Waarom stoor maatskappye steeds wagwoorde in gewone teks?

Waarom stoor maatskappye steeds wagwoorde in gewone teks?

Verskeie ondernemings het onlangs erken dat hulle wagwoorde in gewone teksformaat gestoor het. Dit is soos om ‘n wagwoord in Notepad te stoor en as ‘n .txt-lĂȘer te stoor. Wagwoorde moet gesout en vermeng word vir veiligheid, so hoekom gebeur dit nie in 2019 nie?

Waarom wagwoorde nie in gewone teks gestoor moet word nie

As ‘n maatskappy wagwoorde in gewone teks berg, kan elkeen wat ‘n wagwoorddatabasis of ander lĂȘer het waarin wagwoorde geberg is, dit lees. As die hacker toegang tot die lĂȘer kry, kan hy al die wagwoorde sien.

Die bewaring van wagwoorde in gewone teks is ‘n vreeslike praktyk. Besighede moet wagwoorde sout en meng, wat nog ‘n manier is om te sĂȘ: “voeg bykomende data by die wagwoord en versleut dit dan op ‘n manier wat nie ongedaan gemaak kan word nie.” Dit beteken gewoonlik dat selfs as iemand wagwoorde uit die databasis steel, hulle nutteloos is. Nadat u aangemeld is, kan die onderneming kyk of die wagwoord ooreenstem met die gestoorde versleutelde weergawe – maar kan nie “teruggaan” uit die databasis en die wagwoord instel nie.

Waarom stoor ondernemings wagwoorde in gewone teks? Ongelukkig neem maatskappye soms sekuriteit nie ernstig op nie. Of hulle kies sekuriteit vir gemak. In ander gevalle doen die onderneming alles reg deur die wagwoord te stoor. Hulle kan egter teësinnige meldfunksies byvoeg wat wagwoorde in gewone teks opneem.

Verskeie ondernemings het wagwoorde verkeerd gestoor

U kan reeds deur slegte praktyke geraak word omdat Robinhood, Google, Facebook, GitHub, Twitter en ander gestoorde wagwoorde in gewone teks.

In die geval van Google is die maatskappy hash-hash en gesoute wagwoorde vir die meeste gebruikers. Maar wagwoorde vir G Suite Enterprise-rekeninge is in gewone teks gestoor. Die maatskappy het gesĂȘ dit is ‘n praktyk wat aan domeinadministrateurs oorgelaat word om wagwoorde te herwin. As Google die wagwoorde korrek gestoor het, is dit nie moontlik nie. Slegs die terugstelling van die wagwoord werk om te herstel as die wagwoorde korrek geberg is.

Toe Facebook ook erken het dat hy wagwoorde in gewone teks gestoor het, het dit nie die presiese oorsaak van die probleem verskaf nie. Maar u kan ‘n probleem aflei uit die latere opdatering:

… Ons het ontdek dat bykomende Instagram-wagwoordlogboeke in ‘n leesbare formaat gestoor word.

Soms sal ‘n onderneming alles reg doen deur eers ‘n wagwoord te stoor. Voeg dan nuwe funksies by wat probleme veroorsaak. Benewens Facebook het Robinhood, Github en Twitter per ongeluk wagwoorde in gewone teks geregistreer.

Aanmelding is nuttig om probleme in toepassings, hardeware en selfs in die stelselkode op te spoor. Maar as die onderneming nie hierdie aanmeldingsvermoë deeglik toets nie, kan dit meer probleme veroorsaak wat dit oplos.

Vir gebruikers van Facebook en Robinhood, wanneer gebruikers hul gebruikersnaam en wagwoord verstrek om aan te meld, kon die aanmeldfunksie gebruikersname en wagwoorde sien en stoor tydens hul invoer. Daarna het hy hierdie houtblokke elders gestoor. Almal wat toegang tot hierdie logs gehad het, het alles wat hulle benodig om die rekening oor te neem.

In seldsame gevalle mag ‘n maatskappy soos T-Mobile Australia nie die belangrikheid van sekuriteit in ag neem nie, soms gerieflik. Die Twitter-uitruil is intussen verwyder, het ‘n T-Mobile-verteenwoordiger aan die gebruiker verduidelik dat die maatskappy wagwoorde in gewone teks stoor. As u wagwoorde op hierdie manier gestoor het, kon kliĂ«ntediensverteenwoordigers die eerste vier letters van die wagwoord ter bevestiging sien. Toe ander Twitter-gebruikers aangedui het hoe sleg dit sou wees as iemand die bedieners van die onderneming gekap het, het die verteenwoordiger geantwoord:

Wat gebeur as dit nie gebeur nie omdat ons veiligheidsfunksies ongelooflik goed is?

Die maatskappy het hierdie tweets verwyder en later aangekondig dat alle wagwoorde binnekort gesout en geĂ«nkodeer sou word. Maar dit het nie lank geduur voordat die maatskappy sy stelsels oortree het nie. T-Mobile het gesĂȘ die gesteelde wagwoorde is geĂŻnkripteer, maar dit is nie so goed soos die hash-wagwoorde nie.

Hoe ondernemings wagwoorde moet stoor

Ondernemings mag nooit tekswagwoorde bĂȘre nie. In plaas daarvan moet die wagwoorde gesout word en dan gemeng word. Dit is belangrik om te weet wat sout is en wat die verskil tussen kodering en hashing is.

Sout voeg ekstra teks by die wagwoord

Soutwagwoorde is ‘n eenvoudige konsep. Die proses voeg gewoonlik ekstra teks by die wagwoord.

Dink daaraan as syfers en letters aan die einde van u gewone wagwoord. In plaas van “Wagwoord”, kan u “Wagwoord123” invoer (gebruik nooit een van hierdie wagwoorde nie). Sout is ‘n soortgelyke konsep: voordat die stelsel u wagwoord versleut, voeg dit bykomende teks daarby.

Selfs as ‘n hacker by die databasis inbreek en gebruikersdata steel, sal dit baie moeiliker wees om te bepaal wat die regte wagwoord is. Die hacker sal nie weet watter deel sout is nie en watter wagwoord is nie.

Ondernemings mag nie die gesoute wagwoorddata van gesoute wagwoorde hergebruik nie. Andersins kan dit gesteel of beskadig word en sodoende nutteloos gemaak word. Die ooreenstemmende verandering van gesoute data voorkom ook botsings (meer hieroor later).

Enkripsie is nie ‘n toepaslike opsie vir wagwoorde nie

Die hash is die volgende stap om die wagwoord korrek te stoor. Hashing moet nie met kodering verwar word nie.

As u data enkripteer, transformeer u dit effens op die sleutel. As iemand die sleutel ken, kan hy die data terug verander. As u al ooit met ‘n dekodeerder gespeel het wat “A = C” sĂȘ, dan het u die data geĂŻnkripteer. As u weet dat “A = C”, kan u leer dat hierdie boodskap net ‘n ovale advertensie was.

As ‘n hacker met geĂ«nkripteerde data by die stelsel inbreek en dit ook regkry om die koderingsleutel te steel, kan wagwoorde ook gewone teks wees.

Hashing omskep u wagwoord in gibberish

Wagwoord hashing omskep in wese ‘n wagwoord in ‘n string onbegryplike teks. Almal wat na die kortpad kyk, sal gekibbel. As u “Password123” gebruik het, kan hashing die data verander na “873kldk # 49lkdfld # 1”. Die onderneming moet u wagwoord haas voordat dit op enige plek geberg word; daar is nooit ‘n rekord van u werklike wagwoord nie.

Die aard van hash maak dit ‘n beter manier om ‘n wagwoord te stoor as kodering. Alhoewel u geĂ«nkripteerde data kan dekripteer, kan u nie data “ontsluit” nie. As ‘n hacker dus by die databasis inbreek, sal hy nie die sleutel vind om geĂ«nkripteerde data te ontsluit nie.

In plaas daarvan sal hulle moet doen wat die maatskappy doen nadat hulle die wagwoord gestuur het. Sout raai die wagwoord (as die hacker weet watter sout hy moet gebruik), haas dit en vergelyk dit dan met die hash in die lĂȘer vir ooreenstemming. Sodra u u wagwoord by Google of u bank ingedien het, sal hulle dieselfde doen. Sommige maatskappye, soos Facebook, kan selfs ekstra “raaiskote” benodig om ‘n tikfout in te sluit.

Hackers kan uiteindelik geĂŻnkripteer data kry, maar dit is hoofsaaklik ‘n spel om elke moontlike wagwoord te toets en te hoop vir ‘n wedstryd. Hierdie proses neem steeds tyd, wat tyd gee vir beskerming.

Wat kan u doen om uself teen data-oortredings te beskerm

U kan nie verhoed dat ondernemings wagwoorde verkeerd hanteer nie. En dit is ongelukkig meer gereeld as wat dit behoort te wees. Selfs wanneer maatskappye u wagwoord behoorlik bĂȘre, kan hackers maatskappystelsels in die gedrang bring en geĂŻnkripteer data steel.

Gebruik hierdie wagwoorde nooit weer nie. Voorsien eerder ‘n ander, ingewikkelde wagwoord vir elke diens wat u gebruik. Op hierdie manier, selfs al vind ‘n aanvaller u wagwoord op een webwerf, kan hy dit nie gebruik om by ander rekeninge aan te meld nie. Komplekse wagwoorde is uiters belangrik, want hoe makliker dit is om te raai, hoe vinniger kan ‘n hacker die hash-proses breek. Danksy die ingewikkeldheid van u wagwoord, koop u tyd om skade te verminder.

Die gebruik van unieke wagwoorde verminder hierdie skade ook. Hoogstens sal ‘n hacker toegang tot een rekening kry, en u kan een wagwoord makliker verander as tientalle. Dit is moeilik om komplekse wagwoorde te onthou, daarom beveel ons ‘n wagwoordbestuurder aan. Wagwoordbestuurders genereer en onthou wagwoorde, en u kan dit aanpas om die wagwoordbeginsels van byna elke webwerf te volg.

Sommige, soos LastPass en 1Password, bied selfs dienste aan wat kyk of die huidige wagwoorde in gevaar is.

Nog ‘n goeie opsie is om tweestap-verifikasie moontlik te maak. Op hierdie manier, selfs as ‘n hacker u wagwoord oortree, kan u steeds ongemagtigde toegang tot u rekeninge voorkom.

Alhoewel u nie kan keer dat ‘n onderneming wagwoorde verkeerd hanteer nie, kan u die gevolge van ‘n mislukking tot die minimum beperk deur u wagwoorde en rekeninge behoorlik te beveilig.