เว็บไซต์ปกป้องรหัสผ่านของคุณอย่างไร?

ในเวลานี้ เป็นเรื่องปกติมากที่จะได้ยินเกี่ยวกับการละเมิดข้อมูล การละเมิดอาจเกิดขึ้นกับบริการยอดนิยม เช่นGmailหรือซอฟต์แวร์ที่พวกเราส่วนใหญ่ลืมไปแล้ว เช่น MySpace

สิ่งที่แย่ที่สุดอย่างหนึ่งที่แฮกเกอร์สามารถค้นพบได้คือรหัสผ่านของคุณ โดยเฉพาะอย่างยิ่งหากคุณไม่ปฏิบัติตามคำแนะนำมาตรฐานและใช้การเข้าสู่ระบบเดียวกันบนหลายแพลตฟอร์ม แต่การป้องกันด้วยรหัสผ่านไม่ได้เป็นเพียงความรับผิดชอบของคุณ

แล้วเว็บไซต์จะจัดเก็บรหัสผ่านของคุณอย่างไร? พวกเขารักษาข้อมูลการเข้าสู่ระบบของคุณให้ปลอดภัยได้อย่างไร? และวิธีใดที่ปลอดภัยที่สุดที่เว็บไซต์สามารถใช้เพื่อติดตามรหัสผ่านของคุณคือวิธีใด

สถานการณ์กรณีที่เลวร้ายที่สุด: รหัสผ่านจะถูกบันทึกเป็นข้อความธรรมดา

พิจารณาสถานการณ์นี้: เว็บไซต์ขนาดใหญ่ถูกแฮ็ก อาชญากรไซเบอร์ได้หลีกเลี่ยงมาตรการรักษาความปลอดภัยขั้นพื้นฐานที่เว็บไซต์มีอยู่และสามารถหาประโยชน์จากข้อบกพร่องในโครงสร้างของเว็บไซต์ได้ คุณเป็นลูกค้า เว็บไซต์นั้นได้เก็บรายละเอียดของคุณไว้ เว็บไซต์ช่วยให้แน่ใจว่ารหัสผ่านของคุณปลอดภัย แต่จะเกิดอะไรขึ้นหากเว็บไซต์นั้นเก็บรหัสผ่านของคุณเป็นข้อความธรรมดา?

รหัสผ่านที่เป็นข้อความธรรมดาเปรียบเสมือนเหยื่อล่อที่มีกำไร พวกเขาไม่ใช้อัลกอริธึมดังนั้นจึงไม่สามารถอ่านได้ แฮกเกอร์สามารถอ่านรหัสผ่านได้เหมือนกับที่คุณอ่านบทความนี้

ไม่สำคัญว่ารหัสผ่านของคุณจะซับซ้อนแค่ไหน: ฐานข้อมูลข้อความธรรมดาคือรายการรหัสผ่านของทุกคนซึ่งเขียนไว้อย่างชัดเจน รวมถึงตัวเลขและอักขระเพิ่มเติมที่คุณใช้

และถึงแม้ว่าแฮกเกอร์จะไม่ถอดรหัสเว็บไซต์ คุณต้องการให้ผู้ดูแลเว็บไซต์บางคนสามารถดูรายละเอียดการเข้าสู่ระบบลับของคุณได้จริงหรือ?

คุณอาจคิดว่านี่เป็นปัญหาที่เกิดขึ้นน้อยมาก แต่คาดว่าประมาณ 30% ของไซต์อีคอมเมิร์ซใช้วิธีนี้เพื่อ "รักษาความปลอดภัย" ข้อมูลลูกค้า!

วิธีง่ายๆ ในการตรวจสอบว่าเว็บไซต์บันทึกรหัสผ่านเป็นข้อความธรรมดาหรือไม่คือ ทันทีหลังจากสมัคร คุณได้รับอีเมลจากเว็บไซต์ที่แสดงรายละเอียดการเข้าสู่ระบบของคุณ ในกรณีดังกล่าว คุณอาจต้องการเปลี่ยนไซต์อื่น ๆ ที่ใช้รหัสผ่านเดียวกันและติดต่อบริษัทเพื่อเตือนพวกเขาว่าความปลอดภัยของพวกเขาต่ำเกินไป แน่นอนว่ามันเป็นไปไม่ได้ที่จะยืนยันได้ 100% แต่นี่เป็นสัญญาณที่ชัดเจนและไซต์ไม่ควรส่งสิ่งดังกล่าวทางอีเมล

การเข้ารหัส: ฟังดูดีแต่ยังไม่สมบูรณ์แบบ

เว็บไซต์หลายแห่งหันมาใช้การเข้ารหัสเพื่อปกป้องรหัสผ่านของผู้ใช้ กระบวนการเข้ารหัสจะแย่งชิงข้อมูลของคุณ ทำให้ไม่สามารถอ่านได้จนกระทั่งคีย์สองอัน - อันหนึ่งถือโดยคุณ (นั่นคือรายละเอียดการเข้าสู่ระบบของคุณ) และอีกอันโดยบริษัทที่เป็นปัญหา - ปรากฏขึ้นพร้อมกัน

คุณยังใช้การเข้ารหัสในที่อื่นๆ อีกหลายแห่งด้วย Face ID บน iPhone เป็นรูปแบบหนึ่งของการเข้ารหัส รหัสผ่านเหมือนกันอินเทอร์เน็ตทำงานโดยใช้การเข้ารหัส: HTTPSที่คุณเห็นใน URL หมายความว่าเว็บไซต์ที่คุณกำลังเยี่ยมชมใช้โปรโตคอล SSL หรือ TLS เพื่อตรวจสอบการเชื่อมต่อและข้อมูลรวม แต่ในความเป็นจริงแล้ว การเข้ารหัสนั้นไม่สมบูรณ์แบบ

การเข้ารหัสช่วยให้คุณสบายใจได้ แต่หากไซต์ปกป้องรหัสผ่านของคุณโดยใช้รหัสผ่านของตนเอง แฮกเกอร์สามารถขโมยรหัสผ่านของไซต์ จากนั้นค้นหารหัสผ่านของคุณและถอดรหัสรหัสผ่านได้ แฮกเกอร์จะไม่ต้องใช้ความพยายามมากนักในการรู้รหัสผ่านของคุณ นั่นเป็นเหตุผลว่าทำไมฐานข้อมูลหลักจึงเป็นเป้าหมายใหญ่เสมอ

หากรหัสเว็บไซต์ของคุณ (รหัสผ่าน) ถูกจัดเก็บไว้ในเซิร์ฟเวอร์เดียวกันกับรหัสผ่านของคุณ รหัสผ่านของคุณก็อาจเป็นข้อความธรรมดาเช่นกัน

• แฮกเกอร์ขโมยรหัสผ่าน WiFi ได้อย่างไร จะป้องกันสิ่งนี้ได้อย่างไร?

Hash: เรียบง่ายอย่างน่าประหลาดใจ (แต่ไม่ได้ผลเสมอไป)

การแฮชรหัสผ่านอาจฟังดูเหมือนศัพท์เฉพาะ แต่เป็นเพียงรูปแบบการเข้ารหัสที่ปลอดภัยกว่า

แทนที่จะจัดเก็บรหัสผ่านในรูปแบบข้อความธรรมดา เว็บไซต์จะเรียกใช้รหัสผ่านผ่านฟังก์ชันแฮช เช่น MD5, Secure Hashing Algorithm (SHA)-1 หรือ SHA-256 ซึ่งเปลี่ยนรหัสผ่านให้เป็นชุดตัวเลขที่แตกต่างไปจากเดิมอย่างสิ้นเชิง อาจเป็นตัวเลข ตัวอักษร หรืออักขระอื่นๆ

รหัสผ่านของคุณอาจเป็นIH3artMU0มันสามารถกลายเป็น7dVq$@ihTและหากแฮกเกอร์เจาะเข้าไปในฐานข้อมูล เขาก็สามารถมองเห็นได้เพียงเท่านี้ แฮกเกอร์ไม่สามารถถอดรหัสรหัสผ่านเดิมได้อีก

น่าเสียดายที่สิ่งต่าง ๆ ไม่ปลอดภัยอย่างที่คุณคิด วิธีนี้ดีกว่าข้อความธรรมดา แต่ก็ยังไม่เป็นปัญหาสำหรับอาชญากรไซเบอร์

สิ่งสำคัญคือรหัสผ่านเฉพาะจะสร้างแฮชเฉพาะ มีเหตุผลที่ดี: ทุกครั้งที่คุณเข้าสู่ระบบด้วยรหัสผ่านIH3artMU0ระบบจะผ่านแฮชนั้นโดยอัตโนมัติและไซต์จะอนุญาตให้คุณเข้าถึงได้หากมีแฮชนั้นและแฮชในฐานข้อมูลของไซต์อยู่หรือไม่ เว็บไซต์ตรงกัน

เพื่อเป็นการตอบสนอง แฮกเกอร์จึงได้พัฒนาตารางสีรุ้งขึ้นมา ซึ่งคล้ายกับสูตรโกง เป็นรายการแฮชที่ผู้อื่นใช้เป็นรหัสผ่านอยู่แล้ว ซึ่งระบบที่ซับซ้อนสามารถทำงานได้อย่างรวดเร็ว เช่น การโจมตี แบบBrute Force

หากคุณเลือกรหัสผ่านที่แย่มาก รหัสผ่านนั้นจะถูกเปิดเผยและสามารถถูกถอดรหัสได้ง่าย รหัสผ่านที่ซับซ้อนจะใช้เวลานานกว่า

ดีที่สุดในปัจจุบัน: Salting และ Slow Hash

การทำเกลือเป็นหนึ่งในเทคนิคที่มีประสิทธิภาพมากกว่าที่เว็บไซต์ที่ปลอดภัยที่สุดนำมาใช้

ไม่มีอะไรที่ขวางกั้นได้: แฮกเกอร์ทำงานอย่างแข็งขันเพื่อเจาะระบบรักษาความปลอดภัยใหม่ ๆ อยู่เสมอ ปัจจุบันมีเทคนิคที่แข็งแกร่งกว่าที่นำมาใช้โดยเว็บไซต์ที่ปลอดภัยที่สุด นั่นคือฟังก์ชันแฮชอัจฉริยะ

แฮชแบบเค็มนั้นอิงตาม nonce ของการเข้ารหัส ซึ่งเป็นชุดข้อมูลสุ่มที่สร้างขึ้นสำหรับรหัสผ่านแต่ละอัน ซึ่งมักจะยาวและซับซ้อนมาก

ตัวเลขเพิ่มเติมเหล่านี้จะถูกเพิ่มที่จุดเริ่มต้นหรือจุดสิ้นสุดของรหัสผ่าน (หรืออีเมล - การรวมรหัสผ่าน) ก่อนที่จะผ่านฟังก์ชันแฮช เพื่อป้องกันความพยายามที่เกิดขึ้นโดยใช้ตารางสายรุ้ง

โดยทั่วไปจะไม่มีปัญหาหากเก็บเกลือไว้บนเซิร์ฟเวอร์เดียวกันกับแฮช การถอดรหัสชุดรหัสผ่านอาจทำให้แฮกเกอร์ใช้เวลานาน และจะยิ่งยากยิ่งขึ้นหากรหัสผ่านของคุณซับซ้อน

นั่นเป็นเหตุผลที่คุณควรใช้รหัสผ่านที่รัดกุมเสมอ ไม่ว่าคุณจะมั่นใจในความปลอดภัยของเว็บไซต์ของคุณแค่ไหนก็ตาม

เว็บไซต์ยังใช้แฮชที่ช้าเป็นมาตรการเพิ่มเติม ฟังก์ชันแฮชที่มีชื่อเสียงที่สุด (MD5, SHA-1 และ SHA-256) มีมาระยะหนึ่งแล้วและมีการใช้กันอย่างแพร่หลายเนื่องจากใช้งานง่าย

ในขณะที่ยังคงใช้เกลืออยู่ การแฮชที่ช้าจะยิ่งป้องกันการโจมตีที่อาศัยความเร็วได้ดีกว่า ด้วยการจำกัดแฮกเกอร์ให้พยายามต่อวินาทีน้อยลงอย่างมาก จะทำให้แฮกเกอร์ใช้เวลาในการถอดรหัสนานขึ้น ส่งผลให้ความพยายามนั้นมีคุณค่าน้อยลง ขณะเดียวกันก็ทำให้อัตราความสำเร็จลดลงด้วย

อาชญากรไซเบอร์ต้องชั่งน้ำหนักว่าคุ้มที่จะโจมตีระบบแฮชที่ช้าซึ่งใช้เวลานานกับ "การแก้ไขด่วน" หรือไม่ ตัวอย่างเช่น สถาบันทางการแพทย์มักจะมีความปลอดภัยต่ำกว่า ดังนั้นข้อมูลที่ได้รับจากสถาบันเหล่านี้จึงยังสามารถขายได้ในราคาที่น่าประหลาดใจ

หากระบบอยู่ภายใต้ “ความเครียด” ระบบอาจทำงานช้าลงอีก Coda Hale อดีตนักพัฒนาซอฟต์แวร์ Microsoft เปรียบเทียบ MD5 กับฟังก์ชันแฮชช้าที่โดดเด่นที่สุด bcrypt (ฟังก์ชันอื่นๆ ได้แก่ PBKDF-2 และ scrypt):

“แทนที่จะถอดรหัสรหัสผ่านทุกๆ 40 วินาที (เช่นเดียวกับ MD5) ฉันจะถอดรหัสรหัสผ่านทุกๆ 12 ปีโดยประมาณ (เมื่อระบบใช้ bcrypt) รหัสผ่านของคุณอาจไม่ต้องการการรักษาความปลอดภัยแบบนั้น และคุณอาจต้องการอัลกอริธึมการเปรียบเทียบที่เร็วกว่า แต่ bcrypt ให้คุณเลือกสมดุลระหว่างความเร็วและความปลอดภัยได้"

และเนื่องจากการแฮชแบบช้ายังคงสามารถทำได้ภายในเวลาไม่ถึงหนึ่งวินาที ผู้ใช้จึงไม่ได้รับผลกระทบ