Stvarnost je da kompromitiranje baze podataka lozinki su zabrinutost, bez obzira na to kako ga tvrtka može pokušati spinirati. Ali postoji nekoliko stvari koje možete učiniti kako biste se izolirali, bez obzira koliko su loše sigurnosne prakse neke tvrtke.
Kako se lozinke trebaju pohraniti
Evo kako tvrtke trebaju pohranjivati lozinke u idealnom svijetu: stvorili ste račun i unijeli zaporku. Umjesto spremanja lozinke, usluga generira "hash" iz lozinke. Ovo je jedinstven otisak prsta koji se ne može preokrenuti. Na primjer, lozinka "lozinka" može se pretvoriti u nešto što izgleda nalik "4jfh75to4sud7gh93247g …". Kada unesete zaporku za prijavu, usluga generira hash od nje i provjerava da li vrijednost hash odgovara vrijednosti pohranjenoj u bazi podataka. Ni u kojem trenutku usluga nikad ne sprema vašu zaporku na disk.
Kako bi to spriječili, usluge bi trebale "soliti" svoje hashe. Umjesto izrade hash-a iz same lozinke, dodaju slučajni niz prednji ili kraj zaporke prije nego što ga iskrvarimo. Drugim riječima, korisnik bi unio lozinku "lozinku" i usluga će dodati sol i hash lozinku koja izgleda više poput "password35s2dg". Svaki korisnički račun bi trebao imati svoju jedinstvenu sol, a to bi osigurala da svaki korisnički račun imali bi različite vrijednosti hash-vrijednosti za svoju lozinku u bazi podataka. Čak i ako su više računa koristili zaporku "password1", imali bi različite hashe zbog različitih vrijednosti soli. To bi porazilo napadača koji je pokušao unaprijed izračunati hashe za lozinke. Umjesto da može generirati hashe koji su se primjenjivali na svaki korisnički račun u cijeloj bazi podataka odjednom, morali bi generirati jedinstvene hashe za svaki korisnički račun i njegovu jedinstvenu sol. To bi trebalo mnogo više vremena i memorije računanja.
Zbog toga se usluge često ne brinu. Usluga koja koristi odgovarajuće sigurnosne postupke trebala bi reći da upotrebljavaju slane lozinke. Ako jednostavno kažu da su lozinke "hashed", to je više zabrinjavajuće. Na primjer, LinkedIn izbrisali su svoje lozinke, ali nisu ih solili, pa je bilo velika stvar kada je LinkedIn izgubio 6.5 milijuna raspršenih lozinki tijekom 2012. godine.
Loše lozinke
- Pohranjivanje zaporki u običan tekst: Umjesto da gnjavite s hashing, neki od najgorih prijestupnika svibanj jednostavno izvatkom lozinke u običnom obliku teksta u bazu podataka. Ako je takva baza podataka ugrožena, vaše lozinke očito su ugrožene. Nije važno koliko su jaki.
- Udaranje lozinki bez njih: Neke usluge mogu izbrisati lozinke i odustati od toga, odlučujući da ne koriste soli. Takve baze podataka za zaporku bit će vrlo ranjive na tablice pretraživanja. Napadač može generirati hashe za mnoge lozinke, a zatim provjeriti postoje li u bazi podataka - to bi moglo učiniti za svaki račun odjednom, ako se ne koristi sol.
- Ponovno korištenje soka: Neke usluge mogu koristiti sol, ali mogu upotrijebiti istu sol za svaku lozinku za korisnički račun. To je besmisleno - ako se za svakog korisnika upotrebljava ista sol, dva korisnika s istom lozinkom imali bi isti hash.
- Koristeći kratke soli: Ako se koriste soli od samo nekoliko znamenaka, bilo bi moguće generirati tablice za pretraživanje koje su uključile svaku moguću sol. Na primjer, ako je jedna znamenka korištena kao sol, napadač bi mogao lako generirati popise haseva koji su uključili svaku moguću sol.
Tvrtke vam neće uvijek reći cijelu priču pa čak i ako kažu da je lozinka bila istaknuta (ili raspršena i slana), možda neće koristiti najbolje postupke. Uvijek pogriješite na strani opreza.
Ostale zabrinutosti
Vjerojatno je da je vrijednost soli također prisutna u bazi podataka za lozinku. To nije tako loše - ako se za svakog korisnika koristi jedinstvena vrijednost soli, napadači bi morali potrošiti ogromne količine CPU snage prekidanja svih tih lozinki.
U praksi, toliko ljudi koristi očite zaporke da bi bilo lako odrediti mnoge lozinke korisničkih računa. Na primjer, ako napadač zna vaše hashe i znaju vašu sol, lako se mogu provjeriti da li koristite neke od najčešćih zaporki.
Ako vas napadač ima za vas i želi razbiti vašu lozinku, to može učiniti silovito, sve dok znaju koliko ima soli - što vjerojatno čine.S lokalnim, izvanmrežnim pristupom bazama podataka lozinki, napadači mogu zaposliti sve napade koje su željeli.
I drugi osobni podaci vjerojatno propuštaju kada se ukrade lozinka baze podataka: korisnička imena, adrese e-pošte i još mnogo toga. U slučaju curenja Yahoo-a, također su procurila sigurnosna pitanja i odgovori - što, kako svi znamo, lakše ukrasti pristup nečijem računu.
Pomoć, Što trebam učiniti?
Bez obzira na uslugu koja govori kada je ukradena baza podataka za lozinku, najbolje je pretpostaviti da je svaka usluga potpuno nesposobna i djelovati u skladu s tim.
Prvo, nemojte ponovno koristiti zaporke na više web mjesta. Upotrijebite upravitelja zaporki koja generira jedinstvene zaporke za svaku web stranicu. Ako napadač otkrije da je vaša zaporka za uslugu "43 ^ tSd% 7uho2 # 3", a tu lozinku koristite samo na određenoj web-lokaciji, nisu naučili ništa korisno. Ako upotrebljavate istu lozinku svugdje, mogli bi pristupiti vašim drugim računima. Ovo je koliko računa ljudi postaju "sjeckani".
Također biste trebali koristiti autentifikaciju s dva faktora, koja će vas zaštititi čak i ako napadač uči svoju zaporku.
Najvažnija stvar nije ponovno korištenje lozinki. Kompromitirane baze podataka lozinke ne mogu vas ozlijediti ako koristite jedinstvenu lozinku svugdje - osim ako pohranjujete nešto drugo važno u bazi podataka, primjerice vašu kreditnu karticu.
