“Notre mot de passe de la base de données a été volé hier. Mais ne vous inquiétez pas: vos mots de passe chiffrés.” Nous voyons régulièrement des énoncés comme celui-ci en ligne, y compris hier, à partir de Yahoo. Mais doit-on vraiment prendre ces assurances à la valeur nominale?
La réalité est que le mot de passe de la base de données des compromis sont un sujet de préoccupation, peu importe comment une entreprise peut essayer de la faire tourner. Mais il ya quelques choses que vous pouvez faire pour isoler vous-même, peu importe comment une entreprise, des pratiques de sécurité.
Comment Les Mots De Passe Doivent Être Stockés
Voici comment les entreprises doivent stocker les mots de passe dans un monde idéal: Vous créez un compte et un mot de passe. Au lieu de stocker le mot de passe, le service génère un “hash” à partir du mot de passe. C’est une empreinte unique qui ne peut pas être inversée. Par exemple, le mot de passe “mot de passe” peut se transformer en quelque chose qui ressemble plus à “4jfh75to4sud7gh93247g…”. Lorsque vous entrez votre mot de passe pour vous connecter, le service génère un hash et vérifie si la valeur de hachage correspond à la valeur stockée dans la base de données. À aucun moment, le service à toujours sauvegarder votre mot de passe lui-même sur le disque.
Pour déterminer le montant réel de votre mot de passe, un utilisateur malveillant d’accéder à la base de données aurait à pré-calculer les valeurs de hachage de mots de passe communs et de vérifier ensuite si elles existent dans la base de données. Les attaquants n’cette avec des tables de recherche—listes énormes de hachages qui correspondent à des mots de passe. Les valeurs de hachage peut ensuite être comparée à la base de données. Par exemple, un attaquant devrait connaître la valeur de hachage pour “password1” et voir si des comptes dans la base de données à l’aide de ce symbole. Si elles le sont, l’attaquant connaît son mot de passe est “password1”.
Pour éviter cela, les services sont le “sel” de leurs hashes. Au lieu de créer un hachage du mot de passe lui-même, ajoutent-ils une chaîne aléatoire à l’avant ou à la fin du mot de passe avant le hachage. En d’autres termes, l’utilisateur peut entrer le mot de passe “mot de passe” et le service, ajouter le sel et le hachage d’un mot de passe qui ressemble plus à “password35s2dg.” Chaque compte d’utilisateur doit disposer de leur propre sel, et cela permettrait de s’assurer que chaque compte d’utilisateur aurait une autre valeur de hachage de mot de passe dans la base de données. Même si plusieurs comptes utilisé le mot de passe “password1”, ils l’auraient différents hachages en raison des différentes valeurs du sel. Cela irait à l’encontre d’un attaquant qui a essayé de pré-calculer les hachages pour les mots de passe. Au lieu d’être en mesure de générer des hachages appliqué à chaque compte d’utilisateur dans la base de données à la fois, ils doivent générer unique hachages pour chaque compte d’utilisateur et de son unique sel. Cela prendrait beaucoup plus de temps de calcul et de mémoire.
C’est pourquoi les services de dire de ne pas s’inquiéter. Un service à l’aide de procédures de sécurité devraient dire qu’ils ont été à l’aide de salé hachage de mots de passe. Si elles sont simplement en train de dire les mots de passe sont “hachées”, c’est plus inquiétant. LinkedIn haché leurs mots de passe, par exemple, mais ils n’ont pas de sel de mer—c’était donc une grosse affaire quand LinkedIn perdu 6,5 millions de mots de passe hachés en 2012.
Mot De Passe Incorrect Pratiques
Ce n’est pas la chose la plus difficile à mettre en œuvre, mais de nombreux sites web encore réussi à louper dans une variété de façons:
- Stockage des mots de passe en Texte clair: Plutôt que de s’embêter avec le hachage, certains des pires délinquants peuvent juste vider les mots de passe en texte clair formulaire dans une base de données. Si une telle base de données est compromise, vos mots de passe sont évidemment compromise. Il ne serait pas aussi forts qu’ils étaient.
- Le hachage des mots de passe Sans Salage Eux: Certains services peuvent hachage du mot de passe et donner là-haut, en optant de ne pas utiliser des sels. Ce mot de passe des bases de données serait très vulnérables à des tables de recherche. Un attaquant pourrait générer les valeurs de hachage pour de nombreux mots de passe et de vérifier ensuite si elles existaient dans la base de données — ils pu faire cela pour chaque compte à la fois si pas de sel a été utilisé.
- La réutilisation de Sels: Certains services peuvent utiliser un sel, mais ils peuvent réutiliser le même sel pour chaque compte d’utilisateur de mot de passe. C’est inutile—si le même sel ont été utilisées pour chaque utilisateur, deux utilisateurs avec le même mot de passe auraient le même hash.
- À l’aide de Courts Sels: Si sels de quelques chiffres sont utilisés, il serait possible de générer des tables de consultation qui a intégré tous les possibles de sel. Par exemple, si un seul chiffre ont été utilisés comme un sel, l’attaquant pourrait facilement générer des listes de hachages qui a intégré tous les possibles de sel.
Les entreprises ne sont pas toujours vous raconter toute l’histoire, de sorte que même s’ils disent un mot de passe a été haché (ou haché et salé), ils peuvent ne pas être en utilisant les meilleures pratiques. Toujours pécher par excès de prudence.
D’Autres Préoccupations
Il est probable que la concentration de sel est également présent dans le mot de passe de la base de données. Ce n’est pas si mal que ça—si une valeur salt ont été utilisés pour chaque utilisateur, les assaillants auraient à dépenser d’énormes quantités de puissance CPU pour briser tous ces mots de passe.
Dans la pratique, de sorte que de nombreuses personnes utilisent ce mot de passe trop évident qu’il serait probablement facile de déterminer le nombre de comptes d’utilisateur mots de passe. Par exemple, si un attaquant connaît votre hash et ils savent que votre sel, ils peuvent facilement vérifier pour voir si vous êtes à l’aide de certains de la plupart des mots de passe communs.
ARTICLE CONNEXE
Comment les Attaquants en Fait “Hack” Comptes en Ligne et Comment Vous en Protéger
Si un attaquant a pour vous et veut casser votre mot de passe, ils peuvent le faire avec la force brute, aussi longtemps qu’ils savent le sel de la valeur—dont ils n’ont probablement. Avec des locaux, l’accès hors connexion par mot de passe des bases de données, les attaquants peuvent utiliser toutes les attaques de force brute qu’ils veulent.
D’autres données personnelles aussi probablement des fuites lorsqu’un mot de passe de la base de données de vol: les noms d’utilisateur, adresses e-mail, et plus encore. Dans le cas de Yahoo fuite, questions et réponses de sécurité ont également été coulé—qui, comme nous le savons tous, le rendre plus facile à voler d’accès pour le compte de quelqu’un.
De L’Aide, Que Dois-Je Faire?
Tout ce qu’un service dit lors de son mot de passe de la base de données de vol, il est préférable de supposer que chaque service est totalement incompétent et d’agir en conséquence.
Tout d’abord, ne pas réutiliser les mots de passe sur plusieurs sites web. Utiliser un gestionnaire de mot de passe qui génère des mots de passe uniques pour chaque site web. Si un attaquant parvient à découvrir que votre mot de passe pour un service est “43^dnt%7uho2#3” et vous n’utilisez que le mot de passe sur un site web spécifique, ils ont appris rien d’utile. Si vous utilisez le même mot de passe partout, ils pourraient accéder à vos autres comptes. C’est la façon dont beaucoup de gens des comptes “piraté.”
Si un service n’est compromis, assurez-vous de changer le mot de passe que vous utilisez. Vous devez également modifier le mot de passe sur d’autres sites si vous le réutiliser, mais vous ne devriez pas faire cela en premier lieu.
Vous devriez également envisager l’utilisation de l’authentification à deux facteurs, ce qui va vous protéger, même si un pirate apprend votre mot de passe.
ARTICLES LIÉS
Pourquoi Vous Devez Utiliser un Gestionnaire de Mot de passe, et Comment commencer
qu’Est-Ce que l’Authentification à Deux facteurs, et Pourquoi en ai-je Besoin?
La chose la plus importante est de ne pas réutiliser les mots de passe. Mot de passe compromis, les bases de données ne peuvent pas vous blesser si vous utilisez un mot de passe unique partout — sauf si elles stocker autre chose importante dans la base de données, comme votre numéro de carte de crédit.
Crédit Image: Marc Falardeau sur Flickr, Wikimedia Commons