Η τεράστια παραβίαση των δεδομένων της Yahoo από hackers κάποιας κυβερνητικής υπηρεσίας χρησιμεύει σαν υπενθύμιση κάποιων βασικών συμβουλών ασφαλείας. Τα στοιχεία τουλάχιστον 500 εκατομμύρια λογαριασμών που διέρρευσαν είναι η μεγαλύτερη παραβίαση δεδομένων ποτέ.
Ποιες είναι οι πιθανές επιπτώσεις στην ασφάλεια των χρηστών;
Οι πενήντα αποχρώσεις του κατακερματισμού της κρυπτογράφησης
Η Yahoo δήλωσε ότι η «συντριπτική πλειοψηφία» των κλεμμένων κωδικών πρόσβασης ήταν hashed με bcrypt. To Hashing ή κατακερματισμός είναι μια μονόδρομη λειτουργία κρυπτογράφησης που μετατρέπει τα δεδομένα σε ένα σύνολο τυχαίων χαρακτήρων που εκπροσωπούν χαρακτήρες που μπορούν να διαβαστούν από τον άνθρωπο. Αυτό ονομάζεται hash.
Τα hashes υποτίθεται ότι δεν είναι αναστρέψιμα και έτσι είναι ένας καλός τρόπος για να αποθηκεύετε κωδικούς πρόσβασης. Ο κωδικός πρόσβασης κατά το login, περνάει μέσα από ένα αλγόριθμο κατακερματισμού και συγκρίνεται με ένα αποθηκευμένο κατακερματισμού.
Αυτό παρέχει έναν τρόπο ελέγχου κωδικών πρόσβασης χωρίς να χρειάζεται η αποθήκευσή τους σε μορφή απλού κειμένου στη βάση δεδομένων.
Όμως δεν προσφέρουν όλοι οι αλγόριθμοι κατακερματισμού αρκετή προστασία από τα password crackers που προσπαθούν να μαντέψουν ποια plaintext password δημιουργούν ένα συγκεκριμένο hash.
Σε αντίθεση με τον αρχαίο αλγόριθμο MD5, ο οποίος είναι αρκετά εύκολο να σπάσει, αν εφαρμοστούν επιπρόσθετα μέτρα ασφαλείας (salt), ο bcrypt θεωρείται πολύ ισχυρότερος αλγόριθμος.
Αυτό σημαίνει ότι, θεωρητικά, η πιθανότητα να σπάσουν οι hackers “την συντριπτική πλειοψηφία” του κωδικών πρόσβασης που υπέκλεψαν από την Yahoo είναι πολύ χαμηλή.
Θα πρέπει να αναφέρουμε ότι με επιμονή, υπομονή, και ένα πολύ ισχυρό σύστημα, τίποτα δεν μπορεί να θεωρηθεί και τόσο ασφαλές. Φυσικά σε τέτοιες μέγα-διαρροές σαν της Yahoo, οι εργατοώρες που απαιτούνται πολλαπλασιάζονται ανάλογα με τον όγκο των δεδομένων, και της απλής ή σύνθετης κρυπτογράφησης.
Ας δούμε όμως που είναι το πρόβλημα στην περίπτωση της Yahoo:
Η διατύπωση της Yahoo δείχνει ότι οι περισσότεροι από τους κωδικούς τους, (αλλά όχι όλοι) έχουν γίνει hashed με bcrypt.
Δεν ξέρουμε πόσοι από αυτούς τους κωδικούς πρόσβασης έχουν κατακερματιστεί με άλλο αλγόριθμο, ή μόνο από ένα. Το γεγονός ότι αυτό δεν αναφέρεται στην δημοσίευση γνωστοποίησης του hack ή στο FAQ της Yahoo κάτι που δείχνει ότι η εταιρεία δεν ήθελε να δώσει αυτές τις πληροφορίες στους επιτιθέμενους.
Εν κατακλείδι, δεν υπάρχει κανένας τρόπος να πούμε με ασφάλεια εάν ο λογαριασμός σας ήταν μεταξύ εκείνων των οποίων οι κωδικοί πρόσβασης έγιναν hashed με bcrypt ή με κάποιον άλλο αλγόριθμο.
Έτσι η ασφαλέστερη επιλογή σε αυτό το σημείο είναι να αλλάξετε όπως και νάχει κωδικό πρόσβασης, ή εταιρεία e-mail.
Σκεφτείτε αν κάποιοι ρωτήσουν για τα προσωπικά σας στοιχεία
Μεταξύ των πληροφοριών που υπήρχαν στους λογαριασμούς που υπέκλεψαν από την Yahoo ήταν πραγματικά ονόματα χρηστών, αριθμούς τηλεφώνων, ημερομηνίες γέννησης και, σε ορισμένες περιπτώσεις, ερωτήσεις και απαντήσεις ασφαλείας χωρίς κρυπτογράφηση. Μερικά από αυτά τα στοιχεία είναι πολύ ευαίσθητα και χρησιμοποιούνται για την επαλήθευση από τράπεζες και ενδεχομένως, κυβερνητικές υπηρεσίες.
Υπάρχουν πολύ λίγες περιπτώσεις, που πρέπει μια ιστοσελίδα να έχει την πραγματική ημερομηνία γέννησής σας. Επίσης, μην δίνετε πραγματικές απαντήσεις στις ερωτήσεις ασφαλείας, αν μπορείτε να το αποφύγετε.
Ελέγξτε την προώθηση του email σας τακτικά
Η προώθηση του ηλεκτρονικού ταχυδρομείου είναι ένα από εκείνα “που τα κάνετε μια φορά και το ξεχνάτε.” Η επιλογή είναι θαμμένη κάπου στις ρυθμίσεις του λογαριασμού σας και ίσως να μην το έχετε ελέγξει ποτέ.
Οι hackers το γνωρίζουν αυτό. Το μόνο που χρειάζεται να κάνουν είναι να αποκτήσουν πρόσβαση στο e-mail σας μία φορά, και να δημιουργήσουν μια προώθηση σε δικό τους e-mail. Έτσι θα λαμβάνουν κάθε e-mail που σας έρχεται χωρίς να χρειάζεται να συνδεθούν ξανά. Με αυτόν τον τρόπο, η υπηρεσία δεν θα σας στέλνει ειδοποιήσεις για επαναλαμβανόμενα ύποπτα log-ins από μη αναγνωρίσιμες συσκευές και διευθύνσεις IP.
Έλεγχος ταυτότητας δύο παραγόντων παντού
Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων και ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων. Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων.
Μην χρησιμοποιείτε ξανά τον ίδιο κωδικό πρόσβασης
Υπάρχουν πολλές λύσεις διαχειριστών κωδικών πρόσβασης που είναι διαθέσιμες και λειτουργούν σε διαφορετικές πλατφόρμες (χρησιμοποιήστε password managers που αποθηκεύουν τους κωδικούς τοπικά και όχι στο σύννεφο, πχ Keepass). Δεν υπάρχει καμία δικαιολογία να μην χρησιμοποιείτε ένα μοναδικό, πολύπλοκο κωδικό πρόσβασης για κάθε λογαριασμό που έχετε στην κατοχή σας.
Εδώ έρχεται το phishing
Οι μεγάλες παραβιάσεις δεδομένων συνήθως ακολουθούνται από απόπειρες phishing e-mail, καθώς οι απατεώνες προσπαθούν να επωφεληθούν από το δημόσια εμφάνιση των e-mails.
Αυτά τα μηνύματα μπορούν να μεταμφιέζονται σαν ειδοποιήσεις ασφαλείας, μπορεί να περιέχουν οδηγίες για να κατεβάσετε τα κακόβουλα προγράμματα σαν εργαλεία για την ασφάλεια, μπορεί να κατευθύνουν τους χρήστες σε ιστοσελίδες που τους ζητούν πρόσθετες πληροφορίες με το πρόσχημα της «επαλήθευση» των λογαριασμών τους και ούτω καθεξής.
Να είστε στην επιφυλακή γιατί τέτοια μηνύματα κυκλοφορούν ήδη και θα κυκλοφορήσουν περισσότερα μετά το hack της Yahoo.