我们现在很少有一个月没有听到某种数据泄露的消息。
Factor可能是Gmail的最新服务。
我们越来越意识到Google清除我们的私人信息的方式。
事实上,为了和平请记住,这是每个人都需要知道的东西……
最坏的情况:纯文本
考虑一下:一个主要的网站已被黑客入侵。网络犯罪分子已经突破了其采取的任何基本安全措施,也许利用了其体系结构中的缺陷。您是客户该站点已存储您的详细信息。值得庆幸的是,您已经确定自己的密码是安全的。
除了该站点将密码存储为纯文本外。
它始终是一枚滴答滴答的炸弹。纯文本密码正等待被掠夺。他们没有使用算法使它们不可读。黑客可以像阅读句子一样简单地阅读它。
这是一个令人恐惧的想法,不是吗?密码的复杂程度并不重要,即使它是pi到30位数字:纯文本数据库也列出了每个人的密码,并清楚地列出了密码,包括您使用的其他数字和字符。即使黑客不要破解该网站,您是否真的希望管理员能够看到您的机密登录详细信息?
我始终使用很好的安全性高的密码,例如Hercules还是泰坦(Titan),我从来没有遇到任何问题……
—不用理会(@emilbordon),2016年8月16日
您可能会认为这是一个非常罕见的问题,但是估计有30%的电子商务网站使用此方法“保护"您的数据-实际上,有一个专门致力于突出这些违规者的博客!直到去年,甚至NHL都以这种方式存储密码,就像Adobe在发生重大安全漏洞之前一样。
令人震惊的是,病毒防护公司McAfee还使用纯文本。
一种简单的方法注册后,如果您发现某个网站是否使用了此功能,则您是否从他们那里收到一封列出您的登录详细信息的电子邮件。很狡猾。在这种情况下,您可能想要更改具有相同密码的任何站点,然后与公司联系以警告他们其安全性令人担忧。
这不一定意味着它们确实将它们存储为纯文本格式,但是这是一个很好的指标-而且他们确实不应该在电子邮件中发送此类信息。他们可能会争辩说他们有防火墙 et al。来防御网络犯罪分子,但是提醒他们,没有任何系统是完美无缺的,并且会失去在他们面前失去客户的机会。
他们很快就会改变主意。希望……
听起来不尽如人意:加密
那么这些站点会做什么?
许多人将转向加密。我们都听说过:一种似乎不可渗透的方式,用于扰乱您的信息,直到显示出两个密钥(一个由您(即您的登录详细信息)持有,另一个由有关公司持有)后才变得不可读。这是个好主意,您甚至应该在智能手机和其他设备上实现。
互联网运行于加密状态:当您在URL中看到HTTPS时。
您可能已经听说过,加密并不完美。
— Derek Klein(@rogue_analyst)2016年8月11日
它应该是安全的,但它只与密钥所在的位置一样安全被存储。如果网站使用自己的密钥保护您的密钥(即密码),则黑客可能会公开后者以找到前者并对其进行解密。小偷只需很少的精力即可找到您的密码;这就是为什么密钥数据库是一个大规模目标的原因。
基本上,如果密钥数据库与您的密钥存储在同一服务器上,则密码也可能是纯文本格式。这就是为什么前面提到的PlainTextOffenders网站还列出使用可逆加密的服务的原因。
令人惊讶的简单(但并非总是有效):哈希
现在我们到了。散列密码听起来像是胡说八道,但这只是一种更安全的加密形式。
站点不是通过纯文本形式存储密码,而是通过诸如MD5(安全散列算法,SHA5)之类的散列函数运行密码)-1或SHA-256,将其转换为一组完全不同的数字;这些可以是数字,字母或任何其他字符。您的密码可以是IH3artMU0。这可能会变成7dVq $ @ ihT,如果黑客闯入了数据库,那便是他们所能看到的一切。它仅以一种方式起作用。您无法将其解码回去。
不幸的是,这不是安全的。它比纯文本更好,但对于网络罪犯来说仍然相当标准。关键是特定的密码会生成特定的哈希。有一个很好的理由:每次使用密码IH3artMU0登录时,该密码都会自动通过该哈希函数,并且如果该哈希与站点数据库中的哈希匹配,则网站会允许您访问。
它这也意味着黑客已经开发了彩虹表(哈希表),该哈希表已经被其他人用作密码,这样一个复杂的系统可以作为蛮力攻击快速运行,这在彩虹表上会很高,并且很容易被破解;
How bad can it be? Back in 2012, LinkedIn was hacked . Email addresses and their corresponding hashes were leaked. That’s 177.5 million hashes, affecting 164.6 million users. You might figure that’s not too much of a concern: they’re just a load of random digits. Pretty indecipherable, right? Two professional crackers decided to take a sample of 6.4 million hashes and see what they could do.
它们在不到一周的时间内破解了其中的90%。
效果不错:盐腌和慢散度< /
更智能的哈希值是无法将任何系统牢不可破的。 。这些额外的数字会在通过哈希函数之前添加到密码(或电子邮件-密码组合)的开头或结尾,以打击使用彩虹表进行的尝试。
通常不会盐是否与哈希存储在同一服务器上无关紧要;破解一组密码对于黑客来说可能是非常耗时的,如果您的密码本身过于复杂,则变得更加困难。这就是为什么无论您多么信任站点的安全性,都应该始终使用安全性高的密码的原因。
特别重视安全性的网站(逐渐扩展了您的安全性)正越来越多地采用慢速哈希作为附加措施。最著名的哈希函数(MD5,SHA-1和SHA-256)已经存在了一段时间,并且由于它们相对易于实现并且可以非常快速地应用哈希而被广泛使用。
— Anti-Bullying Pro(来自慈善机构戴安娜奖)(@ AntiBullyingPro),2016年8月13日
虽然仍在应用盐,但慢速散列甚至可以更好地抵抗任何依赖速度的攻击;通过将黑客的每秒尝试次数大大减少,可以使他们花费更长的时间破解,从而使尝试的价值降低,同时还考虑了降低的成功率。网络罪犯必须权衡相对于“快速修复"是否值得攻击耗时的慢速散列系统:医疗机构通常安全性较低。
它也具有很强的适应性:如果系统处于特定压力下,它将可以进一步放慢速度。微软前首席软件开发人员Coda Hale将MD5与也许是最著名的慢速哈希函数bcrypt(其他包括PBKDF-2和scrypt)进行了比较:
“而不是每40秒破解一次密码[使用MD5],我会每12年或更长时间(当系统使用bcrypt时)进行破解。您的密码可能不需要这种安全性,并且可能需要更快的比较算法,但是bcrypt允许您选择速度和安全性之间的平衡。"
因为仍然可以用更少的时间实现慢速哈希一秒钟之内,用户就不会受到影响。
为什么如此重要?
当我们使用在线服务时,我们签订了信任合同。知道您的个人信息得到保护后,您应该是安全的。
—太空中的猫(@CatsLoveSpace)2016年8月16日
安全存储密码,登录信息对于您经常使用相同密码的任何其他网站,也可能是一本针对网络罪犯的书。
您是否发现了任何纯文本违规者?您暗中信任哪些网站?您认为下一步要进行安全的密码存储吗?
图片来源:Africa Studio / Shutterstock,Lulu Hoeller的密码错误[不再可用];通过意大利汽车登录; Christiaan Colen的Linux密码文件;和小瓶Karyn Christner。
