Как веб-сайты защищают ваши пароли?

В настоящее время вполне нормально слышать об утечке данных. Нарушение может произойти с популярным сервисом, таким как Gmail , или с программным обеспечением, о котором большинство из нас забыло, например MySpace.

Одна из худших вещей, которую может узнать хакер, — это ваш пароль. Это особенно актуально, если вы идете против стандартных советов и используете один и тот же логин на нескольких разных платформах. Но защита паролем — это не только ваша ответственность.

Так как же веб-сайты хранят ваши пароли? Как они обеспечивают безопасность вашей информации для входа? И какой самый безопасный метод веб-сайты могут использовать для отслеживания ваших паролей?

В худшем случае: пароли сохраняются в виде обычного текста.

Рассмотрим такую ​​ситуацию: взломан крупный веб-сайт. Киберпреступники обходят все основные меры безопасности, предусмотренные на веб-сайте, и могут воспользоваться уязвимостями в его структуре. Вы клиент. Этот веб-сайт сохранил ваши данные. Сайт гарантирует безопасность вашего пароля. Но что произойдет, если этот веб-сайт сохранит ваш пароль в виде обычного текста?

Пароли в виде обычного текста — это подобие прибыльной наживки. Они не используют алгоритмы, поэтому их невозможно прочитать. Хакеры могут прочитать пароли так же просто, как вы читаете эту статью.

Неважно, насколько сложны ваши пароли: текстовая база данных представляет собой список всех паролей, четко записанный, включая любые цифры и дополнительные символы, которые вы используете.

И даже если хакеры не взломают сайт, действительно ли вы хотите, чтобы какой-нибудь администратор сайта смог увидеть ваши секретные данные для входа?

Вы можете подумать, что это очень редкая проблема, но, по оценкам, около 30% сайтов электронной коммерции используют этот метод для «защиты» данных клиентов!

Самый простой способ узнать, сохраняет ли веб-сайт пароли в виде обычного текста, — это получить электронное письмо от веб-сайта с вашими данными для входа сразу после регистрации. В этом случае вы можете изменить любые другие сайты, использующие тот же пароль, и связаться с компанией, чтобы предупредить их о том, что их безопасность слишком низкая. Конечно, на 100% подтвердить невозможно, но это довольно явный признак и сайт действительно не должен рассылать подобные вещи по электронной почте.

Кодирование: звучит хорошо, но не идеально.

Многие веб-сайты используют шифрование для защиты паролей пользователей. Процесс шифрования шифрует вашу информацию, делая ее нечитаемой до тех пор, пока два ключа — один принадлежит вам (это ваши данные для входа), а другой — компании, о которой идет речь, не появятся вместе.

Вы также использовали шифрование во многих других местах. Face ID на iPhone — это форма шифрования. Код доступа тот же. Интернет использует шифрование: HTTPS, который вы видите в URL-адресе, означает, что веб-сайт, который вы посещаете, использует протокол SSL или TLS для проверки соединения и агрегирования данных. Но на самом деле шифрование не идеально.

Шифрование может дать вам душевное спокойствие. Но если сайт защищает ваш пароль, используя свой собственный пароль, хакер может украсть пароль сайта, а затем найти ваш пароль и расшифровать его. Хакерам не потребуется много усилий, чтобы подобрать ваш пароль; Вот почему крупные базы данных всегда являются большой мишенью.

Если ключ (пароль) вашего сайта хранится на том же сервере, что и ваш пароль, ваш пароль также может быть в виде обычного текста.

• Как хакеры крадут пароли Wi-Fi? Как это предотвратить?

Хэш: удивительно просто (но не всегда эффективно).

Хеширование паролей может звучать как жаргонизм, но это просто более безопасная форма шифрования.

Вместо хранения пароля в виде обычного текста веб-сайт пропускает пароль через хеш-функцию, например MD5, алгоритм безопасного хеширования (SHA)-1 или SHA-256, которая преобразует пароль в совершенно другой набор цифр. Это могут быть цифры, буквы или любые другие символы.

Ваш пароль может быть IH3artMU0. Он может превратиться в 7dVq$@ihT , и если хакер взломает базу данных, это все, что он увидит. Хакеры не могут снова расшифровать исходный пароль.

К сожалению, все не так безопасно, как вы думаете. Этот метод лучше обычного текста, но все же не представляет проблемы для киберпреступников.

Важно то, что конкретный пароль генерирует определенный хэш. Для этого есть веская причина: каждый раз, когда вы входите в систему с паролем IH3artMU0, он автоматически проходит через этот хеш, и сайт разрешает вам доступ, если этот хеш присутствует и в базе данных сайта.

В ответ хакеры разработали радужные таблицы, похожие на шпаргалки. Это списки хэшей, уже используемые другими в качестве паролей, которые сложная система может быстро просмотреть, подобно атаке методом грубой силы .

Если вы выбрали действительно плохой пароль, он будет находиться высоко на радужном столе и его будет легко взломать. Сложные пароли займут больше времени.

Лучшее на данный момент: Salting и Slow Hash.

Соление — один из наиболее мощных методов, реализованных на большинстве безопасных веб-сайтов.

Нет ничего непроницаемого: хакеры всегда активно работают над взломом любой новой системы безопасности. В настоящее время на наиболее безопасных веб-сайтах используются более сильные методы. Это умные хэш-функции.

Соленые хеши основаны на криптографическом одноразовом номере — случайном наборе данных, генерируемом для каждого отдельного пароля, который часто бывает очень длинным и сложным.

Эти дополнительные цифры добавляются в начало или конец пароля (или комбинации адреса электронной почты и пароля) перед тем, как он пройдет через хеш-функцию, чтобы защититься от попыток, предпринятых с использованием радужной таблицы.

В общем, нет проблем, если соли хранятся на тех же серверах, что и хеши. Взлом набора паролей может занять у хакеров много времени, а если у вас сложные пароли, это еще сложнее.

Вот почему вам всегда следует использовать надежный пароль, независимо от того, насколько вы уверены в безопасности своего сайта.

Веб-сайты также используют медленные хэши в качестве дополнительной меры. Наиболее известные хеш-функции (MD5, SHA-1 и SHA-256) существуют уже давно и широко используются, поскольку их относительно легко реализовать.

Хотя соль по-прежнему применима, медленные хэши еще лучше защищают от любых атак, основанных на скорости. Ограничивая хакеров значительно меньшим количеством попыток в секунду, им потребуется больше времени для взлома, что делает попытки менее ценными, а также снижает вероятность успеха.

Киберпреступникам придется взвесить, стоит ли атаковать трудоемкие системы медленного хеширования или «быстрые исправления». Например, медицинские учреждения часто имеют более низкий уровень безопасности, поэтому полученные от них данные все равно могут быть проданы за удивительные суммы денег.

Если система находится в состоянии «стресса», она может замедлиться еще больше. Кода Хейл, бывший разработчик программного обеспечения Microsoft, сравнивает MD5 с наиболее известной медленной хэш-функцией bcrypt (другие функции включают PBKDF-2 и scrypt):

«Вместо того, чтобы взламывать пароли каждые 40 секунд (как в случае с MD5), я бы взламывал их каждые 12 лет или около того (когда система использует bcrypt). Ваши пароли, вероятно, не нуждаются в такой безопасности, и вам может понадобиться более быстрый алгоритм сравнения. , но bcrypt позволяет вам выбрать баланс между скоростью и безопасностью».

А поскольку медленное хеширование по-прежнему может быть выполнено менее чем за секунду, это не повлияет на пользователей.