211service.com
Intelligente Kryptografie kann helfen, den Schaden durch die Megabreach von MyFitnessPal zu begrenzen
ZDNet
Es sieht nicht gut aus für Under Armour. Der Bekleidungsriese und Besitzer der Diät-Tracking-App MyFitnessPal nur gelitten eine der größten Datenschutzverletzungen in der Geschichte der Cybersicherheit, bei der Hacker mit Informationen wie Benutzernamen, E-Mail-Adressen und Passwörtern, die mit etwa 150 Millionen Konten verbunden sind, davonkommen.
Aber nicht alle Hacks sind gleichermaßen katastrophal, und dieser könnte sich als weniger schädlich herausstellen als einige andere große Leaks, da Under Armour eine Technologie namens bcrypt verwendet, um viele der gestohlenen Passwörter abzuschirmen.
Um zu verstehen, warum bcrypt wichtig ist, helfen einige Hintergrundinformationen zu kryptografischen Verteidigungen. Der grundlegende Ansatz zum Schutz von Passwörtern beinhaltet Hashing, das sie in zufällige Zeichenfolgen umwandelt, die in einer Datenbank gespeichert sind. Wenn sich jemand mit einem Klartext-Passwort anmeldet, wird dessen gehashte Version mit dem aus der Datenbank abgerufenen Hash seines Passworts verglichen; Bei Übereinstimmung wird der Zugriff gewährt. Wenn Hacker in die Datenbank einbrechen, erhalten sie nur die Hashes, nicht die eigentlichen Passwörter.
Hashes sind nicht dafür ausgelegt, in Klartext umgewandelt zu werden, aber das hält die Bösewichte nicht davon ab, es zu versuchen. Zu den Taktiken, die sie verwenden, gehören Wörterbuchangriffe, bei denen gängige Passwörter und Phrasen gehasht werden, um zu sehen, ob diese mit den verschlüsselten Daten übereinstimmen, die gestohlen wurden, und Brute-Force-Angriffe, bei denen jede mögliche Kombination von Zeichen bis zu einer bestimmten Länge versucht wird, um einen Hash zu enträtseln .
Um Hackern das Leben schwerer zu machen, verwenden intelligente Verteidiger oft Salting, eine Kryptosprache, bei der zufällig generierte Zeichen an ein Klartextpasswort angehängt werden, bevor es gehasht wird. Dadurch wird sichergestellt, dass keine zwei Passwörter den gleichen Hash haben können. Während Salting für Hacker ein Fluch ist, können sie dennoch versuchen, individualisierte Chiffren mit Brute-Force- und Wörterbuchangriffen zu brechen.
Hier kommt bcrypt ins Spiel. Neben der Verwendung von Salting verlängert es die Zeit, die zum Ausführen einer Hash-Funktion benötigt wird, indem mehrere Berechnungsrunden erforderlich sind, um zu einem Ergebnis zu gelangen. Es ist absichtlich so konzipiert, dass es kolossal langsam ist, erklärt Paul Kocher, Senior Technology Advisor bei Rambus und ein bekannter Kryptografie-Experte.
Langsam wird hier immer noch in Millisekunden gemessen, sodass die Auswirkung auf die Erfahrung des Benutzers beim Anmelden bei einer App oder Website kaum wahrnehmbar ist. Aber selbst sehr kleine Verzögerungen können Hacker frustrieren, die High-End-Computerhardware verwenden, um zu versuchen, Milliarden von Hashes pro Sekunde zu durchlaufen. Technologien wie bcrypt geben Unternehmen mehr Zeit, auf Sicherheitslücken zu reagieren, und Benutzern mehr Zeit, ihre Passwörter zu ändern. Under Armour war schlau, bcrypt zu verwenden, obwohl es ein Rätsel bleibt, warum es nicht auf alle mit MyFitnessApp verbundenen Passwörter angewendet wurde. (Diejenigen, die nicht davon abgedeckt sind, wurden mit einer schwächeren Hashing-Funktion namens SHA-1 geschützt.)
Die Tatsache, dass bcrypt Hacker nur verzögern kann, aber nicht vollständig vereiteln kann, bedeutet, dass es immer noch sehr wichtig ist, Passwörter schnell zu ändern, wenn Sie benachrichtigt werden, dass ein Dienst, den Sie verwenden, verletzt wurde, und zu vermeiden, dasselbe Passwort für mehrere Anwendungen zu verwenden. Aus diesem Grund lohnt es sich auch, schwer zu erratende Passwörter zu verwenden, anstatt gebräuchliche, die von Hash-Cracking-Hackern schnell entschlüsselt werden können.