為什麼每次服務的密碼資料庫洩露時都要擔心
“我們的密碼資料庫昨天被盜了。但別擔心:你的密碼是加密的,“我們經常在網上看到類似這樣的宣告,包括昨天雅虎的宣告。但我們真的應該從表面上看這些保證嗎?
事實上,無論公司如何試圖扭轉密碼資料庫的執行,密碼資料庫的妥協都是一個令人擔憂的問題。但是,無論公司的安全做法有多糟糕,你都可以做一些事情來孤立自己。
密碼應如何儲存
以下是公司在理想情況下應該如何儲存密碼:建立帳戶並提供密碼。服務不儲存密碼本身,而是從密碼生成一個“雜湊”。這是一個無法逆轉的獨特指紋。例如,密碼“password”可能會變成類似“4jfh75to4sud7gh93247g…”。當您輸入密碼登入時,服務將從中生成雜湊值,並檢查雜湊值是否與儲存在資料庫中的值匹配。在任何時候,服務都不會將您的密碼本身儲存到磁碟上。
要確定您的實際密碼,具有資料庫訪問許可權的攻擊者必須預先計算常用密碼的雜湊值,然後檢查它們是否存在於資料庫中。攻擊者透過查詢表和匹配密碼的大量雜湊列表來實現這一點。然後可以將雜湊值與資料庫進行比較。例如,攻擊者會知道“password1”的雜湊值,然後檢視資料庫中是否有帳戶使用該雜湊值。如果他們是,攻擊者知道他們的密碼是“password1”。
為了防止這種情況發生,服務應該對雜湊進行“鹽分”。他們沒有從密碼本身建立雜湊,而是在雜湊之前在密碼的前面或結尾新增一個隨機字串。換句話說,使用者將輸入密碼“password”,服務將新增salt並雜湊一個看起來更像“password35s2dg”的密碼。每個使用者帳戶都應該有自己唯一的salt,這將確保每個使用者帳戶在資料庫中的密碼都有不同的雜湊值。即使多個帳戶使用密碼“password1”,由於salt值不同,它們也會有不同的雜湊值。這將擊敗試圖預先計算密碼雜湊的攻擊者。他們不能夠一次生成應用於整個資料庫中每個使用者帳戶的雜湊,而是必須為每個使用者帳戶及其唯一的salt生成唯一的雜湊。這將需要更多的計算時間和記憶體。
這就是為什麼服務部門經常說不用擔心。使用適當安全程式的服務應該說它們使用的是鹹密碼雜湊。如果他們只是說密碼是“雜湊的”,那就更讓人擔心了。例如,LinkedIn對他們的密碼進行了雜湊處理,但他們沒有對密碼進行加密,所以LinkedIn在2012年丟失了650萬個雜湊密碼,這是一件大事。
錯誤的密碼操作
這並不是最難實現的事情,但許多網站仍然以各種方式將其搞糟:
- 以明文形式儲存密碼:一些最嚴重的違規者可能只會將明文形式的密碼轉儲到資料庫中,而不必進行雜湊運算。如果這樣的資料庫被洩露,你的密碼顯然被洩露了。不管他們有多強壯。
- 對密碼進行雜湊而不使用鹽類:一些服務可能會對密碼進行雜湊並放棄,從而選擇不使用鹽類。這樣的密碼資料庫很容易受到查詢表的攻擊。攻擊者可以為許多密碼生成雜湊,然後檢查它們是否存在於資料庫中—如果不使用salt,他們可以一次對每個帳戶執行此操作。
- 重用salt:有些服務可能會使用salt,但它們可能會對每個使用者帳戶密碼重用相同的salt。如果對每個使用者使用相同的salt,那麼這是毫無意義的,兩個具有相同密碼的使用者將擁有相同的雜湊。
- 使用短鹽:如果只使用幾個數字的鹽,就可以生成包含所有可能鹽的查詢表。例如,如果將一個數字用作salt,攻擊者可以輕鬆生成包含所有可能salt的雜湊列表。
公司不會總是告訴你全部情況,所以即使他們說密碼是經過雜湊處理的(或者是經過雜湊和鹽處理的),他們也可能沒有使用最佳實踐。總是犯謹慎的錯誤。
其他問題
salt值很可能也存在於密碼資料庫中。如果對每個使用者使用一個唯一的salt值,攻擊者將不得不花費大量的CPU能量來破解所有這些密碼,這並不是很糟糕。
實際上,許多人使用明顯的密碼,因此很容易確定許多使用者帳戶的密碼。例如,如果攻擊者知道您的雜湊值,並且知道您的salt,那麼他們可以很容易地檢查您是否使用了一些最常用的密碼。
相關:攻擊者如何實際“駭客帳戶”網上和如何保護自己
如果一個攻擊者想破解你的密碼,他們可以用暴力破解你的密碼,只要他們知道鹽值,他們可能會這麼做。透過對密碼資料庫的本地離線訪問,攻擊者可以使用他們想要的所有暴力攻擊。
當密碼資料庫被盜時,其他個人資料也可能洩漏:使用者名稱、電子郵件地址等。在雅虎洩密的案例中,安全問題和答案也被洩露了,我們都知道,這使得盜取他人帳戶的訪問變得更容易。
救命啊,我該怎麼辦?
當一個服務的密碼資料庫被盜時,不管它說什麼,最好假設每個服務都是完全不稱職的,並採取相應的行動。
首先,不要在多個網站上重複使用密碼。使用為每個網站生成唯一密碼的密碼管理器。如果攻擊者發現您的服務密碼為“43^tSd%7uho2\353”,而您只在某個特定網站上使用該密碼,則他們沒有學到任何有用的資訊。如果你在任何地方都使用相同的密碼,他們就可以訪問你的其他帳戶。這就是有多少人的賬戶被“駭客”了
如果某個服務確實受到了威脅,請務必更改您在那裡使用的密碼。如果你在其他網站上重複使用密碼的話,你也應該修改它——但你不應該一開始就這麼做。
您還應該考慮使用雙因素身份驗證,即使攻擊者知道您的密碼,它也會保護您。
相關:為什麼你應該使用密碼管理器,以及如何開始
最重要的是不要重複使用密碼。如果你在任何地方都使用一個唯一的密碼,洩露的密碼資料庫不會傷害你——除非它們在資料庫中儲存了其他重要的東西,比如你的信用卡號。
圖片來源:Marc Falardeau在Flickr上,Wikimedia Comm***
- 發表於 2021-04-08 14:27
- 閱讀 ( 37 )
- 分類:網際網路
你可能感興趣的文章
密碼管理器不足以保證密碼安全的4個原因
...ass使用者那裡竊取明文密碼,而使用者和公司都不知道有什麼問題。 ...
spotify重置了大約35萬個涉及資料洩露的密碼
...錄顯示某人的密碼是“spotify”。不需要天才就能弄明白為什麼這可能是不安全的。 ...
如何使用谷歌密碼檢查
...的帳戶使用相同的密碼,請同時重置這些密碼。 相關:為什麼不應該使用Web瀏覽器的密碼管理器
密碼管理器有多安全?
...理器,這是遠遠優於其他方式保持您的密碼跟蹤。這就是為什麼他們是一個安全的選擇。 密碼管理器比其他方法更安全 密碼管理器將您的密碼儲存在一個安全的保險庫中,您可以使用一個主密碼和一個額外的雙因素身份驗證...
為什麼公司仍然用純文字儲存密碼?
...檔案。為了安全起見,應該對密碼進行加密和雜湊,那麼為什麼2019年不會發生這種情況呢? 為什麼密碼不能以純文字形式儲存 designer491/Shutterstock 當一家公司以明文形式儲存密碼時,任何擁有密碼資料庫或密碼儲存在任何其他...
別上當了新的密碼勒索騙局:以下是如何保護你自己
...ic.twitter.com/VFl5s1duCe — Emin Gün Sirer (@el33th4xor) July 11, 2018 為什麼騙子想要加密貨幣 這類詐騙與CryptoLocker等勒索軟體有很多共同點。與勒索軟體一樣,加密勒索也會發出威脅,並要求向加密貨幣地址付款。但是,雖然勒索軟體在...
firefox很快就會告訴你你什麼時候被選中了
...它最終將成為Firefox的一部分。我們會告訴你的。 相關:為什麼你應該使用密碼管理器,以及如何開始 1Password是一個密碼管理器,已經添加了這種整合,現在您可以在Windows、Mac和web版本的服務中訪問它。 如果一個帳戶被洩露,...
passprotect會告訴你密碼是否被洩露
...果您在多個站點使用密碼,僅此工具無法保護您,這就是為什麼您應該使用密碼管理器的原因。這些幫助您為每個站點隨機生成一個密碼,然後以易於訪問的方式儲存密碼。值得注意的是,1Password是市場上最好的密碼管理器之一...
如何檢查密碼是否被盜
...稱和密碼資料庫,並使用它們“駭客”你的帳戶。這就是為什麼你不應該重複使用重要網站的密碼,因為一個網站的漏洞可以給攻擊者提供登入到其他帳戶所需的一切。 我被解僱了嗎? 相關:為什麼你應該擔心每當一個服務...
用這些決議在2019年鎖定你的技術
...露時,你都必須更改所有密碼,這是不可行的。 這就是為什麼您需要為每個站點使用不同的密碼,密碼管理器可以幫助您做到這一點。LastPass是一個受歡迎的免費選擇,但也有一些可靠的選項,很容易設定和使用。 別再拖延了...
