Мы часто видим новости о серьезных нарушениях безопасности, таких как ebay и другие в apple.

Как разработчик, я знаю важность посола и хэширования паролей. Предполагая, что эти высокотехнологичные компании следуют передовой практике, не должно быть никакого способа (без нескольких сотен лет работы на суперкомпьютере, по крайней мере), чтобы любой, кто украл данные пользователей, мог вычислить оригинальные пароли.

Гораздо больший риск представляет личная информация, такая как имена / адреса / секретные вопросы и ответы.

Почему компании и информационные агентства часто советуют пользователям менять свои пароли?

2 ответа2

2

Безопасность сводится к минимизации риска. Сказав вам сменить пароль после атаки, они гарантируют, что сделали все возможное, чтобы обеспечить безопасность системы. Таким образом, вы не сможете вернуться и подать в суд на них за потерю данных после взлома, так как они сказали вам сменить пароль. Например, недавно в результате взлома данных Target несколько банков подали в суд на Target за то, что он не проявил должной осмотрительности и не обеспечил надлежащую защиту системы, что привело к мошенническим обвинениям в случае взлома.(1)

В минимизацию рисков входит осознание того, что всегда есть какой-то новый способ получения данных, например, использование облачной инфраструктуры, такой как Amazon, для проведения атак методом перебора (2). Если у кого-то есть данные, они в конечном итоге выяснят это, и хорошая практика - предположить, что они были нарушены.

В качестве аналогии, скажем, владелец многоквартирного здания украл свой ящик для ключей, но ни один из ключей не был помечен. Никто из арендаторов не станет сомневаться в том, что замки юнитов будут изменены, даже если кому-то понадобится много времени, чтобы взломать юнит, попробовав все ключи. Владелец здания будет нести ответственность, если что-либо будет украдено из квартир, пока они не будут изменены.

Источники:

(1) http://www.reuters.com/article/2014/03/26/us-target-trustwave-lawsuit-idUSBREA2P0B020140326

(2) http://www.infoworld.com/t/data-security/amazon-ec2-enables-brute-force-attacks-the-cheap-148447

1

Потому что существуют разные виды уязвимостей. Некоторые уязвимости позволяют злоумышленнику, который украл хэши паролей, получить доступ к данным / сервисам / ... защищенного пользователя, просто предоставив хэш, а не реальный пароль.

Это означает, что даже без грубого хэширования в течение нескольких дней, месяцев и месяцев злоумышленник может найти способ передать хэш напрямую в систему и позволить себе войти. Если обнаружена уязвимость, которая потенциально допускает такой сценарий, то консультирование пользователей по изменению своих паролей является важным шагом. Изменение пароля сделает все украденные хеши недействительными.

Это не случается слишком часто все же. Я бы поспорил о слове всегда в вашем вопросе. Я часто видел сообщения от компаний, в которых говорилось, что уязвимость устранена, и нет необходимости менять пароль.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .