网站如何存储我的密码?
无论何时创建在线帐户,您输入的所有信息都将发送到存储在服务器上的数据库中。可以想象一个表,其中行代表个人帐户,所有不同的列都指定数据类型(例如,名称,电子邮件地址,密码等)。简单来说,这就是所有服务存储数据的方式。
当黑客破坏服务器的安全性并窃取数据库时,您就会遭遇数据泄露。接下来发生的事情取决于存储密码的单元格中的内容。
很少有人意识到这一点,但网站运营商和供应商如何存储用户密码的问题非常重要。如果它们被正确存储,数据泄露将导致一些垃圾邮件,虽然令人讨厌,但不应该带来太大的威胁。但是,如果密码没有得到妥善保护,泄密可能会导致帐户泄露,以及更多潜在的可怕后果。让我们来看看不同的密码存储方法,并从谷壳中分类小麦。
Table of Contents
明文:它没有比这更糟糕
您在字段中输入密码,并将其字符转换后的副本粘贴到数据库中。几年前,这不是一个大问题,因为窃取数据库是很少有人能做到的。然而,现在,随着青少年攻击所谓的安全服务器,它会使用户的数据处于极大的危险之中。如果黑客手上有明文密码,就没有什么能阻止他们登录人们的帐户并做各种各样的破坏。他们还可以使用用户名和密码组合并组织凭据填充攻击,在此期间他们在不同的网站上尝试相同的凭据。由于许多人倾向于重复使用密码 ,因此在大多数情况下这些攻击都令人担忧。
从理论上讲,网站所有者现在应该意识到风险,并且可以肯定地说,大型在线服务长期以来一直放弃明文密码存储。然而,许多,特别是小型和不太受欢迎的网站继续以清晰,人类可读的格式存储人们的密码。这就是为什么我们竭尽全力警告您不要重复使用密码,并且要非常小心您信任您的数据。
加密:听起来比它更安全
你听到“加密”这个词,你认为它听起来非常先进和安全。那么,当涉及到存储密码的网站时,情况并非如此。加密过程会将您的明文密码转换为不合格的字符串,如果您将该字符串放入网站上的密码字段,您将无法登录。
问题是,这个字符串可以用特殊键转回明文密码。加密用户密码的公司通常会将登录凭据和加密密钥存储在同一台服务器上,这意味着当黑客入侵时,他们可以使用加密的登录数据和帮助他们解密的密钥。即使密钥存储在不同的服务器上,如果骗子设法闯入公司的一个在线资产,他们也可能会闯入另一个。
在这一点上,我们应该指出网站加密密码的方式与Cyclonis Password Manager的方式不同。虽然您仍然可以选择将加密的保管库存储在云中,但加密密钥不会靠近它. 加密和解密都发生在您的设备上,即使黑客窃取您的加密保险库,他们也无法看到其中的内容。
哈希:不是我们想要的,但我们到了那里
同样,明文密码在放入数据库之前会变成一个随机的字符串,再次,如果您尝试登录,则该字符串不起作用。但是,这一次,理论上,这个过程在至少,是不可逆的。换句话说,没有密钥可以将散列密码转回明文。当您在登录表单中键入密码时,会自动对其进行哈希处理,并将输出与存储在数据库中的内容进行比较。如果匹配,则表示您已成功登录。这就是身份验证的工作原理。那么,问题出在哪里呢?
问题是有许多散列算法,随着时间的推移,有些算法的安全性会降低。不久前,例如,一种名为MD5的算法被认为是合适的,但在2005年,专家们发现了一种破解它的实用方法。 2013年,当黑客设法从雅虎窃取30亿登录凭证时,电子邮件提供商仍然使用MD5来哈希用户的密码。这些事件表明,在某些情况下,即使是大公司也不使用安全哈希算法来保护用户的密码,但这并不是唯一的担心。
即使算法足够安全,相同的密码也会产生相同的散列。黑客拥有数百万个常用密码列表,其中预先计算的哈希值放在所谓的彩虹表中。当他们看到哈希匹配时,他们可以将它连接到明文密码。这就是安全专家不会停止敦促您随时使用强大,独特且完全随机的密码的原因。
哈希和腌制:我们拥有的最佳密码存储方法(如果正确实施)
存在彩虹表,因为许多人使用相同的密码 。专家和供应商对此无能为力,但他们至少可以确保相同的密码不会产生相同的哈希值。它的工作原理如下。
伪随机生成器创建一个称为盐的唯一字母和数字字符串。此字符串在哈希值之前附加到密码的开头或结尾。这样,两个相同的密码产生完全不同的哈希值,并且彩虹表不起作用。
有几点需要注意。如果黑客窃取了盐,可以修改彩虹表,并且可以进行攻击。使用静态盐(一种盐用于所有密码)也存在风险。短盐可以是强制性的,盐的储存也很重要。这些潜在的攻击很难实现,但理论上它们是可行的。
换句话说,就像在线安全相关的其他一切一样,没有灵丹妙药。然而,有好的和坏的密码存储实践,这引出了以下问题。
我如何知道网站是否正确存储我的密码?
总之,至少在大多数时候你都做不到。注册帐户时,在线服务提供商不会指定密码的存储方式。即使他们遭到黑客入侵,他们中的一些人也无法澄清被盗的内容以及可能造成的后果. 实际上,很多数据泄露通知看起来都像是在脱离样板。
但是,在某些情况下,您可以确定您的密码未正确存储。以下是几个例子:
- 您正在注册一个网站,该网站对您的密码的使用时间设置了上限。密码的长度不会影响它生成的哈希值的长度。当然,如果密码长度为100个字符,则散列将花费大量时间并且会给系统带来太大的压力,因此应该施加限制。但是,如果它以20个字符或更少的字符停止,则数据库配置为不存储长字符串文本,这很可能意味着您的密码将以普通形式保存。
- 您注册一项服务,然后您收到一封电子邮件,内容如下:
“ 您的帐户已成功创建。
您的用户名是: [您的明文用户名]
您的密码是: [您的明文密码]“
如果您的密码以散列(和盐渍)格式存储,则供应商的员工和发送自动电子邮件的系统都不能查看(并因此发送)您的明文密码。 - 您正在联系服务提供商的支持团队,代理人会要求您提供登录凭据,以确保它真的是您。信誉良好的在线服务必须具有更好的身份验证机制。即使您忽视了与员工能够看到您的密码相关的风险,您也不能忽视这样一个事实,即如果数据对于内部人员是可见的,那么入侵者也可以看到这些数据。
- 网站要求您输入密码的一部分(例如,最后三个字符)来验证您的帐户。散列密码的一部分不会产生整个散列的一部分。它会产生一个完全不同的哈希值。如果您遇到过这种情况,您可以非常确定该网站是以加密形式还是纯文本形式存储您的密码。
安全地存储用户的密码既是一种责任也是一种挑战,而令人遗憾的是,您无法真正知道您注册的服务提供商是否符合这一要求。您可以做的是确保您的密码相当长,复杂和独特。
