211service.com
Viedā kriptogrāfija var palīdzēt ierobežot MyFitnessPal megapārkāpuma radītos bojājumus
ZDNet
Under Armour tas neizskatās labi. Apģērbu gigants un diētas izsekošanas lietotnes MyFitnessPal īpašnieks vienkārši cieta viens no lielākajiem datu pārkāpumiem kiberdrošības vēsturē, kad hakeri izvairās no informācijas, tostarp lietotājvārdiem, e-pasta adresēm un parolēm, kas saistīti ar aptuveni 150 miljoniem kontu.
Taču ne visi uzlaušanas gadījumi ir vienlīdz postoši, un šis var izrādīties mazāk kaitīgs nekā dažas citas milzīgas noplūdes, jo Under Armour izmanto tehnoloģiju, ko sauc par bcrypt, lai aizsargātu daudzas no nozagtajām parolēm.
Lai saprastu, kāpēc šifrēšana ir svarīga, palīdz zināma informācija par kriptogrāfijas aizsardzību. Pamata pieeja paroļu aizsardzībai ietver jaukšanu, kas tās pārvērš nejaušās rakstzīmju virknēs, kas tiek glabātas datu bāzē. Kad kāds piesakās ar vienkārša teksta paroli, šīs paroles jauktā versija tiek salīdzināta ar tās paroles jaucējkodu, kas iegūta no datu bāzes; ja ir atbilstība, piekļuve tiek piešķirta. Ja hakeri ielaužas datu bāzē, viņi iegūst tikai jaucējus, nevis faktiskās paroles.
Jaukumi nav paredzēti, lai tos pārvērstu vienkāršā tekstā, taču tas neliedz ļaundariem mēģināt. Starp viņu izmantotajām taktikām ir vārdnīcu uzbrukumi, kas ietver parasto paroļu un frāžu jaukšanu, lai noskaidrotu, vai tās atbilst šifrētajiem nozagtajiem datiem, un brutāla spēka uzbrukumi, kas izmēģina visas iespējamās rakstzīmju kombinācijas līdz noteiktam garumam, lai atšķetinātu jaucējkodu. .
Lai padarītu hakeru dzīvi grūtāku, viedie aizstāvji bieži izmanto sālīšanas metodi, kas ir kriptogrāfijas valoda, lai vienkārša teksta parolei pirms jaukšanas pievienotu nejauši ģenerētas rakstzīmes. Tas nodrošina, ka divām parolēm nevar būt vienāds jaukums. Lai gan sālīšana ir kaitīgs hakeriem, viņi joprojām var mēģināt izjaukt individualizētus šifrus, izmantojot brutālu spēku un vārdnīcu uzbrukumus.
Šeit tiek izmantota bcrypt. Papildus sālīšanas izmantošanai tas pagarina laiku, kas nepieciešams jaucējfunkcijas palaišanai, prasot vairākas aprēķinu kārtas, lai iegūtu rezultātu. Tas ir apzināti izstrādāts tā, lai tas būtu ārkārtīgi lēns, skaidro Pols Kohers, Rambus vecākais tehnoloģiju padomnieks un labi pazīstams kriptogrāfijas eksperts.
Lēns šeit joprojām tiek mērīts milisekundēs, tāpēc ietekme uz lietotāja pieredzi, piesakoties lietotnē vai vietnē, ir tikko pamanāma. Taču pat ļoti neliela aizkave var nomākt hakerus, kuri izmanto augstākās klases datoru aparatūru, mēģinot sekundē veikt miljardiem jaucēju. Tādas tehnoloģijas kā bcrypt dod uzņēmumiem vairāk laika, lai reaģētu uz pārkāpumu, un lietotājiem vairāk laika mainīt paroles. Under Armour bija gudri izmantot bcrypt, lai gan tas, kāpēc tas netika piemērots visām parolēm, kas saistītas ar MyFitnessApp, joprojām ir noslēpums. (Tie, uz kuriem tas neattiecas, tika aizsargāti, izmantojot vājāku jaukšanas funkciju, kas pazīstama kā SHA-1.)
Fakts, ka bcrypt var tikai aizkavēt hakerus, nevis tos pilnībā kavēt, nozīmē, ka joprojām ir ļoti svarīgi ātri nomainīt paroles, ja saņemat paziņojumu, ka jūsu izmantotais pakalpojums ir pārkāpts, un izvairīties no vienas paroles izmantošanas vairākās lietojumprogrammās. Tas ir arī iemesls, kāpēc ir lietderīgi izmantot grūti uzmināmas paroles, nevis parastās paroles, kuras var ātri noņemt hash uzlaušanas hakeri.