iGuRu

  • /news
  • /infosec
  • /dummies
  • /tools
  • /tweaks
  • /απόψεις
  • /fbgrp
  • /reddit
Search

iGuRu

You are here:

  1. Home
  2. Οι πενήντα αποχρώσεις του hash μετά την παραβίαση της Yahoo

Οι πενήντα αποχρώσεις του hash μετά την παραβίαση της Yahoo

by giorgos updated 24/09/2016, 14:04

Η τεράστια παραβίαση των δεδομένων της Yahoo από hackers κάποιας κυβερνητικής υπηρεσίας χρησιμεύει σαν υπενθύμιση κάποιων βασικών συμβουλών ασφαλείας. Τα στοιχεία τουλάχιστον 500 εκατομμύρια λογαριασμών που διέρρευσαν είναι η μεγαλύτερη παραβίαση δεδομένων ποτέ.

Ποιες είναι οι πιθανές επιπτώσεις στην ασφάλεια των χρηστών;

Οι πενήντα αποχρώσεις του κατακερματισμού της κρυπτογράφησης

Η Yahoo δήλωσε ότι η «συντριπτική πλειοψηφία» των κλεμμένων κωδικών πρόσβασης ήταν hashed με bcrypt. To Hashing ή κατακερματισμός είναι μια μονόδρομη λειτουργία κρυπτογράφησης που μετατρέπει τα δεδομένα σε ένα σύνολο τυχαίων χαρακτήρων που εκπροσωπούν χαρακτήρες που μπορούν να διαβαστούν από τον άνθρωπο. Αυτό ονομάζεται hash.safe yahoo

Τα hashes υποτίθεται ότι δεν είναι αναστρέψιμα και έτσι είναι ένας καλός τρόπος για να αποθηκεύετε κωδικούς πρόσβασης. Ο κωδικός πρόσβασης κατά το login, περνάει μέσα από ένα αλγόριθμο κατακερματισμού και συγκρίνεται με ένα αποθηκευμένο κατακερματισμού.

Αυτό παρέχει έναν τρόπο ελέγχου κωδικών πρόσβασης χωρίς να χρειάζεται η αποθήκευσή τους σε μορφή απλού κειμένου στη βάση δεδομένων.

Όμως δεν προσφέρουν όλοι οι αλγόριθμοι κατακερματισμού αρκετή προστασία από τα password crackers που προσπαθούν να μαντέψουν ποια plaintext password δημιουργούν ένα συγκεκριμένο hash.

Σε αντίθεση με τον αρχαίο αλγόριθμο MD5, ο οποίος είναι αρκετά εύκολο να σπάσει, αν εφαρμοστούν επιπρόσθετα μέτρα ασφαλείας (salt), ο bcrypt θεωρείται πολύ ισχυρότερος αλγόριθμος.

Αυτό σημαίνει ότι, θεωρητικά, η πιθανότητα να σπάσουν οι hackers “την συντριπτική πλειοψηφία” του κωδικών πρόσβασης που υπέκλεψαν από την Yahoo είναι πολύ χαμηλή.

Θα πρέπει να αναφέρουμε ότι με επιμονή, υπομονή, και ένα πολύ ισχυρό σύστημα, τίποτα δεν μπορεί να θεωρηθεί και τόσο ασφαλές. Φυσικά σε τέτοιες μέγα-διαρροές σαν της Yahoo, οι εργατοώρες που απαιτούνται πολλαπλασιάζονται ανάλογα με τον όγκο των δεδομένων, και της απλής ή σύνθετης κρυπτογράφησης.

Ας δούμε όμως που είναι το πρόβλημα στην περίπτωση της Yahoo:

Η διατύπωση της Yahoo δείχνει ότι οι περισσότεροι από τους κωδικούς τους, (αλλά όχι όλοι) έχουν γίνει hashed με bcrypt.

Δεν ξέρουμε πόσοι από αυτούς τους κωδικούς πρόσβασης έχουν κατακερματιστεί με άλλο αλγόριθμο, ή μόνο από ένα. Το γεγονός ότι αυτό δεν αναφέρεται στην δημοσίευση γνωστοποίησης του hack ή στο FAQ της Yahoo κάτι που δείχνει ότι η εταιρεία δεν ήθελε να δώσει αυτές τις πληροφορίες στους επιτιθέμενους.

Εν κατακλείδι, δεν υπάρχει κανένας τρόπος να πούμε με ασφάλεια εάν ο λογαριασμός σας ήταν μεταξύ εκείνων των οποίων οι κωδικοί πρόσβασης έγιναν hashed με bcrypt ή με κάποιον άλλο αλγόριθμο.

Έτσι η ασφαλέστερη επιλογή σε αυτό το σημείο είναι να αλλάξετε όπως και νάχει κωδικό πρόσβασης, ή εταιρεία e-mail.

  ΑΔΑΕ 2019-2021: 41.000 παρακολουθήσεις

Σκεφτείτε αν κάποιοι ρωτήσουν για τα προσωπικά σας στοιχεία

Μεταξύ των πληροφοριών που υπήρχαν στους λογαριασμούς που υπέκλεψαν από την Yahoo ήταν πραγματικά ονόματα χρηστών, αριθμούς τηλεφώνων, ημερομηνίες γέννησης και, σε ορισμένες περιπτώσεις, ερωτήσεις και απαντήσεις ασφαλείας χωρίς κρυπτογράφηση. Μερικά από αυτά τα στοιχεία είναι πολύ ευαίσθητα και χρησιμοποιούνται για την επαλήθευση από τράπεζες και ενδεχομένως, κυβερνητικές υπηρεσίες.

Υπάρχουν πολύ λίγες περιπτώσεις, που πρέπει μια ιστοσελίδα να έχει την πραγματική ημερομηνία γέννησής σας. Επίσης, μην δίνετε πραγματικές απαντήσεις στις ερωτήσεις ασφαλείας, αν μπορείτε να το αποφύγετε.

Ελέγξτε την προώθηση του email σας τακτικά

Η προώθηση του ηλεκτρονικού ταχυδρομείου είναι ένα από εκείνα “που τα κάνετε μια φορά και το ξεχνάτε.” Η επιλογή είναι θαμμένη κάπου στις ρυθμίσεις του λογαριασμού σας και ίσως να μην το έχετε ελέγξει ποτέ.

Οι hackers το γνωρίζουν αυτό. Το μόνο που χρειάζεται να κάνουν είναι να αποκτήσουν πρόσβαση στο e-mail σας μία φορά, και να δημιουργήσουν μια προώθηση σε δικό τους e-mail. Έτσι θα λαμβάνουν κάθε e-mail που σας έρχεται χωρίς να χρειάζεται να συνδεθούν ξανά. Με αυτόν τον τρόπο, η υπηρεσία δεν θα σας στέλνει ειδοποιήσεις για επαναλαμβανόμενα ύποπτα log-ins από μη αναγνωρίσιμες συσκευές και διευθύνσεις IP.

Έλεγχος ταυτότητας δύο παραγόντων παντού

Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων και ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων. Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων.

Μην χρησιμοποιείτε ξανά τον ίδιο κωδικό πρόσβασης

Υπάρχουν πολλές λύσεις διαχειριστών κωδικών πρόσβασης που είναι διαθέσιμες και λειτουργούν σε διαφορετικές πλατφόρμες (χρησιμοποιήστε password managers που αποθηκεύουν τους κωδικούς τοπικά και όχι στο σύννεφο, πχ Keepass). Δεν υπάρχει καμία δικαιολογία να μην χρησιμοποιείτε ένα μοναδικό, πολύπλοκο κωδικό πρόσβασης για κάθε λογαριασμό που έχετε στην κατοχή σας.

Εδώ έρχεται το phishing

Οι μεγάλες παραβιάσεις δεδομένων συνήθως ακολουθούνται από απόπειρες phishing e-mail, καθώς οι απατεώνες προσπαθούν να επωφεληθούν από το δημόσια εμφάνιση των e-mails.

Αυτά τα μηνύματα μπορούν να μεταμφιέζονται σαν ειδοποιήσεις ασφαλείας, μπορεί να περιέχουν οδηγίες για να κατεβάσετε τα κακόβουλα προγράμματα σαν εργαλεία για την ασφάλεια, μπορεί να κατευθύνουν τους χρήστες σε ιστοσελίδες που τους ζητούν πρόσθετες πληροφορίες με το πρόσχημα της «επαλήθευση» των λογαριασμών τους και ούτω καθεξής.

Να είστε στην επιφυλακή γιατί τέτοια μηνύματα κυκλοφορούν ήδη και θα κυκλοφορήσουν περισσότερα μετά το hack της Yahoo.

spread the news

  • Facebook
  • Twitter
  • Reddit
  • mastodon
  • Εκτύπωση
  • Email

Εγγραφή στο iGuRu.gr μέσω email

Το email σας για την αποστολή κάθε νέας δημοσίευσης

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

e-mailsloginpasswordphishingyahoo

See more

  • Previous article Η Monsanto απέκτησε τεχνολογία επεξεργασίας γονιδίων
  • Next article Νέα τεχνολογία της Microsoft παρακολουθεί τα πάντα για το καλό μας

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

More From: news

  • transmission

    Transmission 4.0 torrent client για Windows, Linux και MacOS

  • google chrome logo ai

    Google Chrome 110 stable με 15 security fixes

Αφήστε μια απάντηση Ακύρωση απάντησης

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


Next post

© 2023 · iGuRu.gr · ☢ · Keep It Simple Stupid theme

  • /about
  • /contact
  • /rss
  • /tos
  • /depositphotos
  • /pp
  • /netcup
Close
  • /news
  • /infosec
  • /dummies
  • /tools
  • /tweaks
  • /απόψεις
  • /fbgrp
  • /reddit