Содержание
Теперь мы редко проводим месяц, не слыша о каком-то нарушении данных; это может быть современный сервис, такой как Gmail
или что-то, о чем большинство из нас забыло, например, MySpace
,
Фактор повышения осведомленности о способах уборки нашей личной информации Google
, социальные медиа (особенно Facebook
) и даже наши собственные смартфоны
и никто не может обвинить вас в том, что вы немного параноидальны в отношении того, как сайты заботятся о чем-то столь важном, как ваш пароль
,
На самом деле, для спокойствия, это то, что каждый должен знать …
Сценарий наихудшего случая: простой текст
Подумайте об этом: главный сайт был взломан. Киберпреступники прорвались через любые основные меры безопасности, которые они предпринимают, возможно, воспользовавшись недостатком их архитектуры. Вы клиент. На этом сайте хранятся ваши данные. К счастью, вы были уверены, что ваш пароль в безопасности.
За исключением того, что сайт хранит ваш пароль в виде простого текста.
Это всегда была тикающая бомба. Обычные текстовые пароли просто ждут, когда их разберут. Они не используют алгоритм, чтобы сделать их нечитаемыми. Хакеры могут прочитать это так же просто, как вы читаете это предложение.
Это страшная мысль, не правда ли? Неважно, насколько сложен ваш пароль, даже если он состоит из пи-30 цифр: обычная текстовая база данных — это список всех паролей, четко прописанных, включая любые дополнительные цифры и символы, которые вы используете. Даже если хакеры не взломают сайт, действительно ли вы хотите, чтобы администратор мог видеть ваши конфиденциальные данные для входа?
# c4news
Я всегда использую хороший, надежный пароль, такой как Геркулес или Титан, и у меня никогда не было проблем …
— Не беспокойся (@emilbordon) 16 августа 2016 г.
Вы можете подумать, что это очень редкая проблема, но примерно 30% сайтов электронной коммерции используют этот метод для «защиты» ваших данных — на самом деле, существует целый блог, посвященный выявлению этих правонарушителей! До прошлого года даже в НХЛ пароли хранились таким образом, как и Adobe до серьезного нарушения.
Шокирующе, антивирусная фирма McAfee также использует простой текст.
Простой способ выяснить, использует ли сайт это, если сразу после регистрации вы получите от них электронное письмо с указанием ваших регистрационных данных. Очень хитроумно. В этом случае вы можете изменить любые сайты с тем же паролем и связаться с компанией, чтобы предупредить их, что их безопасность беспокоит.
Это не обязательно означает, что они хранят их в виде простого текста, но это хороший показатель — и они действительно не должны отправлять подобные вещи в электронных письмах в любом случае. Они могут утверждать, что у них есть межсетевые экраны и др. защищать от киберпреступников, но напоминать им, что ни одна система не является безупречной и не дает возможности потерять клиентов перед ними.
Они скоро передумают. С надеждой…
Не так хорошо, как кажется: шифрование
Так что же делают эти сайты?
Многие обратятся к шифрованию. Мы все слышали об этом: кажущийся непроницаемым способ шифрования вашей информации, делающий ее нечитаемой до тех пор, пока не будут представлены два ключа — один, удерживаемый вами (это ваши данные для входа в систему), а другой рассматриваемой компанией. Это отличная идея, которую вы должны реализовать на своем смартфоне
и другие устройства.
Интернет работает на шифрование: когда вы видите HTTPS в URL
это означает, что сайт, на котором вы находитесь, использует либо уровень защищенных сокетов (SSL)
или протоколы безопасности транспортного уровня (TLS) для проверки соединений и перемешивания данных
,
Но, несмотря на то, что вы, возможно, слышали
шифрование не идеально.
Что значит мой пароль не может содержать пробелов ???
— Дерек Кляйн (@rogue_analyst) 11 августа 2016 г.
Это должно быть безопасно, но это так же безопасно, как и то, где хранятся ключи. Если веб-сайт защищает ваш ключ (т. Е. Пароль), используя свой собственный, хакер может раскрыть последний, чтобы найти первый и расшифровать его. Требуется сравнительно небольшое усилие от вора, чтобы найти ваш пароль; Вот почему ключевые базы данных являются серьезной целью.
По сути, если их ключ хранится на том же сервере, что и ваш, ваш пароль также может быть в виде простого текста. Вот почему вышеупомянутый сайт PlainTextOffenders также перечисляет сервисы, которые используют обратимое шифрование.
Удивительно просто (но не всегда эффективно): хеширование
Теперь мы куда-то добираемся. Хеширование паролей звучит как глупый жаргон
, но это просто более безопасная форма шифрования.
Вместо того, чтобы хранить ваш пароль в виде простого текста, сайт запускает его с помощью хэш-функции, такой как MD5
Безопасный алгоритм хеширования (SHA) -1 или SHA-256, который преобразует его в совершенно другой набор цифр; это могут быть цифры, буквы или любые другие символы. Ваш пароль может быть IH3artMU0. Это может превратиться в 7dVq $ @ ihT, и если хакер взломает базу данных, это все, что они смогут увидеть. И это работает только в одну сторону. Вы не можете декодировать его обратно.
К сожалению, это не так безопасно. Это лучше, чем простой текст, но все еще довольно стандартно для киберпреступников. Ключ заключается в том, что определенный пароль создает определенный хэш. Для этого есть веская причина: каждый раз, когда вы входите в систему с паролем IH3artMU0, он автоматически проходит через эту хэш-функцию, и веб-сайт позволяет вам получить доступ, если этот хэш и тот, что в базе данных сайта, совпадают.
Это также означает, что хакеры разработали радужные таблицы, список хэшей, уже использованных другими в качестве паролей, которые сложная система может быстро выполнить как атаку методом перебора
, Если вы выбрали невероятно плохой пароль
это будет высоко на радужных столах и может быть легко взломано; более непонятные — особенно обширные комбинации — займут больше времени.
Насколько это может быть плохо? Еще в 2012 году LinkedIn был взломан
, Адреса электронной почты и соответствующие им хеши были пропущены. Это 177,5 миллионов хэшей, затрагивающих 164,6 миллиона пользователей. Вы можете подумать, что это не слишком большая проблема: они просто набор случайных цифр. Довольно неразборчиво, верно? Два профессиональных взломщика решили взять образец 6,4 миллиона хэшей и посмотреть, что они могут сделать.
Они взломали 90% из них всего за неделю.
Так хорошо, как получается: соление и медленное перемешивание
Ни одна система не является неприступной
— хакеры, естественно, будут работать, чтобы взломать любые новые системы безопасности — но более сильные методы, реализованные на самых защищенных сайтах
умнее хэши
Соленые хэши основаны на практике одноразового шифрования, случайного набора данных, генерируемого для каждого отдельного пароля, обычно очень длинного и очень сложного. Эти дополнительные цифры добавляются в начало или конец пароля (или комбинации адреса электронной почты и пароля) перед его прохождением через хэш-функцию, чтобы противодействовать попыткам с использованием радужных таблиц.
Как правило, не имеет значения, хранятся ли соли на тех же серверах, что и хэши; взлом набора паролей может занять очень много времени для хакеров, еще более усложняется, если сам пароль слишком сложен и сложен
, Вот почему вы всегда должны использовать надежный пароль, независимо от того, насколько вы доверяете безопасности сайта.
Сайты, которые особенно серьезно относятся к своей безопасности и, соответственно, к своей безопасности, все чаще обращаются к медленным хэшам в качестве дополнительной меры. Самые известные хеш-функции (MD5, SHA-1 и SHA-256) существуют уже давно и широко используются, потому что их относительно легко внедрить и очень быстро применяют хеши.
Обращайтесь с паролем как с зубной щеткой, регулярно меняйте его и не делитесь им!
— Anti-Bullying Pro (от благотворительной премии The Diana) (@AntiBullyingPro) 13 августа 2016 г.
Все еще применяя соли, медленные хэши еще лучше в борьбе с любыми атаками, которые зависят от скорости; ограничивая хакеров существенно меньшим количеством попыток в секунду, они взламывают их дольше, тем самым делая попытки менее стоящими, учитывая также пониженную вероятность успеха. Киберпреступники должны взвесить, стоит ли атаковать отнимающие много времени медленные системы хеширования за сравнительно «быстрые исправления»: медицинские учреждения обычно имеют меньшую безопасность
Например, данные, которые можно получить оттуда, можно продавать за неожиданные суммы.
,
Это также очень адаптивно: если система испытывает особую нагрузку, она может замедлиться еще больше. Coda Hale, бывший главный разработчик программного обеспечения Microsoft, сравнивает MD5 с, пожалуй, самой заметной медленной хэш-функцией, bcrypt (другие включают PBKDF-2 и scrypt):
«Вместо взлома пароля каждые 40 секунд [как в случае с MD5] я буду взламывать их каждые 12 лет или около того [когда система использует bcrypt]. Ваши пароли могут не нуждаться в такой безопасности, и вам может потребоваться более быстрый алгоритм сравнения, но bcrypt позволяет вам выбирать баланс скорости и безопасности ».
И поскольку медленный хэш все еще может быть реализован менее чем за секунду, это не должно влиять на пользователей.
Почему это имеет значение?
Когда мы используем онлайн-сервис, мы заключаем договор доверия. Вы должны быть в безопасности, зная, что ваша личная информация хранится в безопасности.
«Мой ноутбук настроен для съемки после трех попыток ввода неверного пароля» pic.twitter.com/yBNzPjnMA2
— Кошки в космосе (@CatsLoveSpace) 16 августа 2016 г.
Безопасное хранение вашего пароля
это особенно важно. Несмотря на многочисленные предупреждения, многие из нас используют один и тот же для разных сайтов, поэтому, если, например, существует нарушение Facebook
Ваши данные для входа на другие сайты, которые вы часто используете с тем же паролем, также могут быть открытой книгой для киберпреступников.
Вы обнаружили каких-либо преступников с открытым текстом? Каким сайтам вы доверяете безоговорочно? Как вы думаете, что является следующим шагом для безопасного хранения пароля?
Авторы изображения: Africa Studio / Shutterstock, неверные пароли от Lulu Hoeller; Войти по автомобильной Италии; Файлы паролей Linux от Кристиана Колена; и солонка от Карин Кристнер.
