Слабое звено безопасности
https://stackoverflow.com/questions/1759809
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я прочитал массу информации о хешировании и солении паролей, о том, что можно, а что нельзя и т. д.Проблема, которую я вижу, заключается в следующем:Если хакер собирается попытаться украсть список хешированных паролей, разве у него не будет доступа ко всем данным, защищенным паролем?Это как хранить комбинацию в сейфе, в сейф.Взлом и кража комбинации.Если бы я был вором, я бы взял деньги.
Сейчас у крупной компании наверняка есть отдельный сервер только для аутентификации.Однако хакеру нужны данные, а не пароли.Итак, если оба сервера равны, я бы взломал тот, на котором хранятся данные.
Есть ли какой-то основной недостаток компьютерной безопасности, который мне здесь не хватает?Существуют ли несоциальные способы взлома пароля без хеш-файла?
Спасибо за вашу помощь.
--Дэйв
Решение
Вы предполагаете, что такой человек имеет доступ ко всей базе данных.Это не всегда так.Они могли наткнуться на страницу, где хеши случайно доступны пользователям (и, следовательно, не иметь доступа к другим частям БД), или они могли использовать SQL-инъекцию для извлечения определенных данных ограниченным способом (например, они могли догадаться, что ваша таблица пользователей называется users, но не то, что ваша таблица кредитных карт называется lolcats).
Еще одним фактором безопасности являются ваши внутренние ИТ-специалисты.Разработчики, имеющие законный доступ к базе данных, как правило, не должны видеть пароли всех пользователей в открытом виде.
Другие советы
Одна из причин заключается в том, что большинство пользователей имеют один и тот же пароль для нескольких учетных записей.Нехешированный пароль означает, что мои учетные записи на других сайтах могут быть скомпрометированы, тем более что электронная почта является общим полем для входа в систему.Хешируя пароли, если на сайте украдена база данных, я защищен от одновременного взлома моей учетной записи электронной почты.
Большинство пользователей будут повторно использовать пароли в нескольких системах.Если злоумышленник проникнет в вашу систему, вы не хотите, чтобы он мог использовать ваши данные для взлома учетных записей ваших пользователей на разных веб-сайтах.
Кроме того, если вы зашифруете данные с использованием пароля пользователя и сохраните только хэш пароля, то злоумышленник не сможет ничего сделать, даже если он получит всю вашу базу данных, если только он не сможет взломать хэши.Обратите внимание, что это сделает совершенно невозможным реализацию функции «забыли пароль», если у вас нет способа расшифровать данные с помощью секретного ответа (что фактически делает его вторым паролем).
