網站如何存儲我的密碼?
無論何時創建在線帳戶,您輸入的所有信息都將發送到存儲在服務器上的數據庫中。可以想像一個表,其中行代表個人帳戶,所有不同的列都指定數據類型(例如,名稱,電子郵件地址,密碼等)。簡單來說,這就是所有服務存儲數據的方式。
當黑客破壞服務器的安全性並竊取數據庫時,您就會遭遇數據洩露。接下來發生的事情取決於存儲密碼的單元格中的內容。
很少有人意識到這一點,但網站運營商和供應商如何存儲用戶密碼的問題非常重要。如果它們被正確存儲,數據洩露將導致一些垃圾郵件,雖然令人討厭,但不應該帶來太大的威脅。但是,如果密碼沒有得到妥善保護,洩密可能會導致帳戶洩露,以及更多潛在的可怕後果。讓我們來看看不同的密碼存儲方法,並從穀殼中分類小麥。
Table of Contents
明文:它沒有比這更糟糕
您在字段中輸入密碼,並將其字符轉換後的副本粘貼到數據庫中。幾年前,這不是一個大問題,因為竊取數據庫是很少有人能做到的。然而,現在,隨著青少年攻擊所謂的安全服務器,它會使用戶的數據處於極大的危險之中。如果黑客手上有明文密碼,就沒有什麼能阻止他們登錄人們的帳戶並做各種各樣的破壞。他們還可以使用用戶名和密碼組合併組織憑據填充攻擊,在此期間他們在不同的網站上嘗試相同的憑據。由於許多人傾向於重複使用密碼 ,因此在大多數情況下這些攻擊都令人擔憂。
從理論上講,網站所有者現在應該意識到風險,並且可以肯定地說,大型在線服務長期以來一直放棄明文密碼存儲。然而,許多,特別是小型和不太受歡迎的網站繼續以清晰,人類可讀的格式存儲人們的密碼。這就是為什麼我們竭盡全力警告您不要重複使用密碼,並且要非常小心您信任您的數據。
加密:聽起來比它更安全
你聽到“加密”這個詞,你認為它聽起來非常先進和安全。那麼,當涉及到存儲密碼的網站時,情況並非如此。加密過程會將您的明文密碼轉換為不合格的字符串,如果您將該字符串放入網站上的密碼字段,您將無法登錄。
問題是,這個字符串可以用特殊鍵轉回明文密碼。加密用戶密碼的公司通常會將登錄憑據和加密密鑰存儲在同一台服務器上,這意味著當黑客入侵時,他們可以使用加密的登錄數據和幫助他們解密的密鑰。即使密鑰存儲在不同的服務器上,如果騙子設法闖入公司的在線資產之一,他們也可能會闖入另一個。
在這一點上,我們應該指出網站加密密碼的方式與Cyclonis Password Manager的方式不同。雖然您仍然可以選擇將加密的保管庫存儲在雲中,但加密密鑰不會靠近它. 加密和解密都發生在您的設備上,即使黑客竊取您的加密保險庫,他們也無法看到其中的內容。
哈希:不是我們想要的,但我們到了那裡
同樣,明文密碼在放入數據庫之前會變成一個隨機的字符串,再次,如果您嘗試登錄,則該字符串不起作用。但是,這一次,理論上,這個過程在至少,是不可逆的。換句話說,沒有密鑰可以將散列密碼轉回明文。當您在登錄表單中鍵入密碼時,會自動對其進行哈希處理,並將輸出與存儲在數據庫中的內容進行比較。如果匹配,則表示您已成功登錄。這就是身份驗證的工作原理。那麼,問題出在哪裡呢?
問題是有許多散列算法,隨著時間的推移,有些算法的安全性會降低。不久前,例如,一種名為MD5的算法被認為是合適的,但在2005年,專家們發現了一種破解它的實用方法。 2013年,當黑客設法從雅虎竊取30億登錄憑證時,電子郵件提供商仍然使用MD5來哈希用戶的密碼。這些事件表明,在某些情況下,即使是大公司也不使用安全哈希算法來保護用戶的密碼,但這並不是唯一的擔心。
即使算法足夠安全,相同的密碼也會產生相同的散列。黑客擁有數百萬個常用密碼列表,其中預先計算的哈希值放在所謂的彩虹表中。當他們看到哈希匹配時,他們可以將它連接到明文密碼。這就是安全專家不會停止敦促您隨時使用強大,獨特且完全隨機的密碼的原因。
哈希和醃製:我們擁有的最佳密碼存儲方法(如果正確實施)
存在彩虹表,因為許多人使用相同的密碼 。專家和供應商對此無能為力,但他們至少可以確保相同的密碼不會產生相同的哈希值。它的工作原理如下。
偽隨機生成器創建一個稱為鹽的唯一字母和數字字符串。此字符串在哈希值之前附加到密碼的開頭或結尾。這樣,兩個相同的密碼產生完全不同的哈希值,並且彩虹表不起作用。
有幾點需要注意。如果黑客竊取了鹽,可以修改彩虹表,並且可以進行攻擊。使用靜態鹽(一種鹽用於所有密碼)也存在風險。短鹽可以是強制性的,鹽的儲存也很重要。這些潛在的攻擊很難實現,但理論上它們是可行的。
換句話說,就像在線安全相關的其他一切一樣,沒有靈丹妙藥。然而,有好的和壞的密碼存儲實踐,這引出了以下問題。
我如何知道網站是否正確存儲我的密碼?
總之,至少在大多數時候你都做不到。註冊帳戶時,在線服務提供商不會指定密碼的存儲方式。即使他們遭到黑客入侵,他們中的一些人也無法澄清被盜的內容以及可能造成的後果. 實際上,很多數據洩露通知看起來都像是在脫離樣板。
但是,在某些情況下,您可以確定您的密碼未正確存儲。以下是幾個例子:
- 您正在註冊一個網站,該網站對您的密碼的使用時間設置了上限。密碼的長度不會影響它生成的哈希值的長度。當然,如果密碼長度為100個字符,則散列將花費大量時間並且會給系統帶來太大的壓力,因此應該施加限制。但是,如果它以20個字符或更少的字符停止,則數據庫配置為不存儲長字符串文本,這很可能意味著您的密碼將以普通形式保存。
- 您註冊一項服務,然後您收到一封電子郵件,內容如下:
“ 您的帳戶已成功創建。
您的用戶名是: [您的明文用戶名]
您的密碼是: [您的明文密碼]“
如果您的密碼以散列(和鹽漬)格式存儲,則供應商的員工和發送自動電子郵件的系統都不能查看(並因此發送)您的明文密碼。 - 您正在聯繫服務提供商的支持團隊,代理人會要求您提供登錄憑據,以確保它真的是您。信譽良好的在線服務必須具有更好的身份驗證機制。即使您忽視了與員工能夠看到您的密碼相關的風險,您也不能忽視如果內部人員可以看到數據,那麼入侵者也可以看到這一點。
- 網站要求您輸入密碼的一部分(例如,最後三個字符)來驗證您的帳戶。散列密碼的一部分不會產生整個散列的一部分。它會產生一個完全不同的哈希值。如果您遇到過這種情況,您可以非常確定該網站是以加密形式還是純文本形式存儲您的密碼。
安全地存儲用戶的密碼既是一種責任也是一種挑戰,而令人遺憾的是,您無法真正知道您註冊的服務提供商是否符合這一要求。您可以做的是確保您的密碼相當長,複雜和獨特。
