Γιατί οι ιστότοποι θα πρέπει να πασπαλίζουν αλάτι στα χαστούκια τους για να προστατεύσουν τους κωδικούς σας

[ware_item id=33][/ware_item]

Γιατί οι ιστότοποι θα πρέπει να πασπαλίζουν αλάτι στα χαστούκια τους για να προστατεύσουν τους κωδικούς σας


Παρά τις αδυναμίες τους, οι κωδικοί πρόσβασης εξακολουθούν να είναι το de facto πρότυπο για τον έλεγχο ταυτότητας στο διαδίκτυο.

Το ExpressVPN έχει ήδη γράψει για τα οφέλη της δημιουργίας ασφαλών κωδικών πρόσβασης χρησιμοποιώντας το Diceware, χρησιμοποιώντας διαχειριστές κωδικών πρόσβασης και την οικοδόμηση ενός άλλου επιπέδου ασφάλειας γύρω από τους λογαριασμούς σας με έλεγχο ταυτότητας δύο παραγόντων.

Αλλά τι συμβαίνει πίσω από τις σκηνές; Τι μέτρα μπορεί και πρέπει να λάβει ένας διαχειριστής ιστότοπου για να εξασφαλίσει τους κωδικούς πρόσβασής σας?

Η γέννηση του υπολογιστή hacking

Το πρώτο σύστημα υπολογιστή που χρησιμοποίησε κωδικούς πρόσβασης ήταν το Συμβατό Σύστημα Χρονικής Διανομής στο Ινστιτούτο Τεχνολογίας της Μασαχουσέτης, το οποίο χτίστηκε το 1960. Η κατανομή χρόνου επέτρεψε στον υπολογιστή να χωριστεί και να χρησιμοποιηθεί ως διάφορους σταθμούς εργασίας.

Ωστόσο, υπήρχαν περισσότεροι ερευνητές από τους σταθμούς εργασίας και οι χρήστες διατέθηκαν περιορισμένο χρονικό διάστημα στο σύστημα (το οποίο εξαντλήθηκε αρκετά γρήγορα). Για να βεβαιωθείτε ότι οι ερευνητές παρέμειναν εντός των ορίων τους, ο καθένας τους έλαβε έναν μοναδικό κωδικό πρόσβασης για να συνδεθεί με.

Αλλά, φυσικά, με τους πρώτους κωδικούς πρόσβασης ήρθε ο πρώτος χάκερ. Ένας ερευνητής, Allan Scherr, έκανε χρήση ενός συστήματος που επέτρεψε στους χρήστες να εκτυπώσουν αρχεία με κάρτες διάτρησης (οι υπολογιστές δεν είχαν οθόνες στη δεκαετία του 1960). Ο Scherr εντοπίζει και εκτυπώνει το αρχείο που αποθηκεύει τους κωδικούς πρόσβασης, επιτρέποντάς του να συνδεθεί ως άλλοι χρήστες και να χρησιμοποιήσει τον υπολογιστή για μεγαλύτερο χρονικό διάστημα.

Σήμερα θεωρείται εξαιρετικά αμέλεια η αποθήκευση κωδικών πρόσβασης σε καθαρό κείμενο σε ένα σύστημα, αν και το 2016 χάκερ της ρωσικής κοινωνικής ιστοσελίδας VK.com δείχνει ότι ορισμένες μεγάλες τοποθεσίες εξακολουθούν να κάνουν. Οι κωδικοί VK.com των 100 εκατομμυρίων χρηστών κλέφθηκαν και τώρα διατίθενται προς πώληση.

Γιατί οι λειτουργίες κατακερματισμού είναι μονόδρομοι

Μια λειτουργία hash είναι μια μονόδρομη κρυπτογράφηση και λειτουργεί σαν δακτυλικό αποτύπωμα. Κάθε αρχείο, λέξη ή συμβολοσειρά κειμένου χαρακτηρίζεται ως "δακτυλικό αποτύπωμα" κατακερματισμού, το οποίο προσδιορίζει με μοναδικό τρόπο το ακριβές περιεχόμενο του αρχικού αρχείου.

Οι χασίς μπορούν να χρησιμοποιηθούν για τον προσδιορισμό των πληροφοριών, αλλά όχι τι αντιπροσωπεύουν τα δεδομένα. Ένας απλός τρόπος για να φανταστεί κανείς πώς λειτουργεί ο hashes είναι με τα ψηφιακά ποσά (το άθροισμα όλων των ψηφίων ενός αριθμού).

Το άθροισμα των 9807347 είναι 9 + 8 + 0 + 7 + 3 + 4 + 7 = 38

Παρόλο που είναι εύκολο να δείτε το άθροισμα των 987347 είναι 38, είναι αδύνατο να υπολογίσετε το 987347 από τον αριθμό 38.

Ασφαλίστε τους κωδικούς πρόσβασης με hashesΤο SHA-256 έχει χαστούς για διάφορες συμβολοσειρές κειμένου και ένα αρχείο εικόνας.

Το SHA-256 προσφέρει ένα σύμπαν των μεταλλαγών

Απίστευτα, 256 bits είναι μια αρκετά μεγάλη παραγωγή για μοναδικό προσδιορισμό κάθε άτομο στο παρατηρούμενο σύμπαν (2 ^ 256 = 1.157920892 χ 107).

Αν και, θεωρητικά, θα μπορούσαν να υπάρχουν δύο διαφορετικές τιμές που και οι δύο έχουν το ίδιο SHA-256 hash. Ένα τέτοιο συμβάν ονομάζεται σύγκρουση κατακερματισμού και η ασφάλεια οποιασδήποτε συνάρτησης κατακερματισμού βασίζεται σε αυτά που δεν μπορούν να εντοπιστούν.

Ο προκάτοχος του SHA-2 (εκ των οποίων το SHA-256 είναι μια παραλλαγή) -ο πρώην δημοφιλής αλγόριθμος SHA-1 - είναι γνωστό ότι είναι ευάλωτος στις συγκρούσεις κατακερματισμού. Αν και αξίζει να σημειωθεί, κανείς δεν έχει βρει ποτέ κάτι τέτοιο.

Ένα άλλο δημοφιλές hash, MD5, είχε τόσες ευπάθειες, που δεν είναι χρήσιμη άμυνα ενάντια σε κακόβουλη παραποίηση αρχείων.

Εκτός από την κρυπτογράφηση κωδικών πρόσβασης, οι λειτουργίες κατακερματισμού μπορούν επίσης να είναι χρήσιμες για να διασφαλιστεί ότι δεν έχουν αλλοιωθεί τα αρχεία, παρόμοια με τις κρυπτογραφικές υπογραφές, καθώς μια αλλοιωμένη συμβολοσειρά κειμένου θα αλλάξει το κλειδί κατακερματισμού.

Η αποθήκευση των κωδικών πρόσβασης ως κατακερματισμοί, αντί για καθαρό κείμενο, καθιστά δυνατό τον έλεγχο σωστού κωδικού πρόσβασης χωρίς να αφήνεται ο κωδικός πρόσβασης ευάλωτος στους χάκερς.

Το αλάτι και το hash προστατεύουν τους κωδικούς πρόσβασής σας

Αν κάποιος μπόρεσε να χάσει μια βάση δεδομένων που περιείχε αποκλεισμένους κωδικούς πρόσβασης, θεωρητικά, δεν θα είχαν χρήσιμες πληροφορίες. Στην πραγματικότητα, όμως, οι άνθρωποι ξαναχρησιμοποιούν τους κωδικούς πρόσβασης σε πολλές τοποθεσίες ή χρησιμοποιούν κοινά λόγια σε αυτά και υπάρχουν πολλά πράγματα που ένας χάκερ μπορεί να κάνει για να σπάσει τα hashes.

Κάθε SHA-256 hash της λέξης ExpressVPN είναι πάντα η ίδια σε όλα τα συστήματα. Έτσι εάν το όνομα χρήστη σας είναι Lexie και χρησιμοποιείτε το ExpressVPN ως κωδικό πρόσβασης (όχι), ένας χάκερ θα μπορούσε να ψάξει για το hash "c9f45 ... 3d185" μεταξύ των κωδικών πρόσβασης για να δει τον κωδικό της Lexie να είναι ExpressVPN.

Αν και αυτό δεν ακούγεται ιδιαίτερα χρήσιμο από μόνο του, υπάρχουν λίστες με τους κορυφαίους λίγους χιλιάδες πιο χρησιμοποιημένους κωδικούς πρόσβασης (τους οποίους γνωρίζουμε από τα προηγούμενα hacks).

Χρησιμοποιώντας μια τέτοια λίστα, ένας χάκερ θα μπορούσε να ψάξει για τα hashes των κοινών κωδικών πρόσβασης και να τα ταιριάξει με ονόματα χρήστη.

Αυτός ο τύπος επίθεσης ονομάζεται τραπέζι ουράνιου τόξου, ή λεξικό, επίθεση. Δεν υπάρχει αρκετός χρόνος στο σύμπαν για έναν εισβολέα να δοκιμάσει κάθε πιθανό συνδυασμό κατακερματισμού / κωδικού πρόσβασης σε μια επίθεση βίαιης δύναμης. Αλλά υπάρχει αρκετός χρόνος για να δοκιμάσετε τους πιο δημοφιλείς κωδικούς πρόσβασης, οι οποίοι πιθανόν να θέσουν σε κίνδυνο ένα σημαντικό τμήμα της βάσης δεδομένων.

Η αλάτι προστατεύει τους κωδικούς πρόσβασης, αναθέτοντας τους μοναδικούς αριθμούς

Για να προστατεύσει από επιθέσεις με λεξικό, ένας διαχειριστής βάσης δεδομένων μπορεί να χρησιμοποιήσει μια μέθοδο που ονομάζεται "αλάτισμα", όπου σε κάθε κωδικό πρόσβασης έχει εκχωρηθεί ένας μοναδικός τυχαίος αριθμός. Στη συνέχεια υπολογίζεται, αποθηκεύεται και ελέγχεται ένα SHA-256 hash του συνδυασμού άλατος και κωδικού πρόσβασης.

Εναλλακτικά, ο κωδικός πρόσβασης θα μπορούσε να χυθεί, σε συνδυασμό με τον αριθμό αλατιού, και το αποτέλεσμα θα ξαναχτιστεί.

Τα αλατισμένα hashes προσθέτουν επιπλέον προσφοράΠαραδείγματα "αλμυρών" χασίς, χύνονται πάλι.

Λόγω της τεχνικής αλάτισης, η δημιουργία ενός τραπέζι ουράνιου τόξου δεν είναι πλέον ελκυστική. Οι τυχαίοι αριθμοί θα καθιστούσαν κάθε hash μοναδικό, ακόμα και αν ο χρήστης δεν επέλεξε έναν μοναδικό κωδικό πρόσβασης.

Εάν ένας χάκερ ήθελε να στοχεύσει χρήστες με τον κωδικό πρόσβασης "Passw0rd!", Ο αριθμός άλατος θα κρατούσε την βάση δεδομένων ασφαλή.

Το μέλλον των συστημάτων κωδικού πρόσβασης

Οι κωδικοί πρόσβασης δεν είναι πολύ βέλτιστοι για τον έλεγχο ταυτότητας στο διαδίκτυο. Ένα καλό είναι δύσκολο να θυμηθεί, είναι δύσκολο να ανακληθεί, και μόλις διαρρεύσει θα μπορούσε να προκαλέσει σημαντικές ζημίες.

Οι διαχειριστές κωδικών πρόσβασης μπορούν να κάνουν τους κωδικούς πρόσβασης πιο φιλικούς προς το χρήστη και να σας βοηθήσουν να δημιουργήσετε μοναδικές. Θα σας ενθαρρύνουν επίσης να αλλάζετε τακτικά τα διαπιστευτήριά σας σύνδεσης, τα οποία είναι απαραίτητα για την καλή ασφάλεια στο διαδίκτυο.

Ίσως στο μέλλον, θα προχωρήσουμε σε εναλλακτικές μορφές επαλήθευσης ταυτότητας, όπως ζεύγη δημόσιων / ιδιωτικών κλειδιών, ενδεχομένως σε συνδυασμό με κλειδιά υλικού. Σε ένα τέτοιο μοντέλο θα χρειαστεί να φορτώσετε μόνο το δημόσιο κλειδί σας μία φορά σε ένα διακομιστή κατά την εγγραφή σας, τότε ποτέ ξανά.

Αν και τα απαραίτητα μεγέθη δεν είναι απαραίτητα ασφαλέστερα από μια σωστά εφαρμοζόμενη λύση κωδικού πρόσβασης, τα ζεύγη δημόσιου / ιδιωτικού κλειδιού είναι λιγότερο πιθανό να εφαρμοστούν λανθασμένα από τον χρήστη και την υπηρεσία.

Τι μπορείτε να κάνετε για να εξασφαλίσετε τους κωδικούς πρόσβασής σας

Έχετε υπόψη σας ότι πολλές από τις υπηρεσίες που χρησιμοποιείτε σήμερα ενδέχεται να έχουν ήδη χάσει τον έλεγχο των κωδικών πρόσβασής σας. Ίσως δεν το γνωρίζουν ακόμα, ή ίσως αρνούνται να το αναγνωρίσουν δημόσια - προστατεύοντας την εικόνα τους σε βάρος της ασφάλειας των χρηστών τους.

Χρησιμοποιήστε μια τυχαία γεννήτρια κωδικού πρόσβασης και αλλάξτε τους κωδικούς πρόσβασης σε μεγάλες τυχαίες συμβολοσειρές γραμμάτων και χαρακτήρων. Μπορείτε επίσης να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων σε ορισμένες υπηρεσίες για να προσθέσετε ένα επιπλέον επίπεδο ασφαλείας.

Είναι επίσης καλή ιδέα να διαγράψετε όλους τους λογαριασμούς που δεν χρησιμοποιείτε πια, με την ελπίδα ότι η υπηρεσία θα διαγράψει μαζί τα δεδομένα των χρηστών σας.

Γιατί οι ιστότοποι θα πρέπει να πασπαλίζουν αλάτι στα χαστούκια τους για να προστατεύσουν τους κωδικούς σας
admin Author
Sorry! The Author has not filled his profile.