In che modo le violazioni dei dati delle informazioni di accesso all'account finiscono in testo normale?

0

Ad esempio, vedi questa storia. Mi sto perdendo qualcosa qui? I dettagli di accesso sono ancora crittografati?

Non capisco come sia possibile una violazione dei dati di quanto presumo siano le informazioni crittografate (GMail, Yahoo, ecc.) per finire in una forma sfruttabile (che presumo sia solo testo in chiaro?).

    
posta Jay 05.05.2016 - 15:43
fonte

2 risposte

1

Dati i dettagli sottili della storia è difficile essere sicuri, ma la spiegazione più semplice è che le credenziali non sono state crittografate quando l'hacker ne ha fatto una copia.

Le password potrebbero essere state crittografate in un database, ma molti schemi di crittografia del database cosiddetti "trasparenti" servono solo a proteggere il file del database da essere copiato e riutilizzato; decifrano in modo trasparente i dati ai client che accedono ai dati tramite il motore con credenziali legittime. Se l'hacker ha recuperato le credenziali tramite una query utilizzando tali credenziali (forse abusando di alcuni servizi interni progettati per inviare via email alle persone le password dimenticate), avrebbe recuperato le password in chiaro.

È anche possibile che le password siano state memorizzate come valori hash "non salati", quindi sarebbero vulnerabili agli attacchi delle tabelle arcobaleno.

Mail.ru è un vecchio servizio che esiste da decenni. Se non hanno mai modernizzato la sicurezza del loro database utente / password, uno di questi vecchi schemi di archiviazione delle password sarebbe stato possibile, lasciandoli vulnerabili.

Poiché Google e Yahoo generalmente sanno come fare la sicurezza giusta, eppure sono stati citati nell'articolo come se fossero stati violati, potrebbe succedere qualcos'altro. Poiché l'articolo parla di servizi russi e cinesi, possiamo ipotizzare che potrebbero essere soggetti a regole che richiedono servizi di posta elettronica per trasformare le password degli utenti effettivi in agenzie governative o di polizia. Ciò significherebbe che le aziende dovrebbero archiviare le password in modo recuperabile, come la crittografia, invece di utilizzare un algoritmo di hashing delle password strong come PBKDF2.

È anche possibile che gli account Google e Yahoo siano stati vittime di attacchi di password condivisi. Dopo aver imparato la password di [email protected], avrebbero potuto semplicemente sostituire [email protected] e [email protected] e provarli in quel modo. Ma la verifica di milioni di password potrebbe attirare l'attenzione dei team di sicurezza di Google e Yahoo.

Ancora una volta, questa è una speculazione basata su dettagli deboli, ma tutti questi attacchi sono accaduti in passato a diversi fornitori.

    
risposta data 05.05.2016 - 16:25
fonte
1

Le password non dovrebbero essere crittografate, dovrebbero essere sottoposte a hash. La crittografia può essere facilmente annullata se si ha la chiave - e un utente malintenzionato che è riuscito a rubare l'intero database probabilmente ha anche rubato la chiave. Un hash non può essere facilmente annullato.

Quando qualcuno tenta di accedere, il server non decrittografa la password memorizzata. Invece blocca la password fornita e verifica se corrisponde all'hash memorizzato della password.

Quindi, se una funzione di hash è progettata per essere difficile da invertire, perché le password finiscono in testo normale? A causa degli attacchi di forza bruta.

Se hai un hash, puoi semplicemente provare a cancellare tutte le password possibili e vedere se ottieni una corrispondenza. Potresti dover provare un paio di milioni prima di trovare una corrispondenza, ma prima o poi lo farai. Se utilizzi un elenco di password comuni e provi prima quelle, sarà rapido interrompere le password comuni come 123456 .

Per mantenere le tue password al sicuro, devi fare in modo che "prima o poi" significhi "così tardi che non vale la pena". Ciò viene fatto utilizzando le funzioni hash progettate intenzionalmente per essere lente anche sull'hardware moderno, in modo che il tentativo di eseguire milioni e milioni di password richiederebbe anni o addirittura millenni.

Tuttavia, molti siti utilizzano le funzioni hash brutte (che sono veloci, e quindi facili da forzare) o, peggio ancora, memorizzano semplicemente le password in testo semplice o semplicemente crittografate. Pertanto, un sacco di password finisce in chiaro nelle mani degli hacker.

Per ulteriori informazioni sull'hashing, consiglio questa domanda .

    
risposta data 05.05.2016 - 15:56
fonte

Leggi altre domande sui tag