211service.com
Smart kryptografi kan hjälpa till att begränsa skadorna från MyFitnessPal-megabrottet
ZDNet
Det ser inte bra ut för Under Armour. Klädjätten och ägaren av diet-spårningsappen MyFitnessPal bara lidit ett av de största dataintrången i cybersäkerhetshistorien, där hackare kommer undan med information inklusive användarnamn, e-postadresser och lösenord som är associerade med cirka 150 miljoner konton.
Men alla hack är inte lika katastrofala, och det här kan visa sig vara mindre skadligt än några andra enorma läckor tack vare Under Armours användning av en teknik som kallas bcrypt för att skydda många av de stulna lösenorden.
För att förstå varför bcrypt är viktigt, hjälper lite bakgrund om kryptografiska försvar. Det grundläggande tillvägagångssättet för att skydda lösenord involverar hash, som omvandlar dem till slumpmässiga teckensträngar lagrade i en databas. När någon loggar in med ett lösenord i vanlig text, kontrolleras den hashade versionen av detta mot hashen av lösenordet som hämtas från databasen; om det finns en matchning beviljas åtkomst. Om hackare bryter sig in i databasen får de bara hasharna, inte de faktiska lösenorden.
Hashes är inte designade för att omvandlas till vanlig text, men det hindrar inte skurkarna från att försöka. Bland taktiken de använder är ordboksattacker, som innebär att hasha vanliga lösenord och fraser för att se om dessa matchar den krypterade data som har stulits, och brute-force-attacker, som försöker alla möjliga kombinationer av tecken upp till en given längd för att reda ut en hash .
För att göra hackares liv svårare använder smarta försvarare ofta salting, som är kryptotalande för att lägga till slumpmässigt genererade tecken till ett vanlig textlösenord innan det hashas. Detta säkerställer att inga två lösenord kan ha samma hash. Även om saltning är en förbannelse för hackare, kan de fortfarande försöka bryta individualiserade chiffer med hjälp av brute-force och ordboksattacker.
Det är där bcrypt kommer in. Förutom att använda saltning förlänger det den tid det tar att köra en hashfunktion genom att kräva flera beräkningsomgångar för att få ett resultat. Det är medvetet utformat för att vara kolossalt långsamt, förklarar Paul Kocher, senior teknikrådgivare på Rambus och en välkänd kryptografiexpert.
Långsamt här mäts fortfarande i millisekunder, så påverkan på användarens upplevelse av att logga in på en app eller webbplats är knappt märkbar. Men även mycket små förseningar kan frustrera hackare som använder avancerad datorhårdvara för att försöka köra igenom miljarder hash i sekunden. Teknik som bcrypt ger företag mer tid att reagera på ett intrång, och användare mer tid att ändra sina lösenord. Under Armour var smart att använda bcrypt, men varför den inte tillämpade det på alla lösenord som är associerade med MyFitnessApp är fortfarande ett mysterium. (De som inte omfattas av det skyddades med en svagare hashfunktion känd som SHA-1.)
Det faktum att bcrypt bara kan fördröja hackare, inte omintetgöra dem helt och hållet, betyder att det fortfarande är väldigt viktigt att byta lösenord snabbt om du får ett meddelande om att en tjänst du använder har brutits, och att undvika att använda samma lösenord i flera applikationer. Det är också därför det lönar sig att använda svåra att gissa lösenord snarare än vanliga som snabbt kan tas bort av hash-cracking hackare.