"Il nostro database delle password è stato rubato ieri. Ma non preoccuparti: le tue password sono state crittografate. "Vediamo regolarmente dichiarazioni come questa in linea, tra cui ieri, da Yahoo. Ma dovremmo davvero prendere queste assicurazioni al valore nominale?
La realtà è che i compromessi del database delle password sono una preoccupazione, indipendentemente da come un'azienda possa provare a farla girare. Ma ci sono alcune cose che puoi fare per isolarti, non importa quanto siano pericolose le pratiche di sicurezza dell'azienda.
Ecco come le aziende dovrebbero memorizzare le password in un mondo ideale: si crea un account e fornire una password. Invece di memorizzare la password stessa, il servizio genera un "hash" dalla password. Questa è un'impronta digitale unica che non può essere invertita. Ad esempio, la password "password" potrebbe trasformarsi in qualcosa che assomiglia più a "4jfh75to4sud7gh93247g ...". Quando si immette la password per accedere, il servizio genera un hash da esso e controlla se il valore hash corrisponde al valore memorizzato nel database. In nessun momento il servizio salva la password stessa sul disco.
Per determinare la tua password effettiva, un utente malintenzionato con accesso al database dovrebbe precalcolare gli hash per le password comuni e quindi verificare se esistono nel database . Gli aggressori lo fanno con le tabelle di ricerca: enormi elenchi di hash che corrispondono alle password. Gli hash possono quindi essere confrontati con il database. Ad esempio, un utente malintenzionato potrebbe conoscere l'hash per "password1" e quindi verificare se alcuni account nel database utilizzano tale hash. Se lo sono, l'utente malintenzionato sa che la propria password è "password1".
Per impedire ciò, i servizi dovrebbero "salare" i propri hash. Invece di creare un hash dalla password stessa, aggiungono una stringa casuale alla parte anteriore o alla fine della password prima di cancellarla. In altre parole, un utente inserirà la password "password" e il servizio aggiungerebbe salt e hash una password che assomiglierà più a "password35s2dg". Ogni account utente dovrebbe avere il proprio sale unico, e questo assicurerebbe che ogni account utente avrebbe un valore hash diverso per la propria password nel database. Anche se più account utilizzavano la password "password1", avrebbero diversi hash a causa dei diversi valori di sale. Ciò potrebbe sconfiggere un utente malintenzionato che ha tentato di eseguire il pre-calcolo degli hash per le password. Invece di essere in grado di generare hash che si applicano a tutti gli account utente nell'intero database contemporaneamente, dovrebbero generare hash univoci per ogni account utente e il suo sale unico. Ciò richiederebbe molto più tempo di calcolo e memoria.
Ecco perché i servizi spesso dicono di non preoccuparsi. Un servizio che utilizza procedure di sicurezza appropriate dovrebbe dire che stavano usando gli hash delle password salate. Se stanno semplicemente dicendo che le password sono "hash", è più preoccupante. LinkedIn ha cancellato le loro password, ad esempio, ma non le ha saltate, quindi è stato un grosso problema quando LinkedIn ha perso 6,5 milioni di password con hash nel 2012.
Questa non è la cosa più difficile da implementare , ma molti siti Web riescono ancora a rovinarlo in vari modi:
Le aziende non ti diranno sempre l'intera storia, quindi anche se dicono che una password è stata sottoposta a hash (o hash e salati), potrebbero non utilizzare le migliori pratiche. Errori sempre sul lato della cautela.
È probabile che il valore salt sia presente anche nel database delle password. Questo non è poi così male, se per ogni utente è stato utilizzato un valore di sale unico, gli hacker dovrebbero spendere enormi quantità di potenza della CPU per rompere tutte quelle password.
In pratica, così tante persone usano password ovvie che probabilmente essere facile da determinare le password di molti account utente. Ad esempio, se un hacker conosce il tuo hash e conosce il tuo sale, può facilmente verificare se stai usando alcune delle password più comuni.
CORRELATI: In che modo gli attaccanti in realtà "Hack Accounts" online e Come proteggersi
Se un utente malintenzionato ce l'ha con te e vuole rompere la tua password, può farlo con la forza bruta purché sappiano il valore del sale, che probabilmente fanno. Con l'accesso locale e offline ai database delle password, gli aggressori possono utilizzare tutti gli attacchi di forza bruta che desiderano.
Altri dati personali potrebbero anche fuoriuscire quando un database delle password viene rubato: nomi utente, indirizzi email e altro. Nel caso della fuga di Yahoo, sono state trapelate anche domande e risposte sulla sicurezza, che, come tutti sappiamo, rendono più facile rubare l'accesso all'account di qualcuno.
Qualunque cosa un servizio dice quando il suo database delle password viene rubato, è meglio presumere che ogni servizio sia completamente incompetente e agisca di conseguenza.
Innanzitutto, non riutilizzare le password su più siti web. Utilizzare un gestore di password che genera password univoche per ciascun sito Web. Se un utente malintenzionato riesce a scoprire che la propria password per un servizio è "43 ^ tSd% 7uho2 # 3" e la si utilizza solo su quel sito Web specifico, non ha appreso nulla di utile. Se si utilizza la stessa password ovunque, potrebbero accedere agli altri account. Questo è il modo in cui gli account di molte persone diventano "compromessi".
Se un servizio viene compromesso, assicurati di cambiare la password che usi lì. Dovresti anche cambiare la password su altri siti se la riutilizzi lì - ma non dovresti farlo in primo luogo.
Dovresti anche considerare l'utilizzo dell'autenticazione a due fattori, che ti proteggerà anche se un utente malintenzionato impara la tua password.
La cosa più importante è non riutilizzare le password. I database delle password compromessi non possono farti male se utilizzi una password univoca ovunque, a meno che non memorizzino qualcos'altro importante nel database, come il numero della tua carta di credito.
Credito immagine: Marc Falardeau su Flickr, Wikimedia Commons
Do not Be Fooled: Cheap Watch Band di terze parti Apple è terribile
Così hai speso qualche centinaio di dollari su un Apple Watch, ma spendere altri $ 50 su una nuova band sembra eccessivo . Esistono versioni di terze parti progettate per sembrare quasi identiche a quelle reali, ma costano un quarto del costo. Sfortunatamente, "quasi lo stesso" non è poi così preciso.
Come installare Facebook Lite e Messenger Lite su Android in qualsiasi Paese
L'app di Facebook standard per Android: come posso inserire questo delicatamente? Non solo sta probabilmente drenando più batteria dal tuo telefono rispetto alla maggior parte delle tue altre app, Facebook ha svuotato la funzionalità di messaggistica da esso per spingere una app e una piattaforma separate.