Imperva数据泄露中暴露了密码混乱

有时不幸的事件会迫使我们学习新知识。毕竟，我们不是都从错误中学习吗？今天，我们可以从Imperva的错误中学习。

Imperva是一家网络安全软件公司，总部位于加利福尼亚州红木海岸。该公司为客户提供企业数据保护。客户从Imperva购买Internet防火墙服务，以防止网络攻击和其他恶意网络活动。

不幸的是，Imperva 宣布它在八月份经历了一次数据泄露，并且这种数据泄露已经影响了成千上万的客户。根据该报告，在此漏洞期间暴露了API密钥，电子邮件地址，SSL证书和多个加扰密码。

关于此数据泄露，有多个方面可以讨论，尤其是当我们考虑到一家拥有网络安全的DEALS公司受到影响的事实时。但是，这次，我们将向您简要介绍此问题，然后重点介绍同样暴露出来的密码混乱。您是否想过密码是什么？

Imperva怎么了？

如前所述，Imperva经历了一次数据泄露，使客户的数据暴露给了黑客。似乎整个事件都是疏忽的结果，因为可以从Internet访问内部系统。可从Internet访问的系统存储了Imperva的AWS API密钥的副本。

现在，那是什么？ AWS指的是Amazon Web Services，这是专门提供云计算平台的Amazon子公司。 API密钥表示应用程序编程接口（API）密钥。它是唯一的标识符，它允许系统对试图访问API的用户或程序进行身份验证。反过来，API是客户端和服务器之间的通信协议。它可以是基于云平台，操作系统，硬件等的系统。因此，随着API密钥被盗，黑客可以从外部访问Imperva的系统。

网络安全记者认为，Imperva 最初并不了解数据泄露 ，几个月后他们得知黑客下载了其数据库快照的副本，该副本用于评估其云平台上的关系数据库服务（RDS）。这意味着什么？这意味着黑客可以窃取快照中的数据，并且在快照创建后创建的数据不受漏洞影响。

总而言之，该公司没有明确说明有多少客户受到数据泄露的影响。但是，在通知受影响的客户之后，更改并轮换了超过13,000个密码和13,000个SSL证书。因此，很容易或多或少地掌握事件的范围。

什么是加密码？

由于我们已经完成了对漏洞的总体概述，因此我们可以仔细研究一下暴露和泄漏的数据类型之一。我们在这里谈论的是密码混乱。当您听到“加扰”一词时，您可能会想到流行的在线游戏或加扰的鸡蛋，但确实，我们也可以加扰密码。

密码加扰是安全存储密码并增强密码强度的方法之一. 例如， Cyclonis密码管理器还使用密码加扰功能将其客户密码存储在其保管库中。对于密码管理器，它使用加密来扰乱保存的密码。但是，还有其他保护密码的方法，有关Imperva数据泄露的信息表明，公开的加扰密码是经过哈希处理和添加盐分的。

这到底是什么意思？好吧，您可能知道，如果您拥有解密密钥，则可以在加密后对某些内容进行解密。另一方面，散列意味着数据一旦被加密就无法解码。另外，无论您要散列哪种数据字符串，输出的长度始终是固定的。也就是说，无论您要争夺我爱的苹果还是讨厌下雨，请走开 ，最终输出的长度将是相同的（如果您使用相同的算法对其进行哈希处理）。

由于哈希不能反过来工作，但是使用相同的算法对字符串进行加扰会产生相同的输出，因此可以将其用于检查和验证访问。例如，如果数据库存储了散列密码，并且有人输入了试图进入数据库的纯文本密码，则系统需要应用相同的算法对纯文本密码进行散列。如果哈希值与数据库中存储的值匹配，则将授予身份验证。破解散列密码也确实很困难，并且唯一的方法是强制执行。

如果加盐腌就更难破解了。在网络安全中，盐是指添加到密码中的随机数据值。用户看不到该值，但是该值附加在计算机系统中的密码上，以提供更好的安全性。换句话说，您的密码不会以纯文本形式保存，因为这将完全导致严重的数据泄露。

在系统内，盐值是随机生成的。它被添加到纯文本密码中，然后通常对整个字符串进行哈希处理（如上所述）。对相同的密码使用不同的salt值会导致完全不同的哈希值，因此在密码上撒上salt（象征性地讲）会使它们更强。

以此为基础，我们可以假设，只有在黑客拥有暴力破解密码的手段时，窃取密码密码才可能是有利可图的。当然，这种可能性始终存在，这就是Imperva敦促其客户更改其密码的原因。但是，也可以说窃取加密密码实际上与窃取没有密钥的保险箱相同。它不会改变数据泄露的事实，但是至少那里有一线希望。