Наверное самая яркая новость недели – это информация о похищении базы данных паролей достаточно популярной социальной сети LinkedIN.
Новость, конечно, неприятная, я сам участник нескольких групп, но мне было любопытно как в рамках «свободного интернет сообщества» идет реагирование на инцидент.
Хочется сразу ограничить контекст и темы «наплевательское отношение» и «как же так» оставить для анализа другим.
Что нам стало известно?
Была похищена база данных, хранящая хеши паролей 6.5 миллионов пользователей, а для хэширования паролей, использовался алгоритм SHA-1 без «соли».
Что из этого следует?
1. Сегодня LinkedIn декларирует 150+ миллионов пользователей, таким образом было украдено пароли менее 4.5% пользователей
Микровывод: существует высокая вероятность, что наши с вами данные могли и не попасть в руки злоумышленников.
2. LinkedIn использовал хеширование.
Микровывод: это хорошо, так как просто прочесть пароли не удастся, необходимо проведение брут-форс атаки.
3. LinkedIn использывал алгоритм SHA-1 без «соли»
Микровывод: это не очень хорошо, мало того что сам SHA-1 уже давно требует «отставки», так для тех кто использовал «слабые» пароли, применение заранее подготовленных «радужных таблиц», вынудит расстаться со своими секретами очень быстро.
Сразу хочу оговориться, что пока не встречал упоминаний о радужных таблицах для SHA-1 для паролей сложнее, чем sha1_mixalpha-numeric#1-7. А следовательно, если у Вас «Большие и маленькие» + «символы» + «цифры» и пароль более скажем 9 символов, то пока переживать нечего.
Теперь хотелось бы посмотреть на советы: «Что делать?»
Превалирует совет: «Срочно измените пароль!»
Совет конечно неплохой, но не полный. Я бы его дополнил следующим образом:
«Необходимо срочно изменить пароль, и если вы успели его изменить, до официального признания «утечки» и следовательно (по крайней мере я так надеюсь) понимания «как утечка произошла», необходимо повторно изменить пароль после «официального признания», в противном случае «новый» пароль может постичь участь «старого».
Сегодня мы знаем, что инцидент официально подтвержден, и пароли «посолены».
Вывод? Так он прост:
от инцидентов ИБ никто не застрахован, поэтому каждый должен заботиться о своей безопасности самостоятельно. И если речь идет о паролях, то они должны быть уникальными для каждого ресурса и обязательно сильными!
А уж какие пароли точно точно не надо использовать, можно проверить здесь (не знаю как долго будет работать ссылка)
"А уж какие пароли точно точно не надо использовать, можно проверить здесь"
ВідповістиВидалитиугу, давайте пополним утекшую базу хешей теми хешами, которые еще не утекли ;)
:-) Придеться ссылку деактивировать...
Видалити