mangpor2004/ShutterstockVerschillende bedrijven hebben onlangs is toegelaten tot het opslaan van wachtwoorden in platte tekst formaat. Dat is zoals het opslaan van wachtwoorden in Kladblok en opslaan als .txt-bestand. Wachtwoorden moeten worden en gezouten hash-codering voor de beveiliging, dus waarom is dat niet gebeurt in 2019?
Waarom Wachtwoorden Mogen niet Worden Opgeslagen in Platte Tekst
designer491/Shutterstock
Wanneer een bedrijf slaat wachtwoorden in plain text, iedereen met de wachtwoord database—of welke andere bestand met de wachtwoorden worden opgeslagen in de—ze kunnen lezen. Als een hacker krijgt toegang tot het bestand, kunnen ze zien de wachtwoorden.
Het opslaan van wachtwoorden in plain text is een verschrikkelijke praktijk. Bedrijven moeten worden zouten en hashen van wachtwoorden, dat is een andere manier van zeggen: “het toevoegen van extra gegevens in om het wachtwoord op en klauteren op een manier die niet kunnen worden teruggedraaid.” Typisch dat betekent dat zelfs als iemand het steelt wachtwoorden uit een database, zijn ze onbruikbaar. Wanneer u zich in het bedrijf kunnen controleren dat uw wachtwoord overeenkomt met de opgeslagen gecodeerde versie—maar ze kunnen niet achteruit te werken” van de database en het bepalen van uw wachtwoord.
Dus waarom doen bedrijven het opslaan van wachtwoorden in platte tekst? Helaas, soms zijn de bedrijven niet nemen beveiliging serieus. Of ze kiezen tot inbreuk op de beveiliging in de naam van het gemak. In andere gevallen, het bedrijf doet alles goed bij het opslaan van uw wachtwoord. Maar ze kunnen toevoegen ongebreidelde mogelijkheden voor logboekregistratie, waarin wachtwoorden in platte tekst.
Verschillende Bedrijven Hebben Verkeerd Opgeslagen Wachtwoorden
U kan reeds worden beïnvloed door slechte praktijken omdat Robinhood, Google, Facebook, GitHub, Twitter, en andere opgeslagen wachtwoorden in platte tekst.
In het geval van Google, het bedrijf was voldoende hashing en het zouten van de wachtwoorden voor de meeste gebruikers. Maar G Suite Enterprise-account wachtwoorden zijn opgeslagen in de platte tekst. Het bedrijf zei dat dit links-over de praktijk van het gegeven domein beheerders tools om wachtwoorden te herstellen. Had Google juiste wijze zijn opgeslagen wachtwoorden, dat zou niet mogelijk zijn geweest. Alleen een wachtwoord te resetten werkt voor herstel wanneer u het wachtwoord correct zijn opgeslagen.
Wanneer Facebook ook toegelaten tot het opslaan van wachtwoorden in platte tekst, niet de exacte oorzaak van het probleem. Maar je kan afleiden van het probleem van een latere update:
…we ontdekten extra logs van Instagram wachtwoorden worden opgeslagen in een leesbaar formaat.
Soms is een bedrijf zal alles doen wat recht wanneer u voor het eerst het opslaan van uw wachtwoord. En dan het toevoegen van nieuwe functies die de problemen veroorzaken. Naast Facebook, Robinhood, Github, en Twitter per ongeluk aangemeld ongecodeerde wachtwoorden.
Logging is nuttig voor het vinden van problemen in apps, hardware, en zelfs een systeem-code. Maar als een bedrijf geen test die logging mogelijkheden grondig, het kan leiden tot meer problemen het oplost.
In het geval van Facebook en Robinhood, wanneer gebruikers hun gebruikersnaam en wachtwoord in om in te loggen, de logging-functie kan zien en opnemen van de gebruikersnamen en wachtwoorden, maar ze zijn getypt. Vervolgens opgeslagen die logs elders. Iedereen die toegang had tot al die logs had alles wat ze nodig hebben om over te nemen een account.
In zeldzame gevallen, een bedrijf als T-Mobile Australia mogen voorbijgaan aan het belang van de veiligheid, soms in naam van het gemak. In een sinds verwijderde Twitter exchange, een T-Mobile rep uitgelegd aan een gebruiker die de onderneming bewaart wachtwoorden in platte tekst. Het opslaan van wachtwoorden die manier toegestaan medewerkers van de klantenservice om te zien de eerste vier letters van een wachtwoord ter bevestiging. Wanneer andere Twitter-gebruikers adequaat op gewezen hoe erg zou worden als iemand gehackt de servers van het bedrijf, de vertegenwoordiger reageerde:
Wat als dit niet gebeurt, omdat onze veiligheid is verbazingwekkend goed?
Het bedrijf deed verwijderen die tweets en later aangekondigd dat alle wachtwoorden snel zou worden en gezouten hash. Maar het duurde niet lang voordat het bedrijf iemand had geschonden in haar systemen. T-Mobile zei dat de gestolen wachtwoorden zijn versleuteld, maar dat is niet zo goed als hashen van wachtwoorden.
Hoe Moeten Bedrijven Het Opslaan Van Wachtwoorden
Gorodenkoff/ShutterstockBedrijven moeten sla nooit wachtwoorden in platte tekst. In plaats daarvan mogen wachtwoorden worden gezout, dan gehashed. Het is belangrijk om te weten wat zout is en het verschil tussen het versleutelen en hashing.
Zout Voegt Extra Tekst om Uw Wachtwoord
Het zouten van de wachtwoorden is een eenvoudig concept. Het proces in wezen voegt extra tekst aan het wachtwoord dat u hebt opgegeven.
Denk aan het als het toevoegen van cijfers en letters aan het einde van uw normale wachtwoord. In plaats van ‘Wachtwoord’ uw wachtwoord, typt u bijvoorbeeld “Password123” (gelieve gebruik nooit een van deze wachtwoorden). Het zouten is een vergelijkbaar concept: voordat het systeem hash van uw wachtwoord, het voegt een extra tekst aan.
Dus zelfs als een hacker inbreekt in een database en steelt gegevens van de gebruiker, zal dat veel moeilijker te bepalen wat het echte wachtwoord is. De hacker zal niet weten welk deel is zout, en welk deel is met een wachtwoord.
Bedrijven moeten niet hergebruiken gezouten gegevens van een wachtwoord een wachtwoord. Anders kan het gestolen worden of kapot en dus waardeloos. Passend verschillende gezouten gegevens ook voorkomt botsingen (daar later meer over).
Encryptie Is niet de Juiste Optie voor Wachtwoorden
De volgende stap is om goed op te slaan uw wachtwoord is naar het hash. Hashing moet niet worden verward met encryptie.
Wanneer u het coderen van gegevens, u bij het transformeren van het licht op basis van een toets. Als iemand weet de sleutel, kunnen ze veranderen de gegevens terug. Als je ooit hebt gespeeld met een decoder ring die je verteld “A =C” dan heb je de versleutelde gegevens. Wetende dat “A=C,” u vervolgens kunt vinden dat bericht was gewoon een Ovaltine commerciële.
Als een hacker inbreekt in een systeem met versleutelde gegevens en ze te beheren om te stelen van de encryptie sleutel als het goed is, dan is uw wachtwoorden kan net zo goed de platte tekst.
Hashing Transformeert Uw Wachtwoord In Te Wartaal
Wachtwoord hashing fundamenteel verandert uw wachtwoord in een reeks onleesbare tekst. Iedereen die op zoek is naar een hash zou onzin. Als je gebruikt “Password123”, hashing kunnen de gegevens “873kldk#49lkdfld#1.” Een bedrijf moet hash van uw wachtwoord voordat u het overal, op die manier is het nooit heeft een record van uw huidige wachtwoord.
Die aard van hashing maakt het een betere methode voor het bewaren van uw wachtwoord-encryptie. Terwijl je voor het decoderen van gecodeerde gegevens, kunt u niet “unhash” gegevens. Dus als een hacker breekt in een database, zullen ze niet vinden van een sleutel voor het ontgrendelen van de gecodeerde gegevens.
In plaats daarvan zullen zij hebben om te doen wat een bedrijf doet wanneer u uw wachtwoord in. Zout een wachtwoord te raden (als de hacker weet wat zout te gebruiken), hash, dan het te vergelijken met de hash op bestand voor een wedstrijd. Wanneer u uw wachtwoord voor Google of uw Bank, ze volgen dezelfde stappen. Sommige bedrijven, zoals Facebook, kunnen zelfs extra “gissingen” om rekening te houden met een typefout.
Hackers kunnen uiteindelijk breken hun weg door middel van gecodeerde gegevens, maar het is vooral een spel van het testen van elke denkbare wachtwoord en de hoop voor een wedstrijd. Het proces duurt dat nog een tijd, dat geeft je de tijd om jezelf te beschermen.
Wat U Kunt Doen om ze te Beveiligen Tegen Inbreuken
Je kunt niet voorkomen dat bedrijven door onjuiste behandeling van uw wachtwoorden. En helaas, het is meer gebruikelijk dan het zou moeten zijn. Zelfs wanneer een bedrijf goed op te slaan uw wachtwoord, hackers, kan inbreuk maken op de systemen van het bedrijf en de stelen van de gecodeerde gegevens.
Gezien het feit dat de werkelijkheid, je moet nooit hergebruik van wachtwoorden. In plaats daarvan moet u een ander ingewikkeld wachtwoord voor elke dienst die u gebruikt. Op die manier, zelfs als een aanvaller vindt uw wachtwoord op een site, ze kunnen het niet gebruiken om in te loggen in uw accounts op andere websites. Ingewikkelde wachtwoorden zijn ongelooflijk belangrijk, omdat het gemakkelijker uw wachtwoord te raden is, hoe eerder een hacker kan breken door de hash-proces. Door het maken van de wachtwoord ingewikkelder, je koopt tijd om de schade te beperken.
Gebruik unieke wachtwoorden minimaliseert ook die schade. De hacker krijgt toegang tot een account, en je kan een enkel wachtwoord gemakkelijker dan tientallen. Ingewikkelde wachtwoorden moeilijk te onthouden, dus we raden een wachtwoord manager. Wachtwoorden managers genereren en het onthouden van wachtwoorden voor u, en u kunt ze volgen de regels wachtwoord van bijna elke site.
Sommige, zoals LastPass en 1Password, zelfs het aanbieden van diensten die te controleren of uw huidige wachtwoord in het gedrang.
Een andere goede optie is om de twee-staps-verificatie. Op die manier, zelfs als een hacker, of aanvaller, een wachtwoord, kunt u nog steeds voorkomen dat onbevoegden toegang krijgen tot uw rekeningen.
Terwijl je niet kunt stoppen met een bedrijf uit onoordeelkundig gebruik van uw wachtwoorden, kunt u het minimaliseren van de gevolgen door een goede beveiliging van uw wachtwoorden en accounts.
GERELATEERD: Waarom Moet U een Wachtwoord Manager, en Hoe aan de Slag
LEES VERDER
- “Hoe Krijg ik de Oude Twitter-Website
- “Het Inschakelen van Adobe Flash in Google Chrome 76+
- “Windows 10 Lek “Cloud Downloaden” Voor Het Opnieuw Installeren Van Windows
- “Hoe te Converteren naar een Video of Audio Bestand Met VLC
- “Het Maken van Uw Google Startpagina’ s avonds Stiller