Waarom Zou Je Zorgen te maken Wanneer een Service Password-Database Is Gelekt

0
313

“Ons het wachtwoord van de database gestolen was gisteren. Maar maak je geen zorgen: uw wachtwoorden zijn versleuteld.” We zien regelmatig uitspraken als deze online, met inbegrip van gisteren, van Yahoo. Maar moeten we nu echt van deze verzekeringen tegen de nominale waarde?

De realiteit is dat de wachtwoord database compromissen zijn een punt van zorg, ongeacht hoe kan een bedrijf probeert om te draaien. Maar er zijn een paar dingen die je kunt doen om te isoleren jezelf, maakt niet uit hoe slecht een bedrijf beveiligingsprocedures worden.

Hoe Wachtwoorden Opgeslagen Moet Worden

Hier is hoe bedrijven moeten het opslaan van wachtwoorden in een ideale wereld: U maakt een account aan en geef een wachtwoord op. In plaats van het opslaan van het wachtwoord zelf, de service genereert een “hash” van het wachtwoord. Dit is een unieke vingerafdruk die niet kunnen worden teruggedraaid. Bijvoorbeeld, het wachtwoord “wachtwoord” kunnen omzetten in iets dat lijkt meer op “4jfh75to4sud7gh93247g…”. Wanneer u uw wachtwoord invoeren om in te loggen, de service genereert een hash uit en controleert of de hash-waarde overeenkomt met de waarde die is opgeslagen in de database. Op geen enkel punt is de service ooit uw wachtwoord opslaan, zelf te schijf.

Voor het bepalen van uw werkelijke wachtwoord, een aanvaller met toegang tot de database moet vooraf berekenen van de hashes voor veelgebruikte wachtwoorden en dan controleren of ze bestaan in de database. Aanvallers doen dit met opzoektabellen—enorme lijsten van hashes overeenkomen met wachtwoorden. De hashes kunnen vervolgens worden vergeleken met de database. Bijvoorbeeld, een aanvaller zou weten dat de hash voor ‘password1’ en dan kijken of er rekeningen in de database met behulp van die hash. Als ze zijn, de aanvaller weet dat hun wachtwoord is “password1”.

Om dit te voorkomen, moeten de diensten van “zout” hun hashes. In plaats van het creëren van een hash van het wachtwoord zelf, ze voegen een random string is aan de voorkant of aan het einde van de wachtwoord hash. In andere woorden zou een gebruiker voer het wachtwoord in “wachtwoord” en de service voeg het zout en de hash van een wachtwoord dat lijkt meer op “password35s2dg.” Elke gebruiker moet rekening hebben hun eigen unieke zout, en dit zou ervoor zorgen dat elke gebruiker account zou hebben een verschillende hash-waarde voor hun wachtwoord in de database. Zelfs als u meerdere accounts gebruikt het wachtwoord ‘password1″, zou ze hebben verschillende hashes vanwege de verschillende zout-waarden. Dit zou verslaan van een aanvaller die probeert te pre-berekenen-hashes van wachtwoorden. In plaats van de mogelijkheid tot het genereren van hashes die toegepast wordt voor elke gebruikersaccount in de hele database in één keer, zou ook voor het genereren van unieke hashes voor elke gebruikersaccount en de unieke zout. Dit zou veel meer rekentijd en geheugen.

Dit is de reden waarom diensten vaak zeggen geen zorgen te maken. Een service met de juiste security-procedures moeten zeggen dat ze gezouten werden met behulp van een wachtwoord-hashes. Als ze gewoon zijn te zeggen dat de wachtwoorden zijn “hashed” dat is nog verontrustender. LinkedIn hash hun wachtwoorden, bijvoorbeeld, maar ze hadden geen zout hen—het is dus een big deal als LinkedIn verloren 6,5 miljoen gecodeerde wachtwoorden in 2012.

Slechte Wachtwoord Praktijken

Dit is niet het moeilijkste ding om te implementeren, maar veel websites nog steeds een puinhoop van maakt in een verscheidenheid van manieren:

  • Het opslaan van Wachtwoorden in Platte Tekst: in Plaats van dat gedoe met hashing, sommige van de ergste overtreders kan gewoon dumpen de wachtwoorden in platte tekst formulier in een database. Als een dergelijke database is aangetast, uw wachtwoorden zijn natuurlijk in het gedrang. Het zou niet uit hoe sterk ze waren.
  • Hashen van Wachtwoorden Zonder Zout Hen: Sommige services zijn mogelijk hash wachtwoorden en geven er de keuze om niet te gebruiken zouten. Dit wachtwoord in databases is erg kwetsbaar zijn om lookup tabellen. Een aanvaller kan het genereren van hashes voor vele wachtwoorden en dan controleren of ze bestonden in de database — ze kunnen dit doen voor elke account in als er geen zout is gebruikt.
  • Hergebruik van Zouten: Sommige services kunnen gebruik maken van een zout, maar ze kunnen het hergebruik van dezelfde zout voor elk gebruikersaccount een wachtwoord. Dit is zinloos—als dezelfde zout gebruikt werden voor elke gebruiker twee gebruikers hetzelfde wachtwoord zou hebben dezelfde hash.
  • Met behulp van Korte Zouten: Als zouten van slechts een paar cijfers worden gebruikt, zou het mogelijk zijn om het genereren van lookup tabellen met daarin opgenomen alle mogelijke zout. Bijvoorbeeld, als een enkel cijfer werden gebruikt als een zout, de aanvaller kan eenvoudig genereren van lijsten van hashes die opgenomen alle mogelijke zout.

Bedrijven niet altijd vertellen het hele verhaal, dus zelfs als ze zeggen dat er een wachtwoord is versleuteld (of gehashed en gezouten), ze mag niet met behulp van de best practices. Altijd het zekere voor het onzekere.

Andere Aandachtspunten

Het is waarschijnlijk dat de salt-waarde is ook aanwezig in de wachtwoord database. Dat is niet slecht—als een unieke zout waarde werden gebruikt voor elke gebruiker, van de aanvallers zou moeten besteden enorme bedragen van de CPU-kracht breken van al die wachtwoorden.

In de praktijk, zo veel mensen gebruik maken van voor de hand liggende wachtwoorden dat het waarschijnlijk zou gemakkelijk zijn om te bepalen veel accounts van gebruikers wachtwoorden. Bijvoorbeeld, als een aanvaller weet je hash en ze weten dat je zout, kunnen ze gemakkelijk controleren om te zien als je met behulp van enkele van de meest voorkomende wachtwoorden.

GERELATEERD ARTIKELHoe Aanvallers Eigenlijk “Hack-Accounts” Online en Hoe om Jezelf te Beschermen

Als een aanvaller het voor je uit en wil kraken uw wachtwoord, kunnen ze doen het met brute kracht zolang ze weten het zout waarde die ze waarschijnlijk doen. Met lokale, offline toegang met een wachtwoord, databases, kunnen aanvallers gebruiken alle de brute-force-aanvallen die ze willen.

Andere persoonlijke gegevens ook waarschijnlijk lekt wanneer het wachtwoord van de database gestolen wordt: Gebruikersnamen, e-mailadressen, en meer. In het geval van de Yahoo lek, beveiliging vragen en antwoorden waren ook gelekt—die, zoals we allemaal weten, wordt het gemakkelijker maken om te stelen toegang tot iemands account.

Help, Wat Moet Ik Doen?

Wat een service zegt als de wachtwoord database is gestolen, het is het beste om te veronderstellen dat elke dienst is volledig incompetent en dienovereenkomstig te handelen.

Het eerste, niet het hergebruik van wachtwoorden op meerdere websites. Het gebruik van een password manager, die genereert een unieke wachtwoorden voor elke website. Als een aanvaller erin slaagt om te ontdekken dat je het wachtwoord van een dienst is “43^tSd%7uho2#3″ en alleen u dat wachtwoord op één specifieke website, ze hebben niets geleerd nuttig. Als je gebruikt overal hetzelfde wachtwoord, kunnen ze toegang krijgen tot uw andere accounts. Dit is hoe veel mensen de rekeningen worden ‘ gehackt.”

Als een service niet gecompromitteerd wordt, zorg dat het wachtwoord dat u gebruikt. U moet ook het wachtwoord wijzigen op andere sites als je opnieuw gebruiken — maar je zou het niet moeten doen dat in de eerste plaats.

U moet ook rekening houden met het gebruik van twee-factor authenticatie, die je zal beschermen, zelfs als een aanvaller leert uw wachtwoord.

GERELATEERDE ARTIKELENWaarom Moet U een Wachtwoord Manager, en Hoe je aan de SlagWat Is Twee-Factor Authenticatie, en Waarom Heb ik Het Nodig?

Het belangrijkste is niet het hergebruiken van wachtwoorden. Besmette wachtwoord database kan niet je pijn als u een uniek wachtwoord overal — tenzij ze slaan iets anders dat belangrijk is in de database, zoals uw creditcard-nummer.

Image Credit: Marc Falardeau op Flickr, Wikimedia Commons