Come sono possibili le credenziali del governo trapelate e qual è il punto?

7

Sulla scia di tutti questi accessi / password rubate / rubate / hackerate rubate mi è venuto in mente.

Come è possibile la fuoriuscita di queste password? O sono di reale utilità?

Non tutte queste password sono state cancellate o crittografate in qualche modo? A meno che le password non siano archiviate in chiaro, qual è il punto nel tentativo di rubarle, in primo luogo?

    
posta gh0st 25.06.2015 - 21:44
fonte

3 risposte

20

Che senso ha rubare le password con hash?

Diciamo che rubo una password con hash, posso prendere una stringa casuale, cancellarla e vedere se gli hash corrispondono. Se lo fanno, ho appena infranto la tua password.

Ad esempio, supponiamo che con alcune funzioni di hash otteniamo la seguente tabella hash:

"cat" --> AA
"dog" --> AB
"elephant" --> AC
...

Se rubo un database delle password e vedo che la tua password con hash è AB , so che la password in chiaro è "dog". (tecnicamente, più di una stringa sarà hash in "AB", ma dal momento che il server sta confrontando gli hash, non le password raw, nessuno di loro mi farà entrare. Quindi in effetti il tuo account ha più password, qualsiasi stringa che hash a "AB" "è una password valida per il tuo account.).

Gli hacker possono crackare le password hash con gli hash pre-calcolo per un numero elevato di potenziali password (in genere ottenute combinando parole del dizionario o da elenchi di password precedentemente incrinate) e quindi utilizzarle come tabella di ricerca per convertire gli hash in testo normale Le password.

Questo tipo di attacco viene generalmente indicato come Rainbow Table Attack , con spiegazioni introduttive qui e qui .

Un problema con le tabelle Rainbow è che per coprire un numero ragionevole di password candidate, la dimensione di questa tabella di ricerca aumenta fino a terabyte e richiede più dischi rigidi solo per memorizzarla. Come potete immaginare, gli hacker hanno sviluppato trucchi fantasiosi per ottimizzare il processo di inversione dell'opposizione, quindi mentre l'idea generale delle tabelle arcobaleno è semplice, le implementazioni effettivamente ottimizzate diventano molto complicate molto rapidamente.

Vale la pena citare alcune delle contromisure più comuni che gli amministratori e gli amministratori di db usano contro gli attacchi dei tavoli arcobaleno.

  1. salting è il trucco di aggiungere una stringa casuale ( il 'sale') alla password non elaborata prima di eseguirne l'hashing. Ogni utente ha un sale unico che significa che, in effetti, ogni utente usa la propria funzione di hash, quindi un utente malintenzionato non può riutilizzare le tabelle arcobaleno e deve precomputerare una nuova tabella per ciascun utente.

  2. Prendi la password ed eseguila attraverso un gran numero di iterazioni salate e hash di una strong funzione di hash crittografica prima di memorizzarla nel db (ad esempio, 100.000 iterazioni di SHA-2), il che rende molto più costoso pre-calcolare le tabelle arcobaleno. Rende anche più lento l'accesso per gli utenti.

  3. Usa una funzione di hash che accetta una chiave privata (queste funzioni di hash sono chiamate HMAC ) . L'idea è di utilizzare una chiave privata nota solo al server nel calcolo degli hash in modo che sia impossibile calcolare una tabella arcobaleno senza conoscere la chiave. Il problema è che quando un utente malintenzionato ha accesso sufficiente per rubare un intero database, di solito può anche rubare la chiave privata.

Nella tua domanda menzioni anche la memorizzazione di password crittografate. Questo è simile a 3. In questo, a meno che non si disponga di un buon metodo per proteggere la chiave di crittografia (ad esempio, hardware dedicato come HSM ), quindi l'utente malintenzionato ruberà la chiave insieme al database.

    
risposta data 25.06.2015 - 22:30
fonte
8

Le credenziali di accesso sono state trovate nei dump delle password di altri siti. Erano credenziali in cui il nome utente era un indirizzo email .gov.

La preoccupazione è che le persone tendono a riutilizzare le password e le password utilizzate su questi siti sono la password per le credenziali di accesso del governo.

O le password sono state archiviate in chiaro o le password con hash sono state indovinate / forzate brute.

    
risposta data 25.06.2015 - 21:48
fonte
3

Penso che ti manchi qualcosa - perché l'OPM ha fatto irruzione, il problema è che hanno rubato una credenziale live . È molto utile.

Detto questo, nota che nessuna password dovrebbe essere utile. In teoria, a ogni operatore viene rilasciata una smartcard che ospita un meccanismo di autenticazione e-auth livello 4 nella propria carta di verifica dell'identità personale. (Questa è la cosa FIPS 201, o HSPD-12.) Mentre a questo punto non è richiesto alcun sistema per sbarazzarsi di tutte le password (di cui sono a conoscenza) tutti i sistemi devono essere compatibili con l'autenticazione PIV, ed è un non importa che se hai la cosa e hai bisogno di interagire con essa, vai avanti e usala. (Si spera che con un gancio SAML che ti permetta di avere alternative quando il tuo PIV non è disponibile ma ha la stessa forza. I callback telefonici sono abbastanza normali.)

    
risposta data 25.06.2015 - 22:54
fonte

Leggi altre domande sui tag