Kāpēc vietnēm vajadzētu uzkaisīt sāli to hash, lai aizsargātu jūsu paroles

Neskatoties uz to trūkumiem, paroles joprojām ir faktiskais standarts autentifikācijai tīmeklī.

ExpressVPN jau ir rakstījis par priekšrocībām, ko rada drošu paroļu izveidošana, izmantojot Diceware, paroļu pārvaldnieku izmantošana un vēl viena drošības līmeņa izveidošana ap jūsu kontiem ar divu faktoru autentifikāciju..

Bet kas notiek aizkulisēs? Kādus pasākumus var un vajadzētu veikt vietnes operators, lai aizsargātu jūsu paroles?

Datorurķēšanas dzimšana

Pirmā datorsistēma, kas izmantoja paroles, bija Masačūsetsas Tehnoloģiju institūta saderīgā laika dalīšanas sistēma, kas celta 1960. gadā. Laika dalīšana ļāva datoru sadalīt un izmantot kā vairākas darbstacijas..

Tomēr joprojām bija vairāk pētnieku nekā darbstaciju, un lietotājiem sistēmā tika atvēlēts ierobežots laiks (kas daži diezgan ātri izsīka). Lai pārliecinātos, ka pētnieki nepārsniedz savas robežas, katram tika piešķirta unikāla parole, ar kuru pieteikties.

Bet, protams, ar pirmajām parolēm nāca pirmais hakeris. Viens pētnieks Allan Scherr izmantoja sistēmu, kas lietotājiem ļāva izdrukāt failus, izmantojot perfokartes (1960. gados datoriem nebija ekrānu). Scherr atrada un izdrukāja failu, kurā tika saglabātas paroles, ļaujot viņam pieteikties kā citiem lietotājiem un ilgāk izmantot datoru.

Šodien tiek uzskatīts par ļoti nolaidīgu paroļu glabāšanu skaidrā teksta sistēmā, lai gan Krievijas sociālā medija vietnes VK.com 2016. gada hakeris liecina, ka dažas lielas vietnes joprojām darbojas. VK.com paroles 100 miljoniem lietotāju tika nozagtas un tagad ir pārdošanā.

Kāpēc hash funkcijas ir vienvirziena iela

Sajaukšanās funkcija ir vienvirziena šifrēšana un darbojas līdzīgi kā pirkstu nospiedumi. Katru failu, vārdu vai teksta virkni apzīmē ar hash “pirkstu nospiedumu”, kas unikāli identificē precīzu sākotnējā faila saturu..

Haši var izmantot, lai noteiktu informāciju, bet ne to, ko dati attēlo. Vienkāršs veids, kā iedomāties, kā hashes darbojas, izmantojot ciparu summas (visu skaitļu ciparu summa).

Ciparu summa 9807347 ir 9 + 8 + 0 + 7 + 3 + 4 + 7 = 38

Lai arī ir viegli redzēt ciparu 987347 summu 38, nav iespējams aprēķināt 987347 no skaitļa 38.

Drošas paroles ar jaucējkrāniemSHA-256 sajauc dažādas teksta virknes un attēla failu.

SHA-256 piedāvā permutāciju visumu

Neticami, ka 256 biti ir pietiekami garš izvads, lai to unikāli identificētu katrs atoms novērojamajā Visumā (2 ^ 256 = 1,157920892 × 10).

Lai gan teorētiski varētu būt divas atšķirīgas vērtības, kurām abām ir viena un tā pati SHA-256 jaucējkrāna. Šādu notikumu sauc par hash sadursmi, un jebkuras hash funkcijas drošība ir atkarīga no tā, vai tā ir neatklājama.

Ir zināms, ka SHA-2 priekšgājējs (kura variants ir SHA-256) – savulaik populārais SHA-1 algoritms – ir neaizsargāts pret hash sadursmēm. Lai gan tas ir vērts atzīmēt, neviens to vēl nav atradis.

Citā savulaik populārajā hash MD5 bija tik daudz ievainojamību, ka tā nav noderīga aizsardzība pret failu ļaunprātīgu viltošanu.

Neatkarīgi no paroļu šifrēšanas, hash funkcijas var būt noderīgas arī, lai nodrošinātu, ka faili nav tikuši manipulēti, līdzīgi kā kriptogrāfijas paraksti, jo mainītā teksta virkne mainīs hash key.

Ja paroles tiek glabātas kā sajaukšanas, nevis skaidrs teksts, ir iespējams pārbaudīt pareizu paroli, neatstājot paroli neaizsargātu pret hakeriem..

Sāls un hash aizsargā jūsu paroles

Ja kāds spētu uzlauzt datu bāzi, kurā ir tikai sajauktas paroles, teorētiski viņi nesaņemtu noderīgu informāciju. Tomēr patiesībā cilvēki atkārtoti izmanto savas paroles daudzās vietnēs vai tajās izmanto izplatītus vārdus, un ir daudz lietu, ko hakeris var darīt, lai uzlauztu hashes..

Katrs SHA-256 vārda ExpressVPN sajaukums visās sistēmās vienmēr ir vienāds. Tātad, ja jūsu lietotājvārds ir Lexie un kā paroli izmantojat ExpressVPN (nevajag), hakeris starp parolēm varētu meklēt jaucējzīmi “c9f45… 3d185”, lai redzētu, ka Lexie parole ir ExpressVPN.

Lai gan tas pats par sevi neizklausās īpaši noderīgi, ir daži tūkstoši visbiežāk izmantoto paroļu saraksti (ko mēs zinām no iepriekšējiem hackiem).

Izmantojot šādu sarakstu, hakeris varēja meklēt parasto paroļu jaucējus un pielāgot tos lietotājvārdiem.

Šo uzbrukuma veidu sauc par varavīksnes galda jeb vārdnīcas uzbrukumu. Visumā nav atlicis pietiekami daudz laika, lai uzbrucējs izmēģinātu visas iespējamās hash / paroles kombinācijas brutālā spēka uzbrukumā. Bet ir pietiekami daudz laika, lai izmēģinātu populārākās paroles, kas, iespējams, apdraudētu ievērojamu datu bāzes daļu.

Sālīšana aizsargā paroles, piešķirot tām unikālus numurus

Lai aizsargātu pret vārdnīcu uzbrukumiem, datu bāzes administrators var izmantot metodi ar nosaukumu “sālīšana”, kur katrai parolei tiek piešķirts unikāls izlases numurs. Pēc tam tiek aprēķināts, saglabāts un pārbaudīts SHA-256 sajaukums ar sāls un paroles kombināciju.

Alternatīvi, paroli var sajaukt, apvienojot ar sāls numuru, un rezultāts atkal tiks sajaukts.

Sālītas jaucējkrāni papildina papildu darbību“Sālītas” sajaukšanas, atkal sajaukšanas piemēri.

Sālīšanas tehnikas dēļ varavīksnes galda izveidošana vairs nav pievilcīga. Nejaušie skaitļi padarītu katru hash unikālu, pat ja lietotājs neizvēlējās unikālu paroli.

Ja hakeris gribētu mērķēt lietotājus ar paroli “Passw0rd!”, Sāls numurs nodrošinātu datubāzes drošību.

Paroļu sistēmu nākotne

Paroles nebūt nav optimālas tiešsaistes autentifikācijai. Labu ir grūti atcerēties, tos ir grūti atsaukt, un pēc noplūdes tas var radīt ievērojamu kaitējumu.

Paroļu pārvaldnieki var padarīt paroles draudzīgākas lietotājam un palīdzēt jums izveidot unikālas. Viņi arī mudinās jūs regulāri mainīt savus pieteikšanās akreditācijas datus, kas ir nepieciešami labai tiešsaistes drošībai.

Varbūt nākotnē mēs pāriesim uz alternatīvām autentifikācijas formām, piemēram, publisko / privāto atslēgu pāriem, iespējams, apvienojot ar aparatūras taustiņiem. Šādā modelī, reģistrējoties, publiskā atslēga tikai vienu reizi būs jāaugšupielādē serverī, bet vairs nekad – vēlreiz.

Lai arī ne vienmēr lielumi ir drošāki par pareizi ieviestu paroļu risinājumu, mazāk ticams, ka gan lietotājs, gan pakalpojums publiskās / privātās atslēgas pārus piemēro nepareizi.

Ko jūs varat darīt, lai aizsargātu savas paroles

Ņemiet vērā, ka daudzi no jūsu šodien izmantotajiem pakalpojumiem, iespējams, jau ir zaudējuši kontroli pār jūsu parolēm. Varbūt viņi par to vēl nezina vai varbūt atsakās to publiski atzīt, aizsargājot savu tēlu uz lietotāju drošības rēķina.

Izmantojiet izlases paroli ģeneratoru un nomainiet savas paroles garās nejaušās burtu un rakstzīmju virknēs. Dažiem pakalpojumiem var aktivizēt arī divu faktoru autentifikāciju, lai pievienotu papildu drošības līmeni.

Ir arī laba ideja izdzēst visus kontus, kurus vairs nelietojat, cerot, ka pakalpojums izdzēsīs jūsu lietotāja datus kopā ar tiem.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me