間LinkedIn、Zappos、DreamHost、そして最近ハッキングされた他の著名なサイトは、最近あなたのオンラインセキュリティについて考えている可能性があります。しかし、これらのサイトの1つがハッキングされたとき、それは実際に何を意味しますか?パスワードがインターネットに保存される方法と、使用したWebサイトが侵害されたときの意味は次のとおりです。
サイトがパスワードを保存する方法はいくつかあり、一部は他のものよりもかなり安全です。これは、最も人気のある方法と、データのセキュリティにとって何を意味するのかを迅速に概念しています。
方法1:プレーンテキストパスワード
それがどのように機能するか:サイトがパスワードを保存できる最も簡単な方法は、プレーンテキストにあります。つまり、サーバーのどこかに、ユーザー名とパスワードがあるデータベースが存在することを意味します。testing123、データベースに保存されますtesting123)。サイトに資格情報を入力すると、データベースに対してそれらをチェックして、それらが一致するかどうかを確認します。これは、セキュリティ用語で最悪の方法であり、ほとんどの評判の良いWebサイトはパスワードをプレーンテキストに保存しません。誰かがこのデータベースをハッキングした場合、全員のパスワードはすぐに侵害されます。
私の強力なパスワードは重要ですか?とんでもない。パスワードがどれだけ長くても強力であっても、プレーンテキストに保存され、サイトがハッキングされた場合、パスワードは誰でも簡単にアクセスでき、作業は必要ありません。たとえば、友人や他の人から簡単に推測できる他の人からのパスワードを隠すという点ではまだ重要ですが、サイトがハッキングされても違いはありません。
方法2:基本的なパスワード暗号化
それがどのように機能するか:プレーンテキストが提供するよりもパスワードにさらに保護を追加するために、ほとんどのサイトはパスワードをサーバーに保存する前に暗号化します。暗号化は、知らない人のために、特別なキーを使用して、パスワードをランダムなテキストに変換します。ハッカーがこのランダムな一連のテキストを手に入れると、キーも持っていない限り、アカウントにログインすることはできません。復号化それ。
問題は、キーがパスワードとまったく同じサーバーに保存されることが多いため、サーバーがハッキングされた場合、ハッカーはすべてのパスワードを復号化するために多くの作業を行う必要がないことです。 。
私の強力なパスワードは重要ですか?いいえ。キーを使用してパスワードデータベースを簡単に復号化できるため、強力なパスワードもここでも違いはありません。繰り返しますが、これはサイトがハッキングされるという点です。おせっかいな友人や家族が自分のものを応援している場合、強力なパスワードは彼らがそれを推測しないようにするのに役立ちます。
方法3:ハッシュされたパスワード
それがどのように機能するか:ハッシュドは、パスワードを長い文字列に変えて、隠して保つという意味で暗号化に似ています。ただし、暗号化とは異なり、ハッシュは片道通りです。ハッシュがある場合、アルゴリズムを後方に実行して元のパスワードを取得することはできません。これは、ハッカーがハッシュを取得し、さまざまなパスワードの組み合わせを試して、どのパスワードが機能したかを確認する必要があることを意味します。
ただし、この方法には欠点があります。ハッカーはハッシュを元のパスワードにデコードすることはできませんが、彼らはできる1つがハッシュと一致するまで、さまざまなパスワードを試してください。コンピューターはこれを非常に速く行うことができ、レインボーテーブルと呼ばれるもの(本質的には数兆の異なるハッシュとその一致するパスワードのリスト)の助けを借りて、ハッシュを調べて、すでに発見されているかどうかを確認できます。入力してみてくださいe38ad214943daad1d64c102faec29de4afe9da3dGoogleに。 「Password1」のSHA-1ハッシュであることがすぐにわかります。虹のテーブルの仕組みの詳細については、チェックしてくださいGuru Jeff Atwoodをコーディングするこの記事主題について。
私の強力なパスワードは重要ですか?この場合、はい。レインボーテーブルは、ハッシュに対してすでにテストされているパスワードで構成されています。つまり、非常に弱いものは非常に迅速に割れます。しかし、彼らの最大の弱点は、複雑さではなく、長さです。非常に長いパスワードを使用する方がよいです(XKCDの有名短い複雑なもの(KJ $ fsdl#のような)ではなく、「正しい馬のバッテリーの定番」)。
方法4:塩のダッシュでパスワードをハッシュします
それがどのように機能するか:ハッシュを塩漬けするということは、パスワードをハッシュする前に、パスワードの開始または終了にランダムな文字列(「塩」をコールした)を追加することを意味します。パスワードごとに異なる塩を使用し、塩が同じサーバーに保管されている場合でも、虹のテーブルに塩漬けのハッシュを見つけるのが非常に難しくなります。 LinkedInは有名ですない塩漬けのハッシュを使用して、彼らの後に多くの精査の下にもたらされました最近のハック- 彼らは塩を使用していましたが、ユーザーはより安全だったでしょう。
私の強力なパスワードは重要ですか?確かに!しかし、残念ながら、私たちはコンピューターが非常に速くなるため、多くの人が塩漬けのハッシュさえブルート力をかけることができるポイントに到達しました。かかることがありますとても虹のテーブルを使用するよりも長い間、長い時間がありますが、それでも実行可能です。これは、パスワードの強度が依然として重要であることを意味します。これは、長くて複雑なほど、ブルートフォース攻撃の割れに時間がかかるためです。
方法5:遅いハッシュ
それがどのように機能するか:現在、ほとんどのセキュリティの専門家はそうです遅いハッシュを指していますパスワードを保存するための最良のオプションとして。 MD5、SHA-1、SHA-256などのハッシュ関数は比較的高速です。パスワードを入力すると、結果がかなり迅速に返されます。ブルートフォースの攻撃では、時間が最も重要な要因です。遅いハッシュを使用することにより - bcryptアルゴリズム - 各パスワードが計算に時間がかかるため、ブルートフォースの攻撃にははるかに長くかかります。
私の強力なパスワードは重要ですか?繰り返しになりますが、強力なパスワードをブルートフォースが難しいため、強力なパスワードはここで間違いなく役立ちます。パスワードが強い場合、遅いハッシュで発見するのに非常に長い時間がかかる可能性があります。
パスワードが漏れているのを避けるにはどうすればよいですか?
それで、これはあなたにとって何を意味するのでしょうか?これがあなたがこの情報から奪うべきものです:
セキュリティが悪いサービスを使用しないでください。会社がパスワードをどのように保存するかを制御することはできませんが、あなたはできるサインアップするサービスを制御します。パスワードが侵害されているのに対してはるかに脆弱であるため、パスワードを保存するためにプレーンテキストまたは暗号化を使用するサービスにサインアップしないでください。彼らが何を使っているのかを知る良い方法、Web Service CloudFareによると、「失われたパスワード」リンクをクリックします。電子メールでパスワードを送信した場合、パスワード自体にアクセスでき、ハッシュされていないことを意味します。安全性の低いメソッドのいずれかを使用して保存される可能性があります。もちろん、いつでも電子メールを送信して尋ねたり、FAQをチェックして、彼らがその情報をボランティアで行ったかどうかを確認することができます。
強力なパスワードを使用します:上記で示したように、パスワードが強いほど、誰かがそれをクラックして迅速に使用できる可能性は低くなります。長さは複雑さよりも重要です。覚えておいてください:パスワードはクラック可能です。可能な限り長く服用してほしいだけです。それは私たちの次のポイントに私をもたらします:
違反の後、常にパスワードを変更します。たとえパスワードが強い場合でも、それはひび割れが不死身であるという意味ではありません。それは、非常に長い時間がかかる可能性が高いことを意味します。パスワードが弱い人は、漏れが発生していることに気付くまでにアカウントを既に侵害している可能性がありますが、パスワードが割れるのに数日かかる場合は、それを変更して、それを理解するまでに古いパスワードを役に立たなくする時間があります。
すべてのサイトに別のパスワードを使用します:あなたの場合アカウントごとに別のパスワードを使用します、そうすれば、これらのアカウントは、オンラインアカウントの1つが侵害されても安全を維持します。すべてのサイトで同じパスワードを使用する場合、1つのサイトの違反は、あなたにとってトラブルの世界全体を意味する場合があります。
サイトのセキュリティについて確信が持てない場合は、OAuthを使用してください:私たちは以前にOAuthについて話しました、Google、Facebook、またはTwitterアカウントを使用してログインできるプロトコル。サイトがどれほど安全であるかわからない場合は、OAuthを使用するオプションを提供してください。Google、Facebook、Twitterのセキュリティが向上する可能性があります。 Google、Facebook、Twitterアカウントへのアクセス。
リミックスされたタイトル画像パルサー。
