjätili saisi salasanan erilaisen hash-arvon tietokannassa. Vaikka useat käyttäjät käyttäisivät salasanaa "password1", heillä olisi erilaiset hashoutumat erilaisten suolaveden vuoksi. Tämä heikentäisi hyökkääjän, joka yritti ennalta laskea salasanojen salasanat. Sen sijaan, että pystyt tuottamaan kertakorvauksia, joita sovellettiin jokaiseen käyttäjätiliin koko tietokannassa kerralla, niiden pitäisi luoda ainutkertaisia kopioita jokaiselle käyttäjätilille ja sen ainutlaatuiselle suolalle. Tämä vie paljon enemmän laskenta-aikaa ja muistia.
Siksi palvelut sanovat usein huolta. Asianmukaisten turvajärjestelyjen tarjoavan palvelun tulisi sanoa käyttävänsä suolattuja salasanoja. Jos he vain sanovat, että salasanat ovat "hashed", se on huolestuttavaa. LinkedIn pyysi esimerkiksi salasanojaan, mutta ei suolaa niitä, joten LinkedIn menetti 6,5 miljoonan salasanan salasanan vuonna 2012.
Huono salasana käytäntöjä
- Salasanojen tallentaminen tavalliselle tekstille: Sen sijaan, että häiritsisivät hajauttamista, jotkut pahimmista rikoksentekijöistä voivat vain tyhjentää salasanat tekstimuodossa tietokantaan. Jos tällainen tietokanta vaarantuu, salasanasi on ilmeisesti vaarantunut. Ei väliä kuinka vahvoja he olivat.
- Salasanan salakuunteleminen ilman suolaamista: Jotkut palvelut saattavat salata salasanat ja luovuttaa siellä, päättäen olla käyttämättä suoloja. Tällaiset salasanatietokannat olisivat hyvin alttiita hakutaulukkoille. Hyökkääjä voi tuottaa hashoja useille salasanoille ja tarkistaa, onko ne olemassa tietokannassa - he voisivat tehdä tämän jokaiselle tilille kerralla, jos suolaa ei käytetä.
- Uudelleen käyttämistä suoloista: Jotkin palvelut saattavat käyttää suolaa, mutta ne voivat käyttää samaa suolaa jokaiseen käyttäjätilin salasanaan. Tämä on hyödytöntä - jos samaa suolaa käytettiin jokaiselle käyttäjälle, kaksi samaa salasanaa käyttävällä käyttäjällä olisi sama hash.
- Käyttämällä lyhyitä suoloja: Jos käytetään vain muutamaa numeroa sisältäviä suoloja, olisi mahdollista tuottaa hakutaulukkoja, jotka sisälsivät kaikki mahdolliset suolat. Esimerkiksi, jos yhtä numeroa käytettiin suolana, hyökkääjä pystyi helposti luomaan luetteloita hashista, jotka sisälsivät kaikki mahdolliset suolat.
Yritykset eivät aina kerro koko tarinaa, joten vaikka he sanovat, että salasana on haudottu (tai haudutettu ja suolattu), he eivät välttämättä käytä parhaita käytäntöjä. Aja aina varovasti.
Muut huolet
On todennäköistä, että suola-arvo on myös salasanatietokannassa. Tämä ei ole niin huono - jos kullekin käyttäjälle käytettiin ainutlaatuista suola-arvoa, hyökkääjät joutuisivat käyttämään massiivisia määriä suorittimen tehoa katkaisemalla kaikki nämä salasanat.
Käytännössä niin monet ihmiset käyttävät ilmeisiä salasanoja, joiden avulla on todennäköistä, että monet käyttäjätunnusten salasanat ovat helposti määritettävissä. Esimerkiksi jos hyökkääjä tuntee haudan ja tietää suustasi, he voivat helposti tarkistaa, käytätkö joitain yleisimpiä salasanoja.
Jos hyökkääjällä on se puolestasi ja haluaa salata salasanasi, he voivat tehdä sen raa'alla voimalla niin kauan kuin he tietävät suola-arvon, jonka he todennäköisesti tekevät.Paikallinen, offline pääsy salasanatietokantoihin hyökkääjät voivat käyttää kaikkia heitä haluamiaan raa'at hyökkäykset.
Myös muita henkilötietoja todennäköisesti vuotaa, kun salasanatietokanta on varastettu: käyttäjätunnukset, sähköpostiosoitteet ja paljon muuta. Yahoo-vuotojen tapauksessa myös turvallisuuskysymykset ja vastaukset olivat vuotaneet - jotka, kuten me kaikki tiedämme, helpottavat pääsyä jonkun tilille.
Apua, mitä minun pitäisi tehdä?
Riippumatta siitä, mitä palvelu sanoo, kun salasanatietokanta on varastettu, on parasta olettaa, että jokainen palvelu on täysin epäpätevä ja toimivat vastaavasti.
Älä käytä salasanoja useaan verkkosivustoon. Käytä salasanakehittäjää, joka luo ainutlaatuiset salasanat kullekin verkkosivustolle. Jos hyökkääjä havaitsee, että palvelun salasana on "43 ^ tSd% 7uho2 # 3" ja käytät vain kyseistä tietyn verkkosivuston salasanaa, he eivät ole oppineet mitään hyödyllistä. Jos käytät samaa salasanaa kaikkialla, he voivat käyttää muita tilejäsi. Näin monet ihmiset tilit tulevat "hakkeroituiksi".
Sinun tulisi myös harkita kahden tekijän todennusta, joka suojaa sinua, vaikka hyökkääjä oppii salasanasi.
Tärkeintä ei ole käyttää salasanoja uudelleen. Salatut salasanatietokannat eivät voi vahingoittaa sinua, jos käytät ainutlaatuista salasanaa kaikkialla - paitsi jos tallennat tietokannassa jotain muuta, kuten luottokorttisi numeroa.
