Hvorfor nettsteder bør strø salt på hasj for å beskytte passordene dine

[ware_item id=33][/ware_item]

Hvorfor nettsteder bør strø salt på hasj for å beskytte passordene dine


Til tross for manglene, er passord fremdeles den faktiske standarden for autentisering på nettet.

ExpressVPN har allerede skrevet om fordelene ved å lage sikre passord ved å bruke Diceware, bruke passordbehandlere og bygge et nytt lag med sikkerhet rundt kontoene dine med tofaktorautentisering..

Men hva skjer bak kulissene? Hvilke tiltak kan og bør en nettstedsoperatør gjøre for å sikre passordene dine?

Fødselen til datahacker

Det første datasystemet som brukte passord var Compatible Time-Sharing System ved Massachusetts Institute of Technology, bygget i 1960. Tidsdeling ga datamaskinen mulighet til å bli partisjonert og brukt som flere arbeidsstasjoner.

Fortsatt var det flere forskere enn arbeidsstasjoner, og brukerne fikk tildelt begrenset tid på systemet (som noen utmattet ganske raskt). For å sikre at forskerne holdt seg innenfor sine grenser, ble hver tildelt et unikt passord å logge inn med.

Men selvfølgelig, med de første passordene kom den første hackeren. En forsker, Allan Scherr, benyttet seg av et system som tillot brukere å skrive ut filer via hullkort (datamaskiner hadde ingen skjermer på 1960-tallet). Scherr fant og skrev ut filen som lagret passordene, slik at han kunne logge seg inn som andre brukere og bruke datamaskinen lenger.

I dag anses det som grovt uaktsomt å lagre passord i klartekst på et system, selv om 2016-hacket til det russiske nettstedet for sosiale medier VK.com viser at noen store nettsteder fortsatt gjør det. VK.com-passordene til 100 millioner brukere ble stjålet og er nå ute for salg.

Hvorfor hasjfunksjoner er en enveis gate

En hasjfunksjon er en enveiskryptering og fungerer omtrent som et fingeravtrykk. Hver fil, ord eller tekststreng er betegnet som et "fingeravtrykk", som identifiserer det nøyaktige innholdet i den opprinnelige filen..

Hashes kan brukes til å bestemme informasjon, men ikke hva dataene representerer. En enkel måte å forestille seg hvordan hasjer fungerer er med siffersummer (summen av alle talls sifre).

Tallssummen på 9807347 er 9 + 8 + 0 + 7 + 3 + 4 + 7 = 38

Selv om det er lett å se siffer summen av 987347 er 38, er det umulig å beregne 987347 fra tallet 38.

Sikre passord med hasjerSHA-256 hashes for forskjellige tekststrenger og en bildefil.

SHA-256 tilbyr et univers av permutasjoner

Utrolig, 256 biter er en lang nok utgang til å identifisere hvert eneste atom i det observerbare universet (2 ^ 256 = 1,157920892 × 10⁷⁷).

Selv om det i teorien kan være to forskjellige verdier som begge har den samme SHA-256-hasjen. En slik hendelse kalles en hasjkollisjon, og sikkerheten til enhver hasjfunksjon er avhengig av at de er uoppdagelige.

Forgjengeren til SHA-2 (hvorav SHA-256 er en variant) - den en gang så populære SHA-1-algoritmen - er kjent for å være sårbar for hasjkollisjoner. Selv om det er verdt å merke seg, har ingen noen gang funnet en.

En annen populær hasj, MD5, hadde så mange sårbarheter at det ikke er noe nyttig forsvar mot ondsinnet tukling av filer.

Bortsett fra å kryptere passord, kan hasjfunksjoner også være nyttige for å sikre at filene ikke har blitt tuklet med, likt kryptografiske signaturer, ettersom en endret tekststreng vil endre hash-tasten.

Lagring av passord som hashes, snarere enn klartekst, gjør det mulig å sjekke at et passord er riktig uten å forlate passordet sårbart for hackere..

Salt og hasj beskytter passordene dine

Hvis noen var i stand til å hacke en database som bare inneholdt hashede passord, i teorien, ville de ikke fått noen nyttig informasjon. I virkeligheten bruker folk imidlertid passordene sine på mange nettsteder, eller bruker vanlige ord i dem, og det er mange ting en hacker kan gjøre for å knekke hasjene.

Hver SHA-256-hash med ordet ExpressVPN er alltid den samme, på alle systemer. Så hvis brukernavnet ditt er Lexie og du bruker ExpressVPN som passord (ikke), kan en hacker søke etter hasjen “c9f45… 3d185” blant passordene for å se Lexies passord er ExpressVPN.

Selv om dette ikke høres spesielt nyttig ut på egen hånd, er det lister over de topp tusen mest brukte passordene (som vi vet fra tidligere hacks).

Ved hjelp av en slik liste kan en hacker søke etter hasjene til de vanlige passordene og matche dem til brukernavn.

Denne typen angrep kalles et regnbuebord, eller ordbok, angrep. Det er ikke nok tid igjen i universet til en angriper til å prøve alle mulige hasj- / passordkombinasjoner i et brute force-angrep. Men det er nok tid til å prøve de mest populære passordene, noe som sannsynligvis vil kompromittere en betydelig del av databasen.

Salting beskytter passord ved å tildele dem unike tall

For å beskytte mot ordboksangrep kan en databaseadministrator bruke en metode som kalles "salting", der hvert passord tildeles et unikt tilfeldig nummer. En SHA-256-hash av kombinasjonen av salt og passord blir deretter beregnet, lagret og sjekket.

Alternativt kan passordet hasheses, kombinert med saltnummer, og resultatet hasheded igjen.

Saltede hasjer gir ekstra beskyttelseEksempler på “saltet” hasj, hashes igjen.

På grunn av salteteknikken er det ikke lenger attraktivt å lage et regnbuebord. De tilfeldige tallene vil gjøre hvert hasj unikt, selv om brukeren ikke valgte et unikt passord.

Hvis en hacker ønsket å målrette brukere med passordet "Passw0rd!", Ville saltnummeret holde databasen trygg.

Fremtiden for passordsystemer

Passord er langt fra optimale for online godkjenning. En god er vanskelig å huske, de er vanskelige å oppheve, og når en lekke kan forårsake betydelig skade, når den en gang er lekket.

Passordbehandlere kan gjøre passord mer brukervennlige og hjelpe deg med å lage unike. De vil også oppmuntre deg til å endre påloggingsinformasjon regelmessig, noe som er nødvendig for god online sikkerhet.

Kanskje fremover vil vi flytte til alternative former for autentisering, for eksempel offentlige / private nøkkelpar, muligens kombinert med maskinvarenøkler. I en slik modell trenger du bare å laste opp den offentlige nøkkelen en gang til en server når du registrerer deg, og deretter aldri mer.

Selv om det ikke nødvendigvis er større sikkerheter enn en riktig implementert passordløsning, er det mindre sannsynlig at offentlige / private nøkkelpar blir brukt feil av både brukeren og tjenesten..

Hva du kan gjøre for å sikre deg passordene dine

Vær oppmerksom på at mange av tjenestene du bruker i dag, allerede kan ha mistet kontrollen over passordene dine. Kanskje de ikke vet om det ennå, eller kanskje de nekter å offentlig erkjenne det - beskytte deres image på bekostning av sikkerheten til brukerne..

Bruk en tilfeldig passordgenerator og endre passordene dine til lange tilfeldige strenger av bokstaver og tegn. Du kan også aktivere tofaktorautentisering på noen tjenester for å legge til et ekstra lag med sikkerhet.

Det er også en god idé å slette kontoer du ikke bruker lenger, i håp om at tjenesten sletter brukerdataene dine sammen med den.

Hvorfor nettsteder bør strø salt på hasj for å beskytte passordene dine
admin Author
Sorry! The Author has not filled his profile.