Kā vietnes aizsargā jūsu paroles?

Pašlaik ir ļoti normāli dzirdēt par datu pārkāpumu. Pārkāpums var notikt ar populāru pakalpojumu, piemēram, Gmail , vai programmatūru, par kuru lielākā daļa no mums ir aizmirsuši, piemēram, MySpace.

Viena no sliktākajām lietām, ko hakeris var uzzināt, ir jūsu parole. Tas jo īpaši attiecas uz gadījumiem, kad pārkāpjat standarta ieteikumus un izmantojat vienu un to pašu pieteikumvārdu vairākās dažādās platformās. Taču paroles aizsardzība nav tikai jūsu atbildība.

Tātad, kā vietnes saglabā jūsu paroles? Kā viņi aizsargā jūsu pieteikšanās informāciju? Un kāda ir visdrošākā metode, ko vietnes var izmantot jūsu paroļu izsekošanai?

Sliktākais scenārijs: paroles tiek saglabātas vienkāršā tekstā

Apsveriet šo situāciju: liela vietne ir uzlauzta. Kibernoziedznieki ir apiejuši visus pamata drošības pasākumus, kas ir ieviesti vietnē, un var izmantot vietnes struktūras trūkumu. Jūs esat klients. Šī vietne ir saglabājusi jūsu informāciju. Vietne nodrošina, ka jūsu parole ir droša. Bet kas notiek, ja šī vietne saglabā jūsu paroli vienkāršā tekstā?

Paroles vienkāršā tekstā ir kā ienesīga ēsma. Viņi neizmanto algoritmus, tāpēc tos nevar nolasīt. Hakeri var lasīt paroles tikpat vienkārši, kā jūs lasāt šo rakstu.

Nav svarīgi, cik sarežģītas ir jūsu paroles: vienkārša teksta datu bāze ir visu paroļu saraksts, kas ir skaidri uzrakstīts, iekļaujot visus izmantotos ciparus un papildu rakstzīmes.

Un pat ja hakeri neuzlauž vietni, vai tiešām vēlaties, lai kāds vietnes administrators varētu redzēt jūsu slepeno pieteikšanās informāciju?

Varētu domāt, ka šī ir ļoti reta problēma, taču tiek lēsts, ka aptuveni 30% e-komercijas vietņu izmanto šo metodi, lai “nodrošinātu” klientu datus!

Vienkāršs veids, kā noskaidrot, vai vietne saglabā paroles vienkāršā tekstā, ir, ja tūlīt pēc reģistrēšanās saņemat e-pastu no vietnes, kurā norādīta jūsu pieteikšanās informācija. Tādā gadījumā, iespējams, vēlēsities mainīt visas citas vietnes, kurās tiek izmantota tā pati parole, un sazinieties ar uzņēmumu, lai brīdinātu, ka to drošība ir pārāk zema. Protams, nav iespējams 100% apstiprināt, taču tā ir diezgan skaidra zīme, un vietnei šādas lietas nevajadzētu sūtīt e-pastos.

Kodējums: izklausās labi, taču tas nav ideāls

Daudzas vietnes izmanto šifrēšanu, lai aizsargātu lietotāju paroles. Šifrēšanas process kodē jūsu informāciju, padarot to nelasāmu, līdz tiek parādītas divas atslēgas — viena, kas pieder jums (tā ir jūsu pieteikšanās informācija), bet otra — attiecīgā uzņēmuma.

Jūs esat izmantojis šifrēšanu arī daudzās citās vietās. Sejas ID iPhone tālrunī ir šifrēšanas veids. Piekļuves kods ir vienāds. Internets darbojas ar šifrēšanu: HTTPS, ko varat redzēt vietrādī URL, nozīmē, ka jūsu apmeklētā vietne izmanto SSL vai TLS protokolu, lai pārbaudītu savienojumu un apkopotu datus. Bet patiesībā šifrēšana nav perfekta.

Šifrēšana var sniegt jums sirdsmieru. Taču, ja vietne aizsargā jūsu paroli, izmantojot savu paroli, hakeris var nozagt vietnes paroli, pēc tam atrast jūsu paroli un to atšifrēt. Lai izdomātu jūsu paroli, hakeriem nebūs jāpiepūlas; Tāpēc lielas datu bāzes vienmēr ir liels mērķis.

Ja jūsu vietnes atslēga (parole) ir saglabāta tajā pašā serverī, kur jūsu parole, jūsu parole var būt arī vienkārša teksta veidā.

• Kā hakeri nozog WiFi paroles? Kā to novērst?

Hash: pārsteidzoši vienkāršs (bet ne vienmēr efektīvs)

Paroles jaukšana var izklausīties pēc žargona, taču tas vienkārši ir drošāks šifrēšanas veids.

Tā vietā, lai saglabātu paroli vienkāršā tekstā, vietne palaiž paroli, izmantojot jaucējfunkciju, piemēram, MD5, Secure Hashing Algorithm (SHA)-1 vai SHA-256, kas pārvērš paroli pilnīgi citā ciparu kopā. Tie var būt cipari, burti vai citas rakstzīmes.

Jūsu parole var būt IH3artMU0. Tas var pārvērsties par 7dVq$@ihT un, ja hakeris ielaužas datu bāzē, tas ir viss, ko viņš var redzēt. Hakeri nevar atkārtoti atšifrēt sākotnējo paroli.

Diemžēl lietas nav tik drošas, kā jūs domājat. Šī metode ir labāka par vienkāršu tekstu, taču tā joprojām nav problēma kibernoziedzniekiem.

Svarīgi ir tas, ka konkrēta parole ģenerē noteiktu jaucējfunkciju. Tam ir labs iemesls: katru reizi, kad piesakāties ar paroli IH3artMU0, tas automātiski tiek cauri šim jaucējvārdam, un vietne ļauj jums piekļūt, ja ir šis jaukums un vietnes datubāzē esošais.

Atbildot uz to, hakeri ir izstrādājuši varavīksnes tabulas, kas līdzīgas apkrāptu lapām. Tie ir jaucējvārdu saraksti, kurus citi jau izmanto kā paroles un kuriem sarežģīta sistēma var ātri tikt cauri, piemēram, Brute Force uzbrukums .

Ja esat izvēlējies patiešām sliktu paroli, tā atradīsies augstu uz varavīksnes galda un to var viegli uzlauzt. Sarežģītas paroles prasīs ilgāku laiku.

Pašlaik labākais: Salting un Slow Hash

Sālīšana ir viens no jaudīgākajiem paņēmieniem, ko izmanto visdrošākajās vietnēs

Nekas nav necaurlaidīgs: hakeri vienmēr aktīvi strādā, lai uzlauztu jebkuru jaunu drošības sistēmu. Pašlaik visdrošākajās vietnēs ir ieviestas spēcīgākas metodes. Tās ir viedās jaucējfunkcijas.

Sālītās jaukšanas pamatā ir kriptogrāfijas nonce — nejauša datu kopa, kas ģenerēta katrai atsevišķai parolei, kas bieži ir ļoti gara un sarežģīta.

Šie papildu cipari tiek pievienoti paroles (vai e-pasta un paroles kombinācijas) sākumam vai beigām, pirms tā tiek cauri jaukšanas funkcijai, lai aizsargātos pret mēģinājumiem, kas veikti, izmantojot varavīksnes tabulu.

Kopumā nav problēmu, ja sāļi tiek glabāti tajos pašos serveros, kur jaucējfaili. Paroļu kopas uzlauzšana hakeriem var aizņemt daudz laika, un tas ir vēl grūtāk, ja jūsu paroles ir sarežģītas.

Tāpēc vienmēr ir jāizmanto spēcīga parole neatkarīgi no tā, cik pārliecināts esat par savas vietnes drošību.

Vietnēs kā papildu pasākums tiek izmantota arī lēna jaukšana. Slavenākās jaucējfunkcijas (MD5, SHA-1 un SHA-256) ir bijušas jau kādu laiku un tiek plaši izmantotas, jo tās ir samērā viegli ieviest.

Lai gan sāls joprojām ir spēkā, lēni jaucēji vēl labāk aizsargā pret jebkādiem uzbrukumiem, kas balstās uz ātrumu. Ierobežojot hakerus ar ievērojami mazāku mēģinājumu skaitu sekundē, to uzlauzšana prasīs ilgāku laiku, tādējādi padarot mēģinājumus mazāk vērtīgus, vienlaikus samazinot veiksmes līmeni.

Kibernoziedzniekiem ir jāizsver, vai ir vērts uzbrukt laikietilpīgām lēnām jaucējsistēmām, salīdzinot ar "ātriem labojumiem". Piemēram, ārstniecības iestādēs nereti ir zemāka apsardze, tāpēc no tām iegūtos datus joprojām var pārdot par pārsteidzošām naudas summām.

Ja sistēma ir “stresā”, tā var palēnināties vēl vairāk. Coda Hale, bijušais Microsoft programmatūras izstrādātājs, salīdzina MD5 ar visievērojamāko lēno jaucējfunkciju bcrypt (citas funkcijas ietver PBKDF-2 un scrypt):

"Tā vietā, lai uzlauztu paroles ik pēc 40 sekundēm (kā MD5), es tās uzlauztu ik pēc 12 gadiem (ja sistēma izmanto bcrypt). Jūsu parolēm, iespējams, nav nepieciešama šāda veida drošība, un jums var būt nepieciešams ātrāks salīdzināšanas algoritms. , bet bcrypt ļauj izvēlēties līdzsvaru starp ātrumu un drošību.

Un tā kā lēnu jaukšanu joprojām var veikt mazāk nekā sekundē, lietotāji netiks ietekmēti.