Zakaj bi spletna mesta smela posipati sol po svojih okroglih, da bi zaščitila gesla

Zakaj bi spletna mesta smela posipati sol po svojih okroglih, da bi zaščitila gesla

Kljub pomanjkljivostim so gesla še vedno dejanski standard za preverjanje pristnosti na spletu.

ExpressVPN je že pisal o prednostih ustvarjanja varnih gesel s pomočjo programske opreme Diceware, uporabe upraviteljev gesel in gradnje drugega sloja varnosti okoli vaših računov z dvofaktorsko overitvijo.

Toda kaj se dogaja za kulisami? Katere ukrepe lahko in bi moral izvajalec spletnega mesta sprejeti za zaščito gesel?

Rojstvo računalniškega krampanja

Prvi računalniški sistem, ki je uporabljal gesla, je bil združljivi sistem časovne delitve na Massachusetts Institute of Technology, zgrajen leta 1960. Delitev časa je omogočila particijo in uporabo računalnika kot več delovnih postaj.

Kljub temu je bilo več raziskovalcev kot delovnih postaj, uporabnikom pa je bil v sistemu dodeljen omejen čas (ki so ga nekateri izčrpali precej hitro). Da bi zagotovili, da so raziskovalci ostali v svojih mejah, je bilo vsakemu dodeljeno edinstveno geslo za prijavo.

Ampak seveda je s prvimi gesli prišel prvi heker. En raziskovalec, Allan Scherr, je uporabil sistem, ki je uporabnikom omogočal tiskanje datotek prek udarnih kartic (računalniki v šestdesetih letih prejšnjega stoletja niso imeli zaslonov). Scherr je našel in natisnil datoteko, ki je shranila gesla, kar mu omogoča, da se prijavi kot drugi uporabniki in dlje časa uporablja računalnik..

Danes se šteje, da je geslo v jasnem besedilu v sistemu hudo malomarno shranjeno v sistem, čeprav leta 2016 kramp ruskega spletnega mesta za družbena omrežja VK.com kaže, da še vedno obstajajo nekatera velika spletna mesta. Ukradena gesla za 100 milijonov uporabnikov so bila zdaj na prodaj.

Zakaj hash funkcije so enosmerna ulica

Hash funkcija je enosmerno šifriranje in deluje podobno kot prstni odtis. Vsaka datoteka, beseda ali besedilni niz je označen s prstnim odtisom, ki enotno določa natančno vsebino izvirne datoteke.

Odtise se lahko uporabljajo za določitev informacij, ne pa, kaj predstavljajo podatki. Eden preprostih načinov za predstavitev, kako deluje heše z števkami (vsota števk vseh števk).

Številčna vsota 9807347 je 9 + 8 + 0 + 7 + 3 + 4 + 7 = 38

Čeprav je številska vsota 987347 enostavno 38, je iz številke 38 nemogoče izračunati 987347.

Zaščitite gesla s šifranjiSHA-256 šifrira različne besedilne nize in slikovno datoteko.

SHA-256 ponuja vesolje permutacij

Neverjetno, 256 bitov je dovolj dolg izhod, da se lahko enolično identificiramo vsak posamezen atom v vesolju, ki ga je mogoče opazovati (2 ^ 256 = 1,157920892 × 10⁷⁷).

Čeprav bi lahko teoretično obstajale dve različni vrednosti, ki imata oba hash SHA-256. Takšen dogodek imenujemo heš trk in varnost katere koli hash funkcije se zanaša na to, da jih je mogoče odkriti.

Predhodnik SHA-2 (katerega različica je SHA-256) - nekdaj priljubljeni algoritem SHA-1 - je znano, da je ranljiv za trke. Čeprav je vredno opozoriti, ga nihče še ni našel.

Drugi nekdaj priljubljeni hash, MD5, je imel toliko ranljivosti, da ni koristna obramba pred zlonamernim posegom datotek.

Razen šifriranja gesel so lahko tudi hash funkcije koristne za zagotovitev, da datoteke niso bile posežene, podobno kot kriptografski podpisi, saj bo spremenjeni niz besedil spremenil hash ključ.

Shranjevanje gesel kot razpredelnic in ne jasnega besedila omogoča preverjanje gesla, ki je pravilno, ne da bi geslo pustilo ranljivo za hekerje.

Sol in hash ščiti vaša gesla

Če bi nekdo lahko vdrl v bazo podatkov, ki je vsebovala le razstavljena gesla, v teoriji ne bi dobil nobenih uporabnih informacij. V resnici pa ljudje ponovno uporabijo gesla na številnih spletnih mestih ali uporabljajo v njih pogoste besede in heker lahko naredi veliko stvari, da razbije heše.

Vsak hash SHA-256 besede ExpressVPN je v vseh sistemih vedno enak. Če je vaše uporabniško ime Lexie in uporabljate ExpressVPN kot geslo (ne), bi heker lahko med gesli poiskal hash "c9f45 ... 3d185", da bi videl geslo Lexie ExpressVPN.

Čeprav se to samo po sebi ne sliši posebej koristno, obstajajo seznami najboljših nekaj tisoč najpogosteje uporabljenih gesel (ki jih poznamo iz prejšnjih hekerjev).

S takim seznamom lahko heker poišče zbirke skupnih gesel in jih primerja z uporabniškimi imeni.

Ta vrsta napada se imenuje mavrična tabela ali slovar, napad. V vesolju ni dovolj časa, da napadalec preizkusi vse možne kombinacije hash / gesla v napadu z grobo silo. Vendar je dovolj časa, da preizkusite najpogosteje uporabljena gesla, ki bi verjetno ogrozila pomemben del baze.

Soljenje ščiti gesla tako, da jim dodeli edinstvene številke

Za zaščito pred slovarskimi napadi lahko skrbnik zbirke podatkov uporabi metodo, imenovano "salting", kjer je vsakemu geslu dodeljeno edinstveno naključno število. Nato se izračuna, shrani in preveri SHA-256 mešanice kombinacije soli in gesla.

Lahko pa geslo razberete v kombinaciji s solno številko in rezultat ponovno razberete.

Slani rezanci dodajo dodatno prtoekcijoPrimeri "soljene" lopute, spet razkuhani.

Zaradi tehnike soljenja ustvarjanje mavrične mize ni več privlačno. Naključna števila bi vsak hash postala edinstvena, tudi če uporabnik ne bi izbral edinstvenega gesla.

Če bi heker želel uporabnike ciljati z geslom »Passw0rd!«, Bi številka soli ohranila zbirko podatkov varno.

Prihodnost sistemov z gesli

Gesla še zdaleč niso optimalna za spletno overjanje. Dobrega si je težko zapomniti, težko ga je preklicati, ko pa pušča, pa lahko povzroči znatno škodo.

Upravitelji gesel lahko gesla naredijo bolj prijazna uporabnikom in vam pomagajo ustvariti edinstvena. Spodbujali vas bodo tudi, da redno spreminjate svoje podatke za prijavo, kar je potrebno za dobro spletno varnost.

Morda se bomo v prihodnosti premaknili k alternativnim oblikam preverjanja pristnosti, kot so pari javnih / zasebnih ključev, po možnosti kombinirani s strojskimi ključi. V takšnem modelu bi morali javni javni ključ ob prijavi naložiti le enkrat na strežnik, potem pa nikoli več.

Čeprav ni nujno, da so višine varnejše od pravilno izvedene rešitve gesla, je manj verjetno, da bodo pari javnih / zasebnih ključev napačno uporabili tako uporabnik kot storitev.

Kaj lahko storite, da zaščitite gesla

Zavedajte se, da so številne storitve, ki jih uporabljate danes, morda že izgubile nadzor nad svojimi gesli. Mogoče o tem še ne vedo ali pa nočejo javno priznati - ščitijo svojo sliko na račun varnosti svojih uporabnikov.

Uporabite naključni generator gesel in spremenite gesla v dolge naključne nize črk in znakov. V nekaterih storitvah lahko aktivirate tudi dvofaktorsko overjanje in dodate dodatno raven varnosti.

Prav tako je dobro izbrisati vse račune, ki jih ne uporabljate več, v upanju, da storitev izbriše vaše uporabniške podatke skupaj z njimi.

Zakaj bi spletna mesta smela posipati sol po svojih okroglih, da bi zaščitila gesla
admin Author
Sorry! The Author has not filled his profile.