Зашто би веб локације требало да посипају сол на хешевима како би заштитили своје лозинке

Зашто би веб локације требало да посипају сол на хешевима како би заштитили своје лозинке

Упркос својим недостацима, лозинке су и даље де фацто стандард за аутентификацију на вебу.

ЕкпрессВПН је већ писао о предностима креирања сигурних лозинки помоћу Дицеваре-а, коришћења менаџера лозинки и стварања другог слоја сигурности око ваших налога са двофакторском провером.

Али шта се дешава иза сцене? Које мере може и треба да предузме оператор веб локације за осигурање лозинки?

Рођење хаковања рачунара

Први рачунарски систем који је користио лозинке био је компатибилни систем дељења времена на Массацхусеттс Институте оф Тецхнологи, изграђен 1960. године. Дељење времена омогућило је да се рачунар дели и користи као неколико радних станица.

Ипак, било је више истраживача него радних станица, а корисницима је додељено ограничено време у систему (који су се неки прилично исцрпили). Како би били сигурни да су истраживачи остали унутар својих граница, сваком је додељена јединствена лозинка за пријаву.

Али, наравно, с првим лозинкама стигао је и први хакер. Један истраживач, Аллан Сцхерр, користио је систем који је корисницима омогућавао штампање датотека путем перцх картица (рачунари нису имали екране 1960-их). Сцхерр је лоцирао и исписао датотеку у коју су сачуване лозинке, омогућујући му да се пријави као други корисници и дуље користи рачунар.

Данас се сматра грубо непажљивим смештање лозинки у јасном тексту на систем, мада хакирање руске веб странице за друштвене медије ВК.цом из 2016. године показује да и даље постоје неке велике веб локације. Украдене лозинке ВК.цом-а од 100 милиона корисника и сада су на продају.

Зашто су хасх функције једносмерна улица

Хасх функција је једносмерна енкрипција и делује слично као отисак прста. Свака датотека, реч или текстуални низ означен је хасх "отиском прста", који јединствено идентификује тачан садржај оригиналне датотеке.

Хаше се могу користити за одређивање информација, али не и шта подаци представљају. Једноставан начин да замислите како хешеви раде са цифреним сумама (збир свих цифара броја).

Број цифре од 9807347 је 9 + 8 + 0 + 7 + 3 + 4 + 7 = 38

Иако је лако видети цифру од 987347 једнаку 38, од броја 38 није могуће израчунати 987347.

Осигурајте лозинке помоћу хасхесаСХА-256 хасхе за различите текстуалне низове и сликовну датотеку.

СХА-256 нуди свемир пермутација

Невероватно је да је 256 бита довољно дуг излаз да се јединствено идентификују сваки појединачни атом у посматраном универзуму (2 ^ 256 = 1,157920892 × 10⁷⁷).

Иако би теоретски могле постојати две различите вредности које обе имају исти СХА-256 хасх. Такав се догађај назива хасх сударом, а сигурност било које хасх функције ослања се на то да их не може открити.

Претходник СХА-2 (чији је СХА-256 варијанта) - некада популарни алгоритам СХА-1 - познат је да је рањив на хеш сударе. Иако је вредно напоменути, нико је никада није пронашао.

Други некад популарни хасх, МД5, имао је толико рањивости да није корисна одбрана од злонамјерног варања датотека.

Осим шифрирања лозинки, хасх функције могу бити корисне и за осигуравање да датотеке не буду кривотворене, слично криптографским потписима, јер ће измењени текстуални низ изменити хасх кључ.

Чување лозинки као хасхева, а не јасног текста омогућава провјеру лозинке исправном без остављања лозинке рањивом за хакере.

Сол и хасх штите ваше лозинке

Да је неко могао да хакује базу података која садржи само хасхед лозинке, у теорији, не би добио корисне информације. У стварности, међутим, људи поново користе своје лозинке на многим веб локацијама или користе уобичајене речи у њима, а много је ствари које хакер може учинити да разбије хешеве.

Сваки СХА-256 хасх речи ЕкпрессВПН је увек исти на свим системима. Дакле, ако је ваше корисничко име Лекие и користите ЕкпрессВПН као лозинку (не), хакер може потражити хасх "ц9ф45 ... 3д185" међу лозинкама да би видео лозинку Лекие је ЕкпрессВПН.

Иако то само по себи не звучи посебно корисно, постоје спискови најбољих неколико најчешће коришћених лозинки (које знамо из претходних хакова).

Користећи такву листу, хакер је могао да претражује хешеве заједничких лозинки и успоређује их са корисничким именима.

Ова врста напада назива се дугачка табела, или речник, напад. У свемиру нема довољно времена да нападач испроба сваку могућу комбинацију хасх / лозинке у нападу грубе силе. Али има довољно времена за испробавање најчешће коришћених лозинки, што би вероватно могло да угрози значајан део базе података.

Салтинг штити лозинке додељивањем јединствених бројева

Да би се заштитио од напада речника, администратор базе података може користити методу која се зове "салтинг", где се свакој лозинки додељује јединствени случајни број. СХА-256 хасх комбинација соли и лозинке се затим израчунава, чува и проверава.

Алтернативно, лозинка се може ускладити, комбиновати са бројем соли, а резултат поново заказати.

Слани хасхе додају додатну пртоекцијуПримјери „сланих“ хасхе-а, поново су се промијешали.

Због технике сољења, креирање дугин стола више није атрактивно. Насумични бројеви учинили би сваки хасх јединственим, чак и ако корисник није одабрао јединствену лозинку.

Ако би хакер желио да циља кориснике са лозинком „Пассв0рд!“, Број соли чувао би базу података безбедном.

Будућност система лозинки

Лозинке су далеко од оптималне за мрежну аутентификацију. Добрег се тешко сјетити, тешко га је опозвати, а када процури, може проузроковати знатну штету.

Менаџери лозинки могу учинити лозинке једноставнијим за употребу и помоћи вам у стварању јединствених. Такође ће вас подстаћи да редовно мењате своје податке за пријаву, што је неопходно за добру безбедност на мрежи.

Можда ћемо у будућности прећи на алтернативне облике аутентификације, попут парова јавних / приватних кључева, евентуално у комбинацији са хардверским кључевима. У таквом моделу требало би само да једном јавно учитате јавни кључ на сервер када се пријавите, а затим никада више.

Иако нису нужно веће величине од исправно имплементираног решења за лозинку, мање је вероватно да ће парови јавног и приватног кључа погрешно применити и корисник и услугу.

Шта можете да урадите да заштитите своје лозинке

Имајте на уму да су многе услуге које данас користите можда већ изгубиле контролу над вашим лозинкама. Можда још не знају за то, или одбијају да то јавно признају - штитећи свој имиџ на штету безбедности својих корисника.

Користите случајни генератор лозинки и промените своје лозинке у дуге случајне низове слова и знакова. Такође можете да активирате двофакторску аутентификацију на неким сервисима да бисте додали додатни ниво сигурности.

Такође је добра идеја да избришете све налоге које више не користите у нади да ће сервис избрисати ваше корисничке податке заједно са њим.

Зашто би веб локације требало да посипају сол на хешевима како би заштитили своје лозинке
admin Author
Sorry! The Author has not filled his profile.