لماذا يجب أن تقلق كلما تسربت قاعدة بيانات كلمة المرور الخاصة بالخدمة
"تمت سرقة قاعدة بيانات كلمات المرور أمس. ولكن لا تقلق: لقد تم تشفير كلمات المرور الخاصة بك. "نحن نرى بانتظام عبارات مثل هذه واحدة عبر الإنترنت ، بما في ذلك أمس ، من ياهو. لكن هل ينبغي لنا بالفعل أن نأخذ هذه الضمانات في ظاهرها?
والحقيقة هي أن قاعدة بيانات كلمة المرور تنازلات هي مصدر قلق ، بغض النظر عن الطريقة التي قد تحاول الشركة من خلالها تسويتها. ولكن هناك بعض الأشياء التي يمكنك القيام بها لعزل نفسك ، بغض النظر عن مدى سوء ممارسات الشركة الأمنية.
كيف يجب أن يتم تخزين كلمات المرور
في ما يلي كيفية تخزين الشركات لكلمات المرور في عالم مثالي: يمكنك إنشاء حساب وتوفير كلمة مرور. بدلاً من تخزين كلمة المرور نفسها ، تنشئ الخدمة "تجزئة" من كلمة المرور. هذه بصمة فريدة لا يمكن عكسها. على سبيل المثال ، قد تتحول كلمة المرور "password" إلى شيء يشبه "4jfh75to4sud7gh93247g…". عندما تقوم بإدخال كلمة المرور الخاصة بك لتسجيل الدخول ، تقوم الخدمة بإنشاء تجزئة منه والتحقق مما إذا كانت قيمة التجزئة تتطابق مع القيمة المخزنة في قاعدة البيانات. لا تقوم الخدمة في أي وقت من أي وقت مضى بحفظ كلمة المرور الخاصة بك على القرص.
لتحديد كلمة المرور الفعلية الخاصة بك ، يجب على المهاجم الذي لديه إمكانية الوصول إلى قاعدة البيانات أن يقوم بحساب التجزئة من أجل كلمات المرور الشائعة ثم التحقق مما إذا كانت موجودة في قاعدة البيانات. يقوم المهاجمون بذلك باستخدام جداول البحث - قوائم ضخمة من علامات التجزئة التي تطابق كلمات المرور. يمكن بعد ذلك مقارنة التجزئة إلى قاعدة البيانات. على سبيل المثال ، يعرف المهاجم تجزئة "password1" ومن ثم معرفة ما إذا كانت هناك أي حسابات في قاعدة البيانات تستخدم هذه التجزئة. إذا كانوا ، يعرف المهاجم أن كلمة المرور الخاصة بهم هي "password1".
لمنع هذا ، يجب على الخدمات "ملح" تجزئتها. بدلاً من إنشاء تجزئة من كلمة المرور نفسها ، فإنها تضيف سلسلة عشوائية إلى مقدمة أو نهاية كلمة المرور قبل تجزئتها. بعبارة أخرى ، يقوم المستخدم بإدخال كلمة المرور "كلمة المرور" وستضيف الخدمة الملح وتجزئة كلمة مرور تشبه "password35s2dg". يجب أن يكون لكل حساب مستخدم له ملح فريد خاص به ، وهذا يضمن أن كل حساب مستخدم سيكون له قيمة تجزئة مختلفة لكلمة المرور الخاصة بهم في قاعدة البيانات. حتى لو استخدمت حسابات متعددة كلمة المرور "password1" ، فستكون لها علامات تجزئة مختلفة بسبب قيم الملح المختلفة. سيؤدي ذلك إلى هزيمة أحد المهاجمين الذين حاولوا حساب تجزئة كلمات المرور مسبقًا. بدلاً من القدرة على إنشاء علامات التجزئة التي تنطبق على كل حساب مستخدم في قاعدة البيانات بأكملها دفعة واحدة ، سيتعين عليهم إنشاء علامات تجزئة فريدة لكل حساب مستخدم وملح فريد. سيستغرق ذلك وقتًا أكبر بكثير للذاكرة والذاكرة.
هذا هو السبب في أن الخدمات تقول في كثير من الأحيان لا داعي للقلق. يجب أن تقول الخدمة التي تستخدم إجراءات الأمان المناسبة أنها تستخدم تجزئة كلمات المرور المملحة. إذا كانوا يقولون ببساطة إن كلمات المرور "مجزأة" ، فهذا أكثر إثارة للقلق. على سبيل المثال ، نجحت LinkedIn في تجسيد كلمات المرور الخاصة بها ، ولكنها لم تلحق بها ، لذا فقد كانت صفقة كبيرة عندما خسرت LinkedIn 6.5 مليون كلمة مرور تم تجزئتها في عام 2012..
ممارسات كلمة المرور غير الصحيحة
هذا ليس أصعب شيء يمكن تنفيذه ، لكن العديد من مواقع الويب لا تزال تديره بطرق مختلفة:
- تخزين كلمات المرور في نص عادي: بدلاً من عناء مع التجزئة ، قد فقط بعض المخترقين الأسوأ تفريغ كلمات المرور في نموذج النص العادي في قاعدة بيانات. إذا تم اختراق قاعدة البيانات هذه ، فمن الواضح أن كلمات المرور الخاصة بك قد تم اختراقها. لا يهم مدى قوتهم.
- تجزئة كلمات المرور دون تمشيطها: قد تحتوي بعض الخدمات على كلمات المرور وتتخلى عنها ، مع اختيار عدم استخدام الأملاح. ستكون قواعد بيانات كلمات المرور هذه عرضة جدًا لجداول البحث. يمكن أن يقوم المهاجم بتوليد علامات التجزئة للعديد من كلمات المرور ومن ثم التحقق مما إذا كانت موجودة في قاعدة البيانات - يمكنهم القيام بذلك لكل حساب في وقت واحد إذا لم يتم استخدام أي ملح.
- إعادة استخدام الأملاح: قد تستخدم بعض الخدمات ملحًا ، ولكنها قد تعيد استخدام نفس الملح لكل كلمة مرور لحساب المستخدم. هذا لا معنى له - إذا كان نفس الملح مستخدمًا لكل مستخدم ، فسيكون لدى اثنين من المستخدمين الذين لديهم نفس كلمة المرور نفس التجزئة.
- باستخدام الأملاح القصيرة: إذا تم استخدام أملاح عدد قليل من الأرقام ، فسيكون من الممكن إنشاء جداول بحث تضم كل ملح ممكن. على سبيل المثال ، إذا تم استخدام رقم واحد كملح ، يمكن للمهاجم بسهولة إنشاء قوائم من التجزئة التي تضم كل ملح ممكن.
لا تخبرنا الشركات دائمًا بالقصة بأكملها ، لذلك حتى إذا قالوا إن كلمة المرور تم تجزئتها (أو تم تجزئتها وتلقينها) ، فقد لا تستخدم أفضل الممارسات. دائما يخطئ على جانب الحذر.
مخاوف أخرى
من المحتمل أن تكون قيمة الملح موجودة أيضًا في قاعدة بيانات كلمة المرور. هذا ليس بهذا السوء ، إذا تم استخدام قيمة ملح فريدة لكل مستخدم ، فسيتعين على المهاجمين أن ينفقوا كميات هائلة من طاقة وحدة المعالجة المركزية يقومون بكسر كل تلك كلمات المرور.
من الناحية العملية ، يستخدم الكثير من الأشخاص كلمات المرور الواضحة التي من المحتمل أن يكون من السهل تحديد العديد من كلمات مرور حسابات المستخدمين. على سبيل المثال ، إذا عرف أحد المهاجمين تجزئتك ويعرف الملح ، فيمكنه التحقق بسهولة لمعرفة ما إذا كنت تستخدم بعضًا من كلمات المرور الأكثر شيوعًا.
إذا قام أحد المهاجمين بإخراجه نيابة عنك ويريد كسر كلمة المرور الخاصة بك ، فيمكنه القيام بذلك باستخدام القوة الغامضة طالما أنهم يعرفون قيمة الملح ، والتي ربما يقومون بها. مع الوصول المحلية ، دون اتصال إلى قواعد بيانات كلمة المرور ، يمكن للمهاجمين استخدام جميع الهجمات القوية التي يريدونها.
من المحتمل أيضًا أن تتسرب البيانات الشخصية الأخرى عند سرقة قاعدة بيانات كلمة المرور: أسماء المستخدمين وعناوين البريد الإلكتروني والمزيد. في حالة تسرب Yahoo ، تم أيضًا تسريب أسئلة الأمان والإجابات التي تسهل ، كما نعلم جميعًا ، سرقة الوصول إلى حساب شخص ما.
مساعدة، ما الذي ينبغي أن أفعله?
مهما كانت خدمة ما تقول عند سرقة قاعدة بيانات كلمة المرور ، فمن الأفضل أن نفترض أن كل خدمة غير كفؤة تمامًا وأن تعمل وفقًا لذلك.
أولاً ، لا تعيد استخدام كلمات المرور على مواقع ويب متعددة. استخدم مدير كلمات المرور الذي ينشئ كلمات مرور فريدة لكل موقع ويب. إذا تمكن أحد المهاجمين من اكتشاف أن كلمة المرور الخاصة بك لخدمة ما هي "43 ^ tSd٪ 7uho2 # 3" وأنك تستخدم كلمة المرور هذه فقط في موقع ويب محدد واحد ، فإنهم لم يكتشفوا شيئًا مفيدًا. إذا كنت تستخدم كلمة المرور نفسها في كل مكان ، فيمكنهم الوصول إلى حساباتك الأخرى. هذه هي الطريقة التي تصبح بها حسابات الأشخاص "مخترقة".
إذا تعرضت إحدى الخدمات للاختراق ، فتأكد من تغيير كلمة المرور التي تستخدمها هناك. يجب عليك أيضًا تغيير كلمة المرور على المواقع الأخرى إذا كنت تعيد استخدامها هناك - ولكن لا ينبغي عليك فعل ذلك في المقام الأول.
يجب أيضًا مراعاة استخدام المصادقة الثنائية التي ستحميك حتى إذا تعرّض أحد المهاجمين لكلمة المرور الخاصة بك.
أهم شيء هو عدم إعادة استخدام كلمات المرور. لا يمكن لقواعد بيانات كلمات المرور المخترقة أن تؤذيك إذا كنت تستخدم كلمة مرور فريدة في كل مكان - ما لم تخزن شيئًا آخر مهمًا في قاعدة البيانات ، مثل رقم بطاقتك الائتمانية.
Image Credit: مارك فالاردو على فليكر ، ويكيميديا كومنز