Как веб-сервисам безопасно хранить пароли

Как веб-сервисам безопасно хранить пароли

password bigНаверняка Вы неоднократно использовали одинаковый пароль для различных веб-сайтов. А теперь представьте, что один из таких веб-сайтов хранит Ваш пароль на своих внутренних серверах… Не стоит утруждать себя игрой воображения – увы, это так и есть. Теперь лучше представьте, что эти серверы подверглись нападению со стороны хакеров, которые получили доступ к паролям. Следующий шаг, который они осуществят, — это попытаются использовать Ваш пароль для получения доступа к Вашему почтовому аккаунту или любым другим веб-сайтам, на которых Вы, возможно, могли зарегистрироваться. И поверьте, в большинстве случаев у них все получится.

Ну а теперь из сферы чистых идей вернемся в реальность. Именно такая история уже произошла несколько недель назад с Yahoo. Причем, в данном случае украденные данные не были получены непосредственно из систем Yahoo. Судя по всему, в Yahoo поняли, что какое-то количество ID и паролей их пользователей были украдены, и после проведения определенных расследований они обнаружили, что эта информация была получена из сторонней базы данных, никак не связанной с Yahoo.

В результате этого Yahoo незамедлительно сбросил пароли пострадавших пользователей и стал использовать для них двухфакторную авторизацию, чтобы повторно обезопасить их аккаунты.

В данном случае мы не упрекаем компанию за неумение обеспечить должный уровень безопасности хранящихся данных, а, наоборот, хотим поздравить Yahoo за то, что они смогли обнаружить атаку и оперативно принять соответствующие меры для защиты своих пользователей.

Другой пример: недавно была осуществлена атака на Orange, которая негативно повлияла на корпоративные веб-сайты. В частности, уязвимость одного из сайтов позволила хакерам получить доступ к персональным данным сотен тысяч пользователей, включая имена, адреса электронной почты и номера телефонов.

К счастью, системы Orange были настроены таким образом, чтобы вовремя отреагировать на кражу паролей, что позволило ограничить ущерб у более чем 800 000 пользователей, пострадавших от атаки. Согласно отчетам, пароли пользователей и их банковские реквизиты хранились на отдельном сервере, который не пострадал во время атаки.

В любом случае, когда дело доходит до защиты паролей от неожиданной кражи, самая лучшая политика безопасности – это просто не хранить их нигде, кроме человеческой памяти.

Следующий вопрос: если организации нигде не хранят пароли, то как они смогут авторизовать пользователей? Очень просто. Достаточно будет «приправить» первоначальный пароль, установленный пользователем при регистрации на веб-сервисе, и применить хэш-функцию к этому «приправленному» паролю. «Приправа», добавляемая к оригинальному паролю, на самом деле создает новый, другой пароль, используя ранее заданный шаблон (перевод букв в цифры, изменение их порядка и т.д.). Затем, система применяет хэш-функцию к альтернативному паролю и преобразует его в сложную последовательность символов с помощью алгоритма шифрования. Именно эта последовательность представляет собой «хэшированную» форму пароля, которая хранится для авторизации пользователя. Теперь каждый раз когда пользователь вводит свой пароль, система применяет к нему вышеупомянутый шаблон, вычисляет значения хэша и сравнивает его с тем хэшем, который хранится в базе данных паролей. Если они совпадают, это означает, что пользователь в вел правильный пароль и может получить доступ. Как видите, весь процесс происходит без необходимости хранить такие критически важные данные, как пароли.

Еще один инструмент, который должен внедряться массово, — это использование двухфакторной авторизации. Даже если при его применении периодически возможны какие-то сложности, в любом случае такой подход значительно снижает риск данных аккаунтов пользователей. Подобная система уже достаточно давно применяется различными финансовыми учреждениями, и желательно, чтобы она также применялась и на других веб-сервисах.

Оригинал статьи — Password stores… Candy for cyber-crooks?

Автор – Luis Corrons

Категории: Безопасность
Теги: Главные