Imperva數據洩露中暴露了密碼混亂

有時不幸的事件會迫使我們學習新知識。畢竟,我們不是都從錯誤中學習嗎?今天,我們可以從Imperva的錯誤中學習。

Imperva是一家網絡安全軟件公司,總部位於加利福尼亞州紅木海岸。該公司為客戶提供企業數據保護。客戶從Imperva購買Internet防火牆服務,以防止網絡攻擊和其他惡意網絡活動。

不幸的是,Imperva 宣布它在八月份經歷了一次數據洩露,並且這種數據洩露已經影響了成千上萬的客戶。根據該報告,在此漏洞期間暴露了API密鑰,電子郵件地址,SSL證書和多個加擾密碼。

關於此數據洩露,有多個方面可以討論,尤其是當我們考慮到一家擁有網絡安全的DEALS公司受到影響的事實時。但是,這次,我們將向您簡要介紹此問題,然後重點介紹同樣暴露出來的密碼混亂。您是否想過密碼是什麼?

Imperva怎麼了?

如前所述,Imperva經歷了一次數據洩露,使客戶的數據暴露給了黑客。似乎整個事件都是疏忽的結果,因為可以從Internet訪問內部系統。可從Internet訪問的系統存儲了Imperva的AWS API密鑰的副本。

現在,那是什麼? AWS指的是Amazon Web Services,這是專門提供雲計算平台的Amazon子公司。 API密鑰表示應用程序編程接口(API)密鑰。它是唯一的標識符,它允許系統對試圖訪問API的用戶或程序進行身份驗證。反過來,API是客戶端和服務器之間的通信協議。它可以是基於雲平台,操作系統,硬件等的系統。因此,隨著API密鑰被盜,黑客可以從外部訪問Imperva的系統。

網絡安全記者認為,Imperva 最初並不了解數據洩露 ,幾個月後他們得知黑客下載了其數據庫快照的副本,該副本用於評估其云平台上的關係數據庫服務(RDS)。這意味著什麼?這意味著黑客可以竊取快照中的數據,並且在快照創建後創建的數據不受漏洞影響。

總而言之,該公司沒有明確說明有多少客戶受到數據洩露的影響。但是,在通知受影響的客戶之後,更改並輪換了超過13,000個密碼和13,000個SSL證書。因此,很容易或多或少地掌握事件的範圍。

什麼是加密碼?

由於我們已經完成了對漏洞的總體概述,因此我們可以仔細研究一下暴露和洩漏的數據類型之一。我們在這裡談論的是密碼混亂。當您聽到“加擾”一詞時,您可能會想到流行的在線遊戲或加擾的雞蛋,但確實,我們也可以加擾密碼。

密碼加擾是安全存儲密碼並增強密碼強度的方法之一. 例如, Cyclonis密碼管理器還使用密碼加擾功能將其客戶密碼存儲在其保管庫中。對於密碼管理器,它使用加密來擾亂保存的密碼。但是,還有其他保護密碼的方法,有關Imperva數據洩露的信息表明,公開的加擾密碼是經過哈希處理和添加鹽分的。

這到底是什麼意思?好吧,您可能知道,如果您擁有解密密鑰,則可以在加密後對某些內容進行解密。另一方面,散列意味著數據一旦被加密就無法解碼。另外,無論您要散列哪種數據字符串,輸出的長度始終是固定的。也就是說,無論您要爭奪我愛的蘋果還是討厭下雨,請走開 ,最終輸出的長度將是相同的(如果您使用相同的算法對其進行哈希處理)。

由於哈希不能反過來工作,但是使用相同的算法對字符串進行加擾會產生相同的輸出,因此可以將其用於檢查和驗證訪問。例如,如果數據庫存儲了散列密碼,並且有人輸入了試圖進入數據庫的純文本密碼,則係統需要應用相同的算法對純文本密碼進行散列。如果哈希值與數據庫中存儲的值匹配,則將授予身份驗證。破解散列密碼也確實很困難,並且唯一的方法是強制執行。

如果加鹽醃就更難破解了。在網絡安全中,鹽是指添加到密碼中的隨機數據值。用戶看不到該值,但是該值附加在計算機系統中的密碼上,以提供更好的安全性。換句話說,您的密碼不會以純文本形式保存,因為這將完全導致嚴重的數據洩露。

在系統內,鹽值是隨機生成的。它被添加到純文本密碼中,然後通常對整個字符串進行哈希處理(如上所述)。對相同的密碼使用不同的salt值會導致完全不同的哈希值,因此在密碼上撒上salt(象徵性地講)會使它們更強。

以此為基礎,我們可以假設,只有在黑客擁有暴力破解密碼的手段時,竊取密碼密碼才可能是有利可圖的。當然,這種可能性始終存在,這就是Imperva敦促其客戶更改其密碼的原因。但是,也可以說竊取加密密碼實際上與竊取沒有密鑰的保險箱相同。它不會改變數據洩露的事實,但是至少那裡有一線希望。

November 19, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
5 + 5是什麼?