Zašto bi web stranice trebale prskati sol na zasunima da bi zaštitili vaše lozinke

Zašto bi web stranice trebale prskati sol na zasunima da bi zaštitili vaše lozinke

Unatoč svojim nedostacima, lozinke su i dalje de facto standard za provjeru autentičnosti na webu.

ExpressVPN je već pisao o prednostima stvaranja sigurnih lozinki pomoću Dicewarea, korištenja upravitelja lozinki i izgradnje drugog sloja sigurnosti oko vaših računa s dvofaktorskom provjerom autentičnosti..

Ali što se događa iza kulisa? Koje mjere može i treba poduzeti od strane operatora web stranice da osigura svoje lozinke?

Rođenje hakiranja računala

Prvi računalni sustav koji je koristio lozinke bio je kompatibilni sustav dijeljenja vremena na Massachusetts Institute of Technology, izgrađen 1960. godine. Dijeljenje vremena omogućilo je particioniranje i korištenje računala kao nekoliko radnih stanica.

Ipak, bilo je više istraživača nego radnih stanica, a korisnicima je bilo ograničeno vrijeme u sustavu (koji su se neki prilično iscrpili). Kako bi osigurali da su istraživači ostali unutar svojih granica, svakom je dodijeljena jedinstvena lozinka za prijavu.

Ali, naravno, s prvim lozinkama stigao je i prvi haker. Jedan istraživač, Allan Scherr, koristio je sustav koji je omogućio korisnicima da ispisuju datoteke putem perch kartica (računala nisu imala ekrane 1960-ih). Scherr je pronašao i ispisao datoteku koja je pohranila lozinke, omogućujući mu da se prijavi kao drugi korisnici i dulje koristi računalo..

Danas se smatra grubo nepažnjom pohranjivanja lozinki u jasnom tekstu na sustav, mada je hakiranje ruske stranice za društvene medije VK.com iz 2016. godine pokazalo da neke velike web lokacije i dalje postoje. Ukradene lozinke VK.com od 100 milijuna korisnika ukradene su i sada su u prodaji.

Zašto su hash funkcije jednosmjerna ulica

Hash funkcija je jednosmjerno šifriranje i djeluje poput otiska prsta. Svaka datoteka, riječ ili tekstni niz označen je hash "otiskom prsta", koji jedinstveno identificira točan sadržaj izvorne datoteke.

Odjeljci se mogu koristiti za određivanje podataka, ali ne i što podaci predstavljaju. Jednostavan način da zamislite kako djeluje hash sa znamenkama (zbroj svih brojeva broja).

Zbroj cifre od 9807347 je 9 + 8 + 0 + 7 + 3 + 4 + 7 = 38

Iako je lako vidjeti zbroj broja 987347 jednak 38, od broja 38 nije moguće izračunati 987347.

Osigurajte lozinke pomoću hashesaSHA-256 hashe za različite tekstualne nizove i slikovnu datoteku.

SHA-256 nudi svemir permutacija

Nevjerojatno, 256 bita dovoljno je dug izlaz da se jedinstveno mogu prepoznati svaki pojedinačni atom u promatranom svemiru (2 ^ 256 = 1,157920892 × 10⁷⁷).

Iako bi, u teoriji, mogle postojati dvije različite vrijednosti koje obje imaju isti SHA-256 hash. Takav se događaj naziva hash sudarom, a sigurnost bilo koje hash funkcije oslanja se na neotkrivanje.

Prethodnik SHA-2 (čiji je SHA-256 varijanta) - nekad popularni algoritam SHA-1 - poznato je da je ranjiv na hash sudare. Iako je vrijedno napomenuti, niko ga nikada nije pronašao.

Drugi nekad popularni hash, MD5, imao je toliko ranjivosti da nije korisna obrana od zlonamjernog krađe datoteka.

Osim šifriranja lozinki, hash funkcije mogu biti korisne i za osiguravanje da datoteke ne budu krivotvorene, slično kriptografskim potpisima, jer će izmjenjeni tekstni niz izmijeniti hash ključ.

Spremanje zaporki u hashe, a ne kao jasan tekst, omogućuje provjeru lozinke je ispravna bez ostavljanja lozinke ranjivom za hakere.

Sol i hash štite vaše lozinke

Da je netko mogao hakirati bazu podataka koja sadrži samo hešpolske lozinke, u teoriji, ne bi dobili nikakve korisne informacije. U stvarnosti, međutim, ljudi ponovo upotrebljavaju zaporke na mnogim web lokacijama ili koriste uobičajene riječi na njima, a mnogo je stvari koje haker može učiniti da razbije hashe.

Svaki SHA-256 hash riječi ExpressVPN uvijek je isti na svim sustavima. Dakle, ako je vaše korisničko ime Lexie, a ExpressVPN koristite kao lozinku (ne), haker može potražiti hash "c9f45 ... 3d185" među lozinkama da bi vidio da je Lexieova lozinka ExpressVPN.

Iako to samo po sebi ne zvuči posebno korisno, postoje popisi od nekoliko najboljih tisuća lozinki koje se najčešće koriste (koje znamo iz prethodnih hakova).

Koristeći takav popis, haker može potražiti heševe zajedničkih lozinki i uskladiti ih s korisničkim imenima.

Ova vrsta napada naziva se dugačka tablica ili rječnik, napad. U svemiru nema dovoljno vremena da napadač isproba svaku moguću kombinaciju hash / lozinke u napadu grube sile. Ali ima dovoljno vremena za isprobavanje najčešće korištenih lozinki, što bi vjerojatno moglo ugroziti značajan dio baze podataka.

Soljenje štiti lozinke dodjeljivanjem jedinstvenih brojeva

Da bi se zaštitio od napada rječnika, administrator baze podataka može koristiti metodu koja se naziva "salting", gdje je svakoj lozinci dodijeljen jedinstveni slučajni broj. Zatim se izračunava, pohranjuje i provjerava SHA-256 hash kombinacije soli i lozinke.

Alternativno, zaporka se može usredotočiti, kombinirati s brojem soli, a rezultat ponovno zaglaviti.

Slani hashe dodaju dodatnu prtoekcijuPrimjeri "slanih" hashe-ova, ponovo su promiješali.

Zbog tehnike soljenja, stvaranje dugin stola više nije atraktivno. Nasumičnim brojevima svaki bi hash bio jedinstven, čak i ako korisnik nije odabrao jedinstvenu lozinku.

Ako je haker želio ciljati korisnike lozinkom "Passw0rd!", Slani broj čuvao bi bazu podataka.

Budućnost sustava lozinki

Lozinke nisu daleko od optimalne za internetsku provjeru autentičnosti. Teške se stvari ne mogu sjetiti, teško je opozvati ih i jednom procuriti može prouzrokovati znatnu štetu.

Upravitelji zaporkama mogu lozinke učiniti jednostavnijim i pomoći vam u stvaranju jedinstvenih. Također će vas potaknuti da redovno mijenjate svoje vjerodajnice za prijavu, što je potrebno za dobru sigurnost na mreži.

Možda ćemo u budućnosti prijeći na alternativne oblike autentifikacije, poput parova javnih / privatnih ključeva, možda u kombinaciji s hardverskim ključevima. U takvom će modelu vaš javni ključ biti potrebno samo jedanput učitati na poslužitelj prilikom prijave, a zatim nikad više.

Iako nisu nužno veće veličine od pravilno implementiranog rješenja zaporke, manje su vjerojatno da će parovi javnih i privatnih ključeva pogrešno primijeniti i korisnik i uslugu.

Što možete učiniti da osigurate svoje lozinke

Imajte na umu da su mnoge usluge koje danas koristite možda već izgubile kontrolu nad svojim zaporkama. Možda oni o tome još ne znaju ili to odbijaju javno priznati - štiteći svoj imidž na štetu sigurnosti svojih korisnika..

Koristite slučajni generator lozinki i promijenite zaporke u duge slučajne nizove slova i znakova. Za neke usluge možete aktivirati dvofaktorsku provjeru autentičnosti da biste dodali dodatni sloj sigurnosti.

Također je dobro izbrisati sve račune koje više ne upotrebljavate u nadi da će usluga izbrisati vaše korisničke podatke zajedno s njima..

Zašto bi web stranice trebale prskati sol na zasunima da bi zaštitili vaše lozinke
admin Author
Sorry! The Author has not filled his profile.