“Unsere Passwort-Datenbank gestohlen wurde gestern. Aber keine Sorge: Ihre Passwörter verschlüsselt wurden.” Sehen wir regelmäßig Aussagen wie diese online, einschließlich gestern, von Yahoo. Aber sollten wir wirklich diese Zusicherungen für Bare Münze?
Die Realität ist, dass die Passwort-Datenbank Kompromisse ein Anliegen ist, egal wie ein Unternehmen kann versuchen, sich zu drehen. Aber es gibt ein paar Dinge, die Sie tun können, um zu isolieren Sie sich, egal, wie schlecht eine Firma, die Sicherheitsverfahren sind.
Wie Passwörter Gespeichert Werden Sollen
Hier ist, wie sollten die Unternehmen speichern von Passwörtern in einer idealen Welt: erstellen Sie ein Konto und ein Kennwort angeben. Statt der Speicherung der Passwort selbst, der service generiert einen “hash” aus dem Passwort. Dies ist ein eindeutiger Fingerabdruck, der kann nicht rückgängig gemacht werden. Zum Beispiel ist das Passwort “Passwort” kann Sie sich in etwas, das sieht eher aus wie “4jfh75to4sud7gh93247g…”. Wenn Sie Ihr Passwort eingeben um sich anzumelden, muss der service generiert einen Hashwert aus und überprüft, ob der hash-Wert entspricht dem Wert in der Datenbank gespeichert. Zu keinem Zeitpunkt hat der service immer speichern Sie Ihr Passwort selbst auf der Festplatte.
Ermitteln Sie Ihre tatsächliche Kennwort, ein Angreifer mit Zugriff auf die Datenbank haben, um pre-berechnen hashes für die gemeinsame Passwörter und überprüfen Sie dann, ob Sie in der Datenbank vorhanden. Die Angreifer tun dies mit lookup-Tabellen—große Listen von hashes, die übereinstimmung der Passwörter. Die hashes kann dann gegenüber der Datenbank. Zum Beispiel, ein Angreifer wissen, den hash für “password1” und dann sehen, ob irgendwelche Konten in der Datenbank werden mit diesem hash. Wenn Sie, der Angreifer kennt Ihr das Passwort “password1”.
Um dies zu verhindern, sollten die Dienste “Salz” deren hashes. Statt der Erstellung einer hash aus dem Passwort selbst, fügen Sie eine zufällige Zeichenfolge, die vor oder am Ende des Passworts vor dem Hashen. In anderen Worten, ein Benutzer geben Sie das Kennwort “Kennwort” und der service würde hinzufügen von Salz und hash ein Passwort, das sieht eher aus wie “password35s2dg.” Jedes Benutzerkonto haben sollten, Ihre eigenen einzigartigen Salz, und dies würde sicherstellen, dass jeder Benutzer-account hätte einen anderen hash-Wert für Ihr Kennwort in der Datenbank. Auch wenn mehrere Konten verwendet werden, das Passwort “password1”, hätten Sie unterschiedliche hashes aufgrund der unterschiedlichen salt-Werten. Dies widerspräche ein Angreifer, der versucht, zu pre-compute-hashes für Passwörter. Anstatt in der Lage, zum generieren von hashes, die für jedes Benutzerkonto in die gesamte Datenbank auf einmal, hätten Sie generieren eindeutige hashes für jedes Benutzerkonto und die einzigartige Salz. Dies würde viel mehr Rechenzeit und Speicher.
Dies ist der Grund, warum Dienstleistungen, die sagen oft nicht zu sorgen. Ein service mit den richtigen Sicherheitsmaßnahmen sollte sagen, Sie waren mit gesalzene Passwort-hashes. Wenn Sie einfach sagen, die Passwörter sind “Hash”, das ist mehr beunruhigend. LinkedIn hashed passwords, zum Beispiel, aber Sie hat nicht das Salz—so war es eine große Sache, wenn LinkedIn verloren 6,5 Millionen Hash-Passwörter im Jahr 2012.
Falsches Kennwort Praktiken
Dies ist nicht das härteste, was zu implementieren, aber viele Webseiten immer noch zu verwalten, um es Durcheinander in einer Vielzahl von Möglichkeiten:
- Die Speicherung von Passwörtern im Klartext: Anstatt die Mühe mit der Vermischung auf, einige der schlimmsten übeltäter können nur dump die Passwörter in Klartext-form in eine Datenbank. Wenn eine solche Datenbank kompromittiert ist, Ihre Passwörter sind natürlich gefährdet. Es würde keine Rolle, wie stark Sie waren.
- Hashing der Passwörter Ohne Salzen Sie: Einige services kann die hash-Passwörter und geben dort die Entscheidung, nicht zu verwenden, Salzen. Solche Passwort-Datenbanken wäre sehr anfällig für lookup-Tabellen. Ein Angreifer könnte die Hashwerte erzeugen für viele Passwörter und überprüfen Sie dann, ob Sie es in der Datenbank — Sie könnten tun Sie dies für jedes Konto auf, wenn kein Salz verwendet wurde.
- Die Wiederverwendung von Salzen: Einige Dienste verwenden möglicherweise ein Salz, aber Sie können die Wiederverwendung der gleichen salt für alle Benutzer-account-Passwort. Dies ist sinnlos, wenn das gleiche Salz verwendet wurden, für jeden Benutzer sind zwei Benutzer mit dem gleichen Passwort hätte den gleichen hash.
- Mit Kurz-Salze: Wenn Salze von nur ein paar Ziffern verwendet, wäre es möglich, erzeugen lookup-Tabellen, incorporated jedes mögliche Salz. Zum Beispiel, wenn eine einzelne Ziffer eingesetzt wurden, wie ein Salz, der Angreifer kann einfach erzeugen Listen von hashes, incorporated jedes mögliche Salz.
Unternehmen werden nicht immer erzählen Sie die ganze Geschichte, also auch wenn Sie sagen, dass ein Passwort-Hash (oder gehasht und gesalzen), Sie dürfen nicht mit den best practices. Immer irren auf der Seite der Vorsicht.
Andere Sorgen
Es ist wahrscheinlich, dass der salt-Wert ist auch in der Passwort-Datenbank. Dies ist nicht so schlimm—wenn eine unique-salt-Wert verwendet wurden, für jeden Benutzer, der Angreifer hätte verbringen riesige Mengen an CPU-Leistung brechen alle diese Kennwörter.
In der Praxis, so viele Menschen nutzen Sie offensichtliche Passwörter, wäre es wahrscheinlich, einfach zu bestimmen, viele Benutzerkonten Passwörter. Zum Beispiel, wenn ein Angreifer weiß, dass Ihre hash-und Sie wissen, Ihr Salz ist, können Sie leicht überprüfen, um zu sehen, wenn Sie einige der häufigsten Passwörter.
VERWANDTE ARTIKEL
Wie Angreifer Eigentlich “Hack-Konten” Online und Wie Sie Sich Schützen können
Wenn ein Angreifer hat es sich für Sie und will Ihr Passwort zu knacken, können Sie es tun mit brute-force-solange Sie wissen, dass der salt-Wert—was Sie vermutlich nicht. Mit lokalen, offline-Zugriff auf Passwort-Datenbanken, können Angreifer nutzen alle die brute-force-Attacken, die Sie wollen.
Andere persönliche Daten, die wahrscheinlich auch Lecks, wenn eine Passwort-Datenbank gestohlen: Benutzernamen, email-Adressen, und vieles mehr. Im Falle des Yahoo-Leck, Sicherheits-Fragen und Antworten sind auch ausgetreten—was, wie wir alle wissen, machen es leichter, zu stehlen, Zugriff auf jemandes Konto.
Hilfe, Was Soll Ich Tun?
Was ein service, sagt, wenn seine Passwort-Datenbank gestohlen wird, ist es am besten zu der Annahme, dass jeder Dienst ist völlig inkompetent und entsprechend zu handeln.
Erste, nicht wiederverwenden Passwörter auf mehreren Webseiten. Verwenden Sie einen Passwort-manager, erzeugt einzigartige Passwörter für jede website. Wenn es einem Angreifer gelingt, zu entdecken, dass Ihr Passwort für einen Dienst “43^tSd%7uho2#3” und verwenden Sie nur das Kennwort auf, dass eine bestimmte website, Sie habe gelernt, nichts sinnvolles. Wenn Sie das gleiche Kennwort verwenden überall, könnten Sie den Zugriff auf Ihre anderen Konten. Dies ist, wie viele Leute die accounts werden “gehackt.”
Wenn ein Dienst nicht kompromittiert werden, sicher sein, um das Kennwort zu ändern verwenden Sie es. Sollten Sie auch ändern Sie das Kennwort auf anderen Websites, wenn Sie es wiederverwenden dort — aber Sie nicht tun sollten, dass in den ersten Platz.
Sie sollten auch erwägen, zwei-Faktor-Authentifizierung, schützen Sie auch, wenn ein Angreifer lernt Ihr Passwort.
VERWANDTE ARTIKEL
Warum Sollten Sie einen Passwort-Manager, und Wie, um loszulegen
, Was Ist Zwei-Faktor-Authentifizierung, und Warum Brauche ich Es?
Das wichtigste ist, nicht wiederverwenden von Passwörtern. Kompromittiert-Passwort-Datenbanken können nicht Schaden, wenn Sie mit einem einzigartigen Passwort überall — es sei denn, Sie speichern etwas wichtiges in der Datenbank, wie Ihre Kreditkartennummer.
Image Credit: Marc Falardeau auf Flickr, Wikimedia Commons