Вероятность того, что некоторые ваши данные были украдены. Вы когда-нибудь пользовались Yahoo? В 2013 году было похищено 3 миллиарда аккаунтов Yahoo. Посетите отель Marriott? За четырегода, с 2014 по 2018 год, было украдено 500 миллионов учетных записей Marriott. Удалось ли вам каким-то образом сохранить свой старый адрес Hotmail и раздражительный подростковый дух? 360 миллионов учетных записей MySpace взломаны. Используете MyFitnessPal? 150 миллионов аккаунтов.
Итак, что именно получили хакеры? Каждый взлом индивидуален, но они почти наверняка получили ваш адрес электронной почты, информацию о пользователе, записи вашей активности на сайте и, возможно, гораздо более опасные вещи. Однако есть и хорошие новости: многие из наиболее конфиденциальных данных, вероятно, были зашифрованы. Также велика вероятность, что он не былзашифрован, но давайте возьмем лучший сценарий кражи данных: ваша информация была украдена, но конфиденциальные данные были зашифрованы с помощью AES-256. Насколько это безопасно?
Что означает шифрование данных?
Под «шифрованием» в современной защите данных обычно понимается криптография на основе ключей. Короче говоря, вы вводите данные, которые хотите зашифровать, и ключ (строку букв, цифр и/или символов), который хотите использовать для их шифрования. Сочетание этих двух вещей создает беспорядок, который можно расшифровать только при использовании соответствующего ключа. Не следует путать с:
- Кодирование: для кодирования и декодирования данных используется один и тот же алгоритм, ключ не требуется. Это похоже на ASCII или Unicode – соверш
Contents
Что означает шифрование данных?
ref="https://saintist.ru/2014/08/24/chto-takoe-heshirovanie-paroley/" title="Хеширование">Хеширование : Процесс одностороннего шифрования, который дает один и тот же результат для идентичных входных данных, но оставляет совершенно разные результаты, если входные данные различаются хоть немного. Обычно это используется для управления паролями с помощью такого алгоритма, как SHA-256 или bcrypt.
Например:
| Метод | Текст |
|---|---|
| Кодировка (ASCII, десятичная) | Держите в секрете. Храните это в безопасности. |
| Шифрование (256-битное AES) | Держите это в секрете. Храните это в безопасности. |
| Хеширование (bcrypt) | Держите это в секрете. Берегите его. |
| Метод | С применением метода |
|---|---|
| Кодировка (ASCII, десятичная) | 75 101 101 112 32 105 116 32 115 101 99 114 101 116 46 32 75 101 101 112 32 105 116 32 115 97 102 46 |
| Шифрование (256-битное AES, ключ: Mellon) | ddg18josC+1ouYRjv5CfPoo jKJV+y3OLtxjIeCUsL+A= |
| Хеширование (bcrypt, двенадцать раундов) | $2y$12$3O1EiCPdVrqZFllHJ/ .q9eZzsyzqdmLMluqlQKO1A NtlYMva94.nS |
| Метод | Расшифрованный |
|---|---|
| Кодировка (ASCII, десятичное число) | Держите это в секрете. Храните это в безопасности. |
| Шифрование (256-битное AES) | Держите это в секрете. Берегите его. |
| Хеширование (bcrypt) | Невозможно расшифровать |
Двумя основными типами шифрования являются симметричное и асимметричное. Симметричное шифрование можно расшифровать с использованием того же ключа, который использовался для его шифрования, тогда как асимметричное шифрование требует одного ключа (открытого ключа) для шифрования и другого ключа (закрытого ключа) для расшифровки. Большинство современных методов шифрования являются асимметричными, поскольку иметь только один ключ для всей базы данных очень небезопасно.
Насколько безопасно шифрование? Можно ли его взломать?
Краткий ответ: да: шифрование можно взломать. Подход грубой силы, который, по сути, включает в себя множество предположений, пока одно из них не окажется верным, наверняка найдет правильный ответ, если иметь достаточно времени и вычислительной мощности. Учитывая наши текущие возможности, перебор AES-256 может занять до 3 сексдециллионов (3×1051) лет, и аналогичные цифры можно было бы применить ко многим широко используемым алгоритмам шифрования. В будущем квантовые компьютеры и другие достижения могут значительно снизить уровень безопасности шифрования, но на данный момент оно фактически непроницаемо.
Но это не делает шифрование надежным. Злоумышленники прекрасно понимают, что зашифрованные данные бесполезны без ключей, так что же им делать? Ключи. Самая катастрофическая утечка данных — это утечка зашифрованных данных иключей дешифрования. Если безопасность данных реализована правильно, ключи (несколько ключей для разных данных, возможно, для каждого пользователя) будут надежно храниться в отдельном от данных месте и, вероятно, сами будут зашифрованы. Кроме того, ключи необходимо будет безопасно расшифровывать и извлекать каждый раз, когда необходимо расшифровать некоторые данные, чтобы злоумышленники не могли их перехватить. Кроме того, ключи, вероятно, следует регулярно менять.
Если все это сделал сайт, с которого была украдена ваша информация, злоумышленники, вероятно, не завладели ключами, и ваши данные будут в безопасности до тех пор, пока не выгорит солнце или пока мы не изобретем гораздо более мощные компьютеры. Но какова вероятность того, что сайты действительно так делают, и какая часть ваших данных зашифрована даже в лучшем случае?
Кто и что шифрует?
Помните список утечек данных в начале этой статьи? Давайте проверим их еще раз.
| Нарушение | Год | Затронутые записи | Зашифровано | Не зашифровано | |||
|---|---|---|---|---|---|---|---|
| Yahoo | 2013/2014 | 3 миллиарда | – Хешированные пароли (в основном bcrypt, некоторые MD5) – Некоторые контрольные вопросы< Насколько безопасно шифрование? Можно ли его взломать?телефонов– Даты рождения |
||||
| Marriott | 2014–2018 | 3–500 миллионов | – 8,6 миллионов номеров кредитных карт – 20,3 миллионов номеров паспортов |
– Имена – Адреса – Даты рождения – Пол – Данные программы лояльности – Информация о бронировании – 5,25 миллиона номеров паспортов |
– Имена – Адреса – Даты рождения – Пол – Данные программы лояльности – Информация о бронировании – 5,25 миллиона номеров паспортов |
– Имена – Адреса – Даты рождения – Пол – Данные программы лояльности – Информация о бронировании – 5,25 миллиона номеров паспортов |
td> |
| MySpace | 2016 | 400 миллионов | Паролей (SHA-1, без соли) | – Адреса электронной почты – Имена пользователей |
|||
| MyFitnessPal | 2018 | 150 миллионов | Пароли (bcrypt, соленые и SHA-1) | – Имена пользователей – Адреса электронной почты – Пароли |
Этот список может быть очень и очень длинным, но вы поняли: по сути, единственное, что шифруется на большинстве сайтов, — это ваш пароль (который на самом деле хешируется) и платежная информация. Если это не сайт, который имеет дело с большим количеством конфиденциальной информации или не обеспечивает высокий уровень безопасности, утечка данных, вероятно, раскрыла изрядное количество вашей PII (личной информации). В основном это связано с тем, что шифрование и расшифровка данных требует гораздо больше вычислительной мощности, времени, усилий и денег, чем простое хранение их в виде открытого текста и предоставление их вам напрямую.
Однако даже зашифрованные данные в этих хаках не всегда были безопасными. Yahoo и MyFitnessPal использовали для своих паролей bcrypt, который является надежным стандартом шифрования, но они также использовали MD-5 и SHA-1 соответственно, в основном для старых учетных записей. Это гораздо более слабые алгоритмы хеширования. MySpace только что использовал несоленый SHA-1 для всего, что имеет смысл, но также означает, что ваш пароль почти наверняка утек. Yahoo также не уточнила, добавляли ли они соль в свои пароли в 2013 году (вероятно, нет), что делает их весьма уязвимыми для взлома.
Marriott даже потеряла 5,25 миллиона номеров паспортов в виде открытого текста, что нехорошо. Они явно знали, что их следует шифровать (в конце концов, 20 миллионов других так и сделали), но упустили 20 процентов своих клиентов. Они также зашифровали номера кредитных карт, но не уверены, получили ли хакеры ключ или нет.
Мораль этой истории: большая часть ваших данных не зашифрована, даже то, что, по вашему мнению, должнобыть зашифрованным.
Но мои данные были зашифрованы
Верно, значит, вы использовали веб-сайт с фантастической безопасностью, на котором зашифрована каждая крупица вашей информации. Они существуют — например, многие сайты хранения файлов (Dropbox, Google Drive) зашифровывают ваши файлы в своей базе данных. Если это так, то, пока их игра по хранению ключей была надежной, а эксперты по безопасности хорошо поработали с разработчиками, велика вероятность, что ваши данные останутся нетрону
Кто и что шифрует?
ступит тепловая смерть вселенной.Однако более вероятный сценарий заключается в том, что большая часть вашей информации была незашифрована, и даже конфиденциальная информация могла быть плохо хеширована или зашифрована с помощью ключа где-то в базе данных или в файловой системе. С этим мало что можно поделать, поскольку вам необходимо предоставлять компаниям свои данные, чтобы пользоваться их услугами, но вы можете постараться свести их к минимуму и не использовать пароли повторно!
И не забудьте проверить У меня есть IBeenPwned , чтобы узнать, не были ли ваши данные обнаружены в результате каких-либо нарушений.
Авторы изображений: Ключи шифрования с открытым ключом , Нарушение безопасности данных , Оранжево-синяя криптография с открытым ключом
