Dlaczego strony internetowe powinny posypać hashem swoje hasła, aby chronić hasła


Pomimo ich wad hasła są nadal de facto standardem uwierzytelniania w sieci.

ExpressVPN pisał już o zaletach tworzenia bezpiecznych haseł przy użyciu Diceware, używania menedżerów haseł i budowania kolejnej warstwy zabezpieczeń wokół kont za pomocą uwierzytelniania dwuskładnikowego.

Ale co dzieje się za kulisami? Jakie środki może i powinien podjąć operator witryny w celu zabezpieczenia haseł?

Narodziny hakowania komputerowego

Pierwszym systemem komputerowym, który korzystał z haseł, był zgodny system podziału czasu w Massachusetts Institute of Technology, zbudowany w 1960 r. Dzielenie czasu pozwoliło na partycjonowanie komputera i używanie go jako kilku stacji roboczych.

Mimo to było więcej badaczy niż stacji roboczych, a użytkownikom przydzielono ograniczony czas w systemie (co niektórzy dość szybko się wyczerpali). Aby upewnić się, że badacze nie przekraczają swoich limitów, każdemu z nich przypisano unikalne hasło, za pomocą którego można się zalogować.

Ale oczywiście wraz z pierwszymi hasłami pojawił się pierwszy haker. Jeden z badaczy, Allan Scherr, wykorzystał system, który pozwalał użytkownikom drukować pliki za pomocą kart dziurkowanych (w latach 60. komputery nie miały ekranów). Scherr zlokalizował i wydrukował plik, w którym przechowywane są hasła, umożliwiając mu logowanie się jako inni użytkownicy i dłuższe korzystanie z komputera.

Dziś uważa się za rażąco niedbałe przechowywanie haseł w postaci zwykłego tekstu w systemie, chociaż włamanie do rosyjskiej witryny społecznościowej VK.com w 2016 r. Pokazuje, że niektóre duże witryny nadal tak robią. Hasła VK.com 100 milionów użytkowników zostały skradzione i są teraz w sprzedaży.

Dlaczego funkcje skrótu są ulicą jednokierunkową

Funkcja skrótu jest szyfrowaniem jednokierunkowym i działa podobnie jak odcisk palca. Każdy plik, słowo lub ciąg tekstowy jest oznaczony skrótem „odcisku palca”, który jednoznacznie identyfikuje dokładną treść oryginalnego pliku.

Za pomocą skrótów można określić informacje, ale nie to, co reprezentują dane. Jednym prostym sposobem na wyobrażenie sobie działania skrótów jest suma cyfr (suma wszystkich cyfr liczby).

Suma cyfr 9807347 wynosi 9 + 8 + 0 + 7 + 3 + 4 + 7 = 38

Chociaż łatwo jest zobaczyć sumę cyfr 987347 to 38, nie można obliczyć 987347 na podstawie liczby 38.

Zabezpiecz hasła hashamiSkróty SHA-256 dla różnych ciągów tekstowych i pliku obrazu.

SHA-256 oferuje wszechświat permutacji

Niesamowicie, 256 bitów jest wystarczająco długim wyjściem, aby jednoznacznie zidentyfikować każdy atom w obserwowalnym wszechświecie (2 ^ 256 = 1,157920892 × 10⁷⁷).

Chociaż teoretycznie mogą istnieć dwie różne wartości, które mają ten sam skrót SHA-256. Takie zdarzenie nazywa się kolizją skrótu, a bezpieczeństwo jakiejkolwiek funkcji skrótu polega na tym, że nie można ich wykryć.

Poprzednik SHA-2 (którego wariant jest SHA-256) – niegdyś popularny algorytm SHA-1 – jest znany z podatności na kolizje mieszające. Chociaż warto zauważyć, nikt nigdy go nie znalazł.

Inny niegdyś popularny skrót MD5 miał tak wiele luk w zabezpieczeniach, że nie jest użyteczną obroną przed złośliwym manipulowaniem plikami.

Oprócz szyfrowania haseł, funkcje skrótu mogą być również przydatne, aby zapewnić, że pliki nie zostały zmienione, podobnie jak podpisy kryptograficzne, ponieważ zmieniony ciąg tekstowy zmieni klucz skrótu.

Przechowywanie haseł w postaci skrótów zamiast czystego tekstu umożliwia sprawdzenie poprawności hasła bez narażania go na ataki hakerów.

Sól i skrót chronią twoje hasła

Gdyby ktoś był w stanie zhakować bazę danych zawierającą tylko zaszyfrowane hasła, teoretycznie nie uzyskałby żadnych użytecznych informacji. W rzeczywistości jednak ludzie ponownie używają swoich haseł w wielu witrynach lub używają w nich zwykłych słów, a haker może zrobić wiele rzeczy, aby złamać skróty.

Każdy skrót SHA-256 słowa ExpressVPN jest zawsze taki sam we wszystkich systemach. Więc jeśli Twoja nazwa użytkownika to Lexie i używasz ExpressVPN jako hasła (nie), haker może wyszukać hash „c9f45… 3d185” wśród haseł, aby zobaczyć hasło Lexie to ExpressVPN.

Chociaż samo w sobie nie wydaje się to szczególnie pomocne, istnieją listy kilku tysięcy najczęściej używanych haseł (które znamy z poprzednich hacków).

Korzystając z takiej listy, haker może wyszukać skróty wspólnych haseł i dopasować je do nazw użytkowników.

Ten rodzaj ataku nazywa się atakiem tęczowej tabeli lub słownika. We wszechświecie nie ma wystarczająco dużo czasu, aby atakujący mógł wypróbować każdą możliwą kombinację hasła / hasła w ataku z użyciem siły. Ale jest wystarczająco dużo czasu, aby wypróbować najpopularniejsze hasła, które prawdopodobnie zagroziłyby znacznej części bazy danych.

Solenie chroni hasła, przypisując im unikalne numery

Aby zabezpieczyć się przed atakami słownikowymi, administrator bazy danych może zastosować metodę o nazwie „solenie”, w której każdemu hasłu przypisany jest unikalny losowy numer. Następnie skrót SHA-256 kombinacji soli i hasła jest obliczany, zapisywany i sprawdzany.

Alternatywnie hasło może być zaszyfrowane, połączone z liczbą soli, a wynik ponownie zaszyfrowany.

Solone hasze dodają dodatkowej pretekcjiPrzykłady „solonych” skrótów, ponownie mieszanych.

Ze względu na technikę solenia tworzenie tęczowego stołu nie jest już atrakcyjne. Liczby losowe sprawiają, że każdy skrót jest unikalny, nawet jeśli użytkownik nie wybrał unikalnego hasła.

Jeśli haker chciał atakować użytkowników hasłem „Passw0rd!”, Liczba soli zapewniłaby bezpieczeństwo bazy danych.

Przyszłość systemów haseł

Hasła są dalekie od optymalnych dla uwierzytelnienia online. Dobry jest trudny do zapamiętania, trudno go odwołać, a po wycieku może spowodować znaczne szkody.

Menedżerowie haseł mogą uczynić hasła bardziej przyjaznymi dla użytkownika i pomóc w ich tworzeniu. Zachęcają również do regularnej zmiany danych logowania, co jest niezbędne dla dobrego bezpieczeństwa online.

Być może w przyszłości przejdziemy do alternatywnych form uwierzytelniania, takich jak pary kluczy publiczny / prywatny, ewentualnie w połączeniu z kluczami sprzętowymi. W takim modelu wystarczy tylko raz załadować swój klucz publiczny na serwer podczas rejestracji, a nigdy więcej.

Chociaż niekoniecznie jest on znacznie bezpieczniejszy niż odpowiednio zaimplementowane rozwiązanie do haseł, pary kluczy publiczny / prywatny rzadziej będą stosowane nieprawidłowo przez użytkownika i usługę.

Co możesz zrobić, aby zabezpieczyć swoje hasła?

Pamiętaj, że wiele usług, z których obecnie korzystasz, mogło już utracić kontrolę nad hasłami. Może jeszcze o tym nie wiedzą, a może odmawiają publicznego uznania – chroniąc swój wizerunek kosztem bezpieczeństwa użytkowników.

Użyj generatora losowych haseł i zmień hasła na długie losowe ciągi liter i znaków. Możesz także aktywować uwierzytelnianie dwuskładnikowe w niektórych usługach, aby dodać dodatkową warstwę bezpieczeństwa.

Dobrym pomysłem jest również usunięcie wszelkich kont, z których już nie korzystasz, w nadziei, że usługa usunie dane użytkownika wraz z nim.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map