Bir Servisin Şifre Veri Tabanı Her Sızdığında Neden Endişelenmelisiniz?
“Parola veritabanımız dün çalındı. Ancak endişelenmeyin: şifreleriniz şifrelenmiştir. ”Düzenli olarak dün de dahil olmak üzere çevrimiçi olarak Yahoo'dan ifadeler görüyoruz. Fakat bu güvenceleri gerçekten de gerçek değerde mi almalıyız??
Gerçek şu ki, şifre veritabanı ödün veriyor Hangi Bir şirket onu nasıl döndürmeye çalışacak olursa olsun, bir endişe. Ancak, bir şirketin güvenlik uygulamaları ne kadar kötü olursa olsun, kendinizi izole etmek için yapabileceğiniz birkaç şey var..
Şifreler Nasıl Saklanmalı?
İşte şirketler şifreleri ideal bir dünyada nasıl saklamalıdır: Bir hesap oluşturup bir şifre verdiniz. Parolanın kendisini saklamak yerine, hizmet paroladan bir "karma" oluşturur. Bu, tersine çevrilemeyen eşsiz bir parmak izidir. Örneğin, “şifre” şifresi “4jfh75to4sud7gh93247g…” gibi görünen bir şeye dönüşebilir. Giriş yapmak için şifrenizi girdiğinizde, servis ondan bir karma oluşturur ve karma değerin veritabanında depolanan değerle eşleşip eşleşmediğini kontrol eder. Hiçbir zaman hizmet, şifrenizi hiçbir zaman diske kaydetmez..
Gerçek şifrenizi belirlemek için, veritabanına erişimi olan bir saldırganın ortak şifreler için karmaları önceden hesaplaması ve ardından veritabanında olup olmadıklarını kontrol etmesi gerekir. Saldırganlar bunu, arama tablolarında, şifrelere uyan büyük karma listelerinde yaparlar. Karmalar daha sonra veritabanıyla karşılaştırılabilir. Örneğin, bir saldırgan “password1” için karmayı bilir ve ardından veritabanında herhangi bir hesabın o karı kullanıp kullanmadığını görür. Eğer öyleyse, saldırgan şifrelerinin “password1” olduğunu biliyor.
Bunu önlemek için, servisler hashlerini “tuzlandırmalıdır”. Parolanın kendisinden bir karma oluşturmak yerine, şifreyi sağlamadan önce parolanın önüne veya sonuna rasgele bir dize eklerler. Başka bir deyişle, bir kullanıcı “parola” parolasını girer ve hizmet “parola 35s2dg” gibi görünen bir parola ekler ve parolayı ekler. veritabanındaki şifresi için farklı bir karma değere sahip olacaktır. Birden fazla hesap “şifre1” şifresini kullansa bile, farklı tuz değerleri nedeniyle farklı karmaları olur. Bu, şifreler için hash öncesi hesaplamaya çalışan bir saldırganı yenecektir. Veritabanının tamamında her kullanıcı hesabına uygulanan karmaları aynı anda oluşturmak yerine, her kullanıcı hesabı için benzersiz karmaları ve benzersiz tuzlarını oluşturmaları gerekir. Bu işlem çok daha fazla hesaplama süresi ve hafızası alır..
Bu nedenle hizmetler sık sık endişe etmemeyi söylüyor. Uygun güvenlik prosedürlerini kullanan bir servis, tuzlu şifre karma kullandıklarını söylemelidir. Eğer sadece şifrelerin “karıştığını” söylüyorlarsa, bu daha endişe verici. Örneğin, LinkedIn şifrelerini aldı, ancak tuz koymadı, bu yüzden LinkedIn 2012'de 6,5 milyon karma şifreyi kaybettiğinde büyük bir sorun oldu..
Kötü Şifre Uygulamaları
Bu, uygulanması en zor şey değil, ancak birçok web sitesi yine de çeşitli şekillerde karışıklığa neden oluyor:
- Şifrelerin Düz Metin Olarak Depolanması: Sıkıştırma ile uğraşmak yerine, en kötü suçlulardan bazıları şifreleri yalnızca düz metin biçiminde bir veritabanına atabilir. Eğer böyle bir veritabanı tehlikeye girerse, şifreleriniz açıkça tehlikeye girer. Ne kadar güçlü oldukları önemli değil..
- Şifreleri Tuzlamadan Çözmek: Bazı servisler şifreleri kullanabilir ve orada pes ederek tuz kullanmamayı tercih edebilir. Bu tür şifre veritabanları arama tablolarına karşı çok savunmasız olacaktır. Bir saldırgan birçok parola için hash üretebilir ve daha sonra veritabanında bulunup bulunmadıklarını kontrol edebilir - tuz kullanılmamışsa bunu her hesap için aynı anda yapabilirler.
- Tuzları Yeniden Kullanma: Bazı servisler bir tuz kullanabilir, ancak her kullanıcı hesabı şifresi için aynı tuzu yeniden kullanabilirler. Bu anlamsız - eğer her kullanıcı için aynı tuz kullanılırsa, aynı parolaya sahip iki kullanıcı aynı karmaya sahip olur.
- Kısa Tuz Kullanmak: Yalnızca birkaç basamaklı tuzlar kullanılırsa, her olası tuzu içeren arama tabloları oluşturmak mümkün olacaktır. Örneğin, bir rakam bir tuz olarak kullanılmışsa, saldırgan her olası tuzu içeren karma listelerini kolayca oluşturabilir..
Şirketler size tüm hikayeyi her zaman anlatmayacaklar, bu yüzden bir şifrenin şifrelenmiş (veya karma ve tuzlanmış) olduğunu söyleseler bile, en iyi uygulamaları kullanmıyor olabilirler. Her zaman dikkatli ol.
Diğer endişeler
Parola veritabanında tuz değerinin de mevcut olması olasıdır. Bu fena değil - eğer her kullanıcı için benzersiz bir tuz değeri kullanılırsa, saldırganların tüm bu şifreleri kırmak için büyük miktarda CPU gücü harcaması gerekecek.
Uygulamada, pek çok kişi birçok kullanıcı hesabının şifresini belirlemenin kolay olacağını belirten açık şifreler kullanır. Örneğin, bir saldırgan karmaşınızı biliyorsa ve tuzunuzu biliyorsa, en yaygın şifrelerden bazılarını kullanıp kullanmadığınızı kolayca kontrol edebilir.
Eğer bir saldırgan sizin için çıkarsa ve şifrenizi kırmak istiyorsa, muhtemelen kullandıkları tuz değerini bildikleri sürece kaba kuvvetle yapabilirler. Parola veritabanlarına yerel, çevrimdışı erişim ile, saldırganlar istedikleri tüm kaba kuvvet saldırılarını kullanabilirler.
Diğer kişisel veriler de bir şifre veritabanı çalındığında büyük olasılıkla sızdırıyor: Kullanıcı adları, e-posta adresleri ve daha fazlası. Yahoo sızıntısı durumunda, güvenlik soruları ve cevapları da sızdırıldı - ki bu, hepimizin bildiği gibi, birinin hesabına erişimi çalmayı kolaylaştırıyor.
Yardım, Ne Yapmalıyım??
Bir şifre şifresi çalındığında bir hizmet ne söylerse söylensin, her hizmetin tamamen yetersiz olduğunu varsaymak ve buna göre hareket etmek en iyisidir..
İlk olarak, şifreleri birden fazla web sitesinde tekrar kullanmayın. Her web sitesi için benzersiz şifreler üreten bir şifre yöneticisi kullanın. Bir saldırgan, bir hizmet için şifrenizin “43 ^ tSd% 7uho2 # 3” olduğunu keşfetmeyi başarırsa ve bu şifreyi yalnızca belirli bir web sitesinde kullanırsanız, yararlı hiçbir şey öğrenmemişlerdir. Her yerde aynı şifreyi kullanırsanız, diğer hesaplarınıza erişebilirler. Bu, kaç kişinin hesabının “saldırıya uğradığı” anlamına geliyor.
Bir servis tehlikeye girerse, orada kullandığınız şifreyi değiştirdiğinizden emin olun. Orada tekrar kullanırsanız şifreyi diğer sitelerde de değiştirmelisiniz - ancak ilk başta bunu yapmamalısınız.
Ayrıca, bir saldırgan şifrenizi öğrense bile sizi koruyacak olan iki faktörlü kimlik doğrulamayı kullanmayı düşünmelisiniz..
En önemli şey şifreleri tekrar kullanmamaktır. Her yerde benzersiz bir şifre kullanırsanız, tehlikeye atılan şifre veritabanları size zarar veremez - veritabanında önemli bir şey saklamadıkça, kredi kartı numaranız gibi.
Resim Kredisi: Flickr'da Marc Falardeau, Wikimedia Commons