איך הסיסמאות שלך מאוחסנות באינטרנט (ומתי עוצמת הסיסמה שלך לא משנה)
בֵּיןלינקדאין,זאפוס,מארח חלומות, ואתרים בולטים אחרים שנפרצו לאחרונה, סביר להניח שחשבתם על האבטחה המקוונת שלכם לאחרונה. אבל מה זה בעצם אומר כשאחד מהאתרים האלה נפרץ, ואיך אתה יכול להגן על עצמך? הנה כיצד מאוחסנות הסיסמאות שלך באינטרנט, ומה זה אומר עבורך כאשר אתר אינטרנט שבו השתמשת נפרץ.
ישנן מספר דרכים שבהן אתר יכול לאחסן את הסיסמה שלך, וחלקן מאובטחות הרבה יותר מאחרות. להלן סקירה מהירה של השיטות הפופולריות ביותר, ומה משמעותן לאבטחת הנתונים שלך.
שיטה ראשונה: סיסמאות טקסט רגיל
איך זה עובד: הדרך הפשוטה ביותר שבה אתר יכול לאחסן את הסיסמה שלך היא בטקסט רגיל. כלומר איפשהו בשרת שלהם, קיים מסד נתונים עם שם המשתמש והסיסמה שלך בצורה קריאה לאדם (כלומר, אם הסיסמה שלך היאtesting123
, הוא מאוחסן במסד הנתונים בשםtesting123
). כאשר אתה מזין את האישורים שלך באתר, הוא בודק אותם מול מסד הנתונים כדי לראות אם הם תואמים. זוהי השיטה הגרועה ביותר האפשרית, במונחי אבטחה, ורוב אתרי האינטרנט המכובדים אינם מאחסנים סיסמאות בטקסט רגיל. אם מישהו פורץ למסד הנתונים הזה, הסיסמה של כולם נפגעת מיד.
האם הסיסמה החזקה שלי חשובה?אין מצב. לא משנה כמה ארוכה או חזקה הסיסמה שלך עשויה להיות, אם היא מאוחסנת בטקסט רגיל והאתר נפרץ, הסיסמה שלך נגישה לכל אחד בקלות, ללא צורך בעבודה. זה עדיין משנה במונחים של הסתרת הסיסמאות שלך, למשל, מחברים שלך, או אחרים שיכולים לנחש זאת בקלות, אבל זה לא ישנה שום הבדל אם האתר ייפרץ.
שיטה שנייה: הצפנת סיסמה בסיסית
איך זה עובד: כדי להוסיף יותר הגנה לסיסמה שלך ממה שמספק טקסט רגיל, רוב האתרים מצפינים את הסיסמה שלך לפני שהם מאחסנים אותה בשרתים שלהם. ההצפנה, לאלו מכם שלא יודעים, משתמשת במפתח מיוחד כדי להפוך את הסיסמה שלכם למחרוזת טקסט אקראית. אם האקר היה משיג את מחרוזת הטקסט האקראית הזו, הוא לא יוכל להיכנס לחשבון שלך אלא אם כן היה לו גם את המפתח, שבו הם יוכלו להשתמש כדילפענחזֶה.
הבעיה היא שלעתים קרובות המפתח מאוחסן בדיוק באותו שרת שבו נמצאות הסיסמאות, כך שאם השרתים נפרצים, האקר לא צריך לעשות הרבה עבודה כדי לפענח את כל הסיסמאות, מה שאומר שהשיטה הזו עדיין לא בטוחה. .
האם הסיסמה החזקה שלי חשובה?לא. מכיוון שקל לפענח את מסד הנתונים של הסיסמאות עם מפתח, גם הסיסמה החזקה שלך לא תשנה כאן. שוב: זה במונחים של פריצה של האתר; אם יש לך חבר או בן משפחה חטטנים שמשתרשים את הדברים שלך, סיסמה חזקה יכולה לעזור למנוע מהם לנחש זאת.
שיטה שלישית: גיבוב סיסמאות
איך זה עובד: Hashed דומה להצפנה במובן זה שהיא הופכת את הסיסמה שלך למחרוזת ארוכה של אותיות ומספרים כדי לשמור אותה מוסתרת. עם זאת, בניגוד להצפנה, גיבוב הוא רחוב חד כיווני: אם יש לך את ה-hash, לא תוכל להריץ את האלגוריתם לאחור כדי לקבל את הסיסמה המקורית. המשמעות היא שהאקר יצטרך להשיג את ה-hash ולאחר מכן לנסות מספר שילובי סיסמאות שונים כדי לראות אילו עבדו.
עם זאת, יש חיסרון לשיטה זו. בעוד האקר לא יכול לפענח hash בחזרה לסיסמה המקורית, הםפַּחִיתנסה סיסמאות רבות ושונות עד שאחת תואמת ל-hash שיש להם. מחשבים יכולים לעשות זאת מהר מאוד, ובעזרת משהו שנקרא טבלאות קשת בענן - שהיא בעצם רשימה של טריליוני גיבוב שונים והסיסמאות התואמות שלהם - הם יכולים פשוט לחפש את ה-hash כדי לראות אם הוא כבר התגלה. נסה להקלידe38ad214943daad1d64c102faec29de4afe9da3d
לתוך גוגל. מהר מאוד תגלה שזהו ה-hash של SHA-1 עבור "סיסמה1". למידע נוסף על אופן הפעולה של טבלאות קשת בענן, בדוקמאמר זה מאת גורו הקידוד ג'ף אטוודבנושא.
האם הסיסמה החזקה שלי חשובה?במקרה הזה, כן. טבלאות Rainbow מורכבות מסיסמאות שכבר נבדקו כנגד hashes, מה שאומר שהחלשות באמת ייפצחו מהר מאוד. החולשה הגדולה ביותר שלהם, לעומת זאת, היא לא המורכבות, אלא האורך. עדיף לך להשתמש בסיסמה ארוכה מאוד (כמומפורסם של XKCD"מצרך נכון של סוללת סוס") במקום קצר ומורכב (כמו kj$fsDl#).
שיטה רביעית: גיבוב סיסמאות עם קורטוב של מלח
איך זה עובד: המלחת גיבוב פירושה הוספת מחרוזת אקראית של תווים - המכונה "מלח" - להתחלה או לסוף של הסיסמה שלך לפני הגיבוב שלה. הוא משתמש במלח שונה עבור כל סיסמה, וגם אם המלחים מאוחסנים באותם שרתים, זה יקשה מאוד למצוא את הגיבובים המלוחים האלה בטבלאות הקשת, מכיוון שכל אחד מהם ארוך, מורכב וייחודי. לינקדאין מפורסמת בזכותלֹאבאמצעות חשיש מלוח, שהביא אותם לביקורת רבה לאחר שלהםפריצה אחרונה- אילו היו משתמשים במלחים, המשתמשים שלהם היו בטוחים יותר.
האם הסיסמה החזקה שלי חשובה?בְּהֶחלֵט! עם זאת, למרבה הצער, הגענו לנקודה שבה מחשבים כל כך מהירים שרבים מסוגלים להפעיל כוח גס אפילו חשיש מלוח. זה יכול לקחת אמְאוֹדזמן רב - בוודאי ארוך יותר משימוש בטבלאות קשת בענן - אבל זה עדיין בר ביצוע. המשמעות היא שעוצמת הסיסמה שלך עדיין חשובה, שכן ככל שהיא ארוכה ומורכבת יותר, כך ייקח זמן רב יותר לפצח בהתקפת כוח אכזרי.
שיטה חמישית: גיבוב איטי
איך זה עובד: נכון לעכשיו, רוב מומחי האבטחה הםמצביע על גיבוב איטי יותרכאפשרות הטובה ביותר לאחסון סיסמאות. פונקציות Hash כמו MD5, SHA-1 ו-SHA-256 מהירות יחסית: אם תקליד סיסמה, היא תחזיר את התוצאות די מהר. בהתקפת כוח גס, הזמן הוא הגורם החשוב ביותר. על ידי שימוש ב-hash איטי יותר - כמוbcryptאלגוריתם - התקפות כוח גסות לוקחות הרבה הרבה יותר זמן, מכיוון שלכל סיסמה לוקח יותר זמן לחשב.
האם הסיסמה החזקה שלי חשובה?שוב, מכיוון שקשה יותר להפעיל סיסמאות חזקות, סיסמה חזקה בהחלט יכולה לעזור לך כאן. אם הסיסמה שלך חזקה, זה יכול לקחת הרבה מאוד זמן לגלות עם hash איטי.
איך אתה יכול להימנע מהדלפת הסיסמה שלך?
אז מה כל זה אומר עבורך? הנה מה שאתה צריך לקחת מהמידע הזה:
אל תשתמש בשירותים עם אבטחה גרועה. אמנם אינך יכול לשלוט כיצד חברה מאחסנת את הסיסמה שלך, אבל אתהפַּחִיתלשלוט לאילו שירותים אתה נרשם. לעולם אל תרשם לשירות המשתמש בטקסט רגיל או בהצפנה כדי לאחסן את הסיסמאות שלך, מכיוון שהן הרבה יותר פגיעות לפגיעה. דרך טובה לגלות במה הם משתמשים,על פי שירות האינטרנט CloudFare, הוא ללחוץ על הקישור "סיסמה אבודה". אם הוא שולח לך את הסיסמה שלך בדוא"ל, זה אומר שהם יכולים לגשת לסיסמה עצמה והיא אינה מועברת - וסביר להניח שהיא מאוחסנת באחת מהשיטות הפחות מאובטחות. כמובן, אתה תמיד יכול לשלוח להם דוא"ל ולשאול, או לבדוק את השאלות הנפוצות שלהם כדי לראות אם הם נידבו את המידע הזה.
השתמש בסיסמה חזקה: כפי שהראינו לך למעלה, ככל שהסיסמה שלך חזקה יותר, כך קטן הסיכוי שמישהו יוכל לפצח אותה ולהשתמש בה במהירות. האורך חשוב יותר מהמורכבות. זכור: כל סיסמה ניתנת לפיצוח, אתה רק רוצה שזה ייקח כמה שיותר זמן. מה שמביא אותי לנקודה הבאה שלנו:
שנה תמיד את הסיסמה שלך לאחר הפרה:גם אם הסיסמה שלך חזקה, זה לא אומר שהיא בלתי פגיעה לפיצוח - זה רק אומר שזה צפוי לקחת הרבה מאוד זמן. אנשים עם סיסמאות חלשות אולי כבר חשבו שהחשבון שלהם נפרץ כשהם מבינים שהדליפה קרתה, אבל אם לסיסמה שלך לוקח ימים להיסדק, יש לך זמן לשנות אותה ולהפוך את הסיסמה הישנה שלך לחסרת תועלת עד שהם יבינו אותה.
השתמש בסיסמה שונה עבור כל אתר: אם אתההשתמש בסיסמה שונה עבור כל חשבון שיש לך, אז החשבונות האלה יישארו בטוחים גם אם אחד מהחשבונות המקוונים שלך ייפגע. אם היית משתמש באותה סיסמה עבור כל אתר, הפרה של אתר אחד עלולה להיות עולם שלם של צרות עבורך.
השתמש ב-OAuth אם אינך בטוח לגבי אבטחת האתר: יש לנודיבר על OAuth בעבר, הפרוטוקול המאפשר לך להיכנס באמצעות חשבון Google, Facebook או Twitter שלך. אם אינך יודע עד כמה האתר מאובטח, והוא מציע לך את האפשרות להשתמש ב-OAuth, לך על זה - סביר להניח שלגוגל, פייסבוק וטוויטר יש אבטחה טובה יותר, ואם האתר נפרץ, אתה יכול פשוט לבטל הגישה שלו לחשבון Google, Facebook או Twitter שלך.
תמונת הכותרת רמיקס משֶׁקֶר.