it.phhsnews.com


it.phhsnews.com / Perché dovresti preoccuparti ogni volta che il database delle password di un servizio è trapelato

Perché dovresti preoccuparti ogni volta che il database delle password di un servizio è trapelato


"Il nostro database delle password è stato rubato ieri. Ma non preoccuparti: le tue password sono state crittografate. "Vediamo regolarmente dichiarazioni come questa in linea, tra cui ieri, da Yahoo. Ma dovremmo davvero prendere queste assicurazioni al valore nominale?

La realtà è che i compromessi del database delle password sono una preoccupazione, indipendentemente da come un'azienda possa provare a farla girare. Ma ci sono alcune cose che puoi fare per isolarti, non importa quanto siano pericolose le pratiche di sicurezza dell'azienda.

Come conservare le password

Ecco come le aziende dovrebbero memorizzare le password in un mondo ideale: si crea un account e fornire una password. Invece di memorizzare la password stessa, il servizio genera un "hash" dalla password. Questa è un'impronta digitale unica che non può essere invertita. Ad esempio, la password "password" potrebbe trasformarsi in qualcosa che assomiglia più a "4jfh75to4sud7gh93247g ...". Quando si immette la password per accedere, il servizio genera un hash da esso e controlla se il valore hash corrisponde al valore memorizzato nel database. In nessun momento il servizio salva la password stessa sul disco.

Per determinare la tua password effettiva, un utente malintenzionato con accesso al database dovrebbe precalcolare gli hash per le password comuni e quindi verificare se esistono nel database . Gli aggressori lo fanno con le tabelle di ricerca: enormi elenchi di hash che corrispondono alle password. Gli hash possono quindi essere confrontati con il database. Ad esempio, un utente malintenzionato potrebbe conoscere l'hash per "password1" e quindi verificare se alcuni account nel database utilizzano tale hash. Se lo sono, l'utente malintenzionato sa che la propria password è "password1".

Per impedire ciò, i servizi dovrebbero "salare" i propri hash. Invece di creare un hash dalla password stessa, aggiungono una stringa casuale alla parte anteriore o alla fine della password prima di cancellarla. In altre parole, un utente inserirà la password "password" e il servizio aggiungerebbe salt e hash una password che assomiglierà più a "password35s2dg". Ogni account utente dovrebbe avere il proprio sale unico, e questo assicurerebbe che ogni account utente avrebbe un valore hash diverso per la propria password nel database. Anche se più account utilizzavano la password "password1", avrebbero diversi hash a causa dei diversi valori di sale. Ciò potrebbe sconfiggere un utente malintenzionato che ha tentato di eseguire il pre-calcolo degli hash per le password. Invece di essere in grado di generare hash che si applicano a tutti gli account utente nell'intero database contemporaneamente, dovrebbero generare hash univoci per ogni account utente e il suo sale unico. Ciò richiederebbe molto più tempo di calcolo e memoria.

Ecco perché i servizi spesso dicono di non preoccuparsi. Un servizio che utilizza procedure di sicurezza appropriate dovrebbe dire che stavano usando gli hash delle password salate. Se stanno semplicemente dicendo che le password sono "hash", è più preoccupante. LinkedIn ha cancellato le loro password, ad esempio, ma non le ha saltate, quindi è stato un grosso problema quando LinkedIn ha perso 6,5 milioni di password con hash nel 2012.

Pratiche password errate

Questa non è la cosa più difficile da implementare , ma molti siti Web riescono ancora a rovinarlo in vari modi:

  • Memorizzare password in testo normale : Anziché disturbare con l'hashing, alcuni dei peggiori trasgressori possono semplicemente scaricare le password in formato testo in un Banca dati. Se tale database è compromesso, le tue password sono ovviamente compromesse. Non importa quanto fossero forti.
  • Hashing delle password senza salarli : alcuni servizi possono cancellare le password e rinunciare, scegliendo di non usare i sali. Tali database di password sarebbero molto vulnerabili alle tabelle di ricerca. Un utente malintenzionato può generare gli hash per molte password e quindi verificare se sono presenti nel database - potrebbero farlo per ogni account in una volta se non è stato utilizzato alcun sale.
  • Riutilizzo di Sali : alcuni servizi potrebbero utilizzare un sale, ma possono riutilizzare lo stesso sale per ogni password dell'account utente. Questo è inutile: se lo stesso sale fosse usato per ogni utente, due utenti con la stessa password avrebbero lo stesso hash.
  • Utilizzo di Short Salts : se vengono utilizzati sali di poche cifre, è possibile generare tabelle di ricerca che incorporano ogni possibile sale. Ad esempio, se una singola cifra fosse utilizzata come sale, l'autore dell'attacco potrebbe facilmente generare elenchi di hash che incorporavano ogni possibile sale.

Le aziende non ti diranno sempre l'intera storia, quindi anche se dicono che una password è stata sottoposta a hash (o hash e salati), potrebbero non utilizzare le migliori pratiche. Errori sempre sul lato della cautela.

Altre preoccupazioni

È probabile che il valore salt sia presente anche nel database delle password. Questo non è poi così male, se per ogni utente è stato utilizzato un valore di sale unico, gli hacker dovrebbero spendere enormi quantità di potenza della CPU per rompere tutte quelle password.

In pratica, così tante persone usano password ovvie che probabilmente essere facile da determinare le password di molti account utente. Ad esempio, se un hacker conosce il tuo hash e conosce il tuo sale, può facilmente verificare se stai usando alcune delle password più comuni.

CORRELATI: In che modo gli attaccanti in realtà "Hack Accounts" online e Come proteggersi

Se un utente malintenzionato ce l'ha con te e vuole rompere la tua password, può farlo con la forza bruta purché sappiano il valore del sale, che probabilmente fanno. Con l'accesso locale e offline ai database delle password, gli aggressori possono utilizzare tutti gli attacchi di forza bruta che desiderano.

Altri dati personali potrebbero anche fuoriuscire quando un database delle password viene rubato: nomi utente, indirizzi email e altro. Nel caso della fuga di Yahoo, sono state trapelate anche domande e risposte sulla sicurezza, che, come tutti sappiamo, rendono più facile rubare l'accesso all'account di qualcuno.

Aiuto, Cosa dovrei fare?

Qualunque cosa un servizio dice quando il suo database delle password viene rubato, è meglio presumere che ogni servizio sia completamente incompetente e agisca di conseguenza.

Innanzitutto, non riutilizzare le password su più siti web. Utilizzare un gestore di password che genera password univoche per ciascun sito Web. Se un utente malintenzionato riesce a scoprire che la propria password per un servizio è "43 ^ tSd% 7uho2 # 3" e la si utilizza solo su quel sito Web specifico, non ha appreso nulla di utile. Se si utilizza la stessa password ovunque, potrebbero accedere agli altri account. Questo è il modo in cui gli account di molte persone diventano "compromessi".

Se un servizio viene compromesso, assicurati di cambiare la password che usi lì. Dovresti anche cambiare la password su altri siti se la riutilizzi lì - ma non dovresti farlo in primo luogo.

Dovresti anche considerare l'utilizzo dell'autenticazione a due fattori, che ti proteggerà anche se un utente malintenzionato impara la tua password.

La cosa più importante è non riutilizzare le password. I database delle password compromessi non possono farti male se utilizzi una password univoca ovunque, a meno che non memorizzino qualcos'altro importante nel database, come il numero della tua carta di credito.

Credito immagine: Marc Falardeau su Flickr, Wikimedia Commons


Come aggiungere qualsiasi motore di ricerca al browser Web

Come aggiungere qualsiasi motore di ricerca al browser Web

I browser Web includono alcuni motori di ricerca tra cui scegliere, ma è possibile aggiungerne altri facilmente. Anche se un sito web non offre un plug-in di ricerca ufficiale, puoi aggiungere qualsiasi motore di ricerca personalizzato che ti piace con alcuni trucchi. Google Chrome Google Chrome lo rende piuttosto facile.

(how-top)

Come eliminare rapidamente un sacco di vecchi messaggi di Facebook

Come eliminare rapidamente un sacco di vecchi messaggi di Facebook

È Abbastanza facile eliminare un post di Facebook alla volta, ma non c'è modo per eliminare i post in batch. Per questo, è necessario passare a un'estensione del browser. CORRELATO: Come rendere Facebook meno fastidioso Facebook ha avuto pochi mesi negativi. Il fiasco di Cambridge Analytica è solo l'ultima cosa che permette alle persone di rivalutare in che modo Facebook si adatta alle loro vite.

(how-top)