Por que as empresas ainda armazenam senhas em texto simples?
Várias empresas admitiram recentemente armazenar senhas em formato de texto simples. Isso é como armazenar uma senha no Bloco de Notas e salvá-la como um arquivo .txt. As senhas devem ser salgadas e hash por segurança, então por que isso não acontece em 2019?
Por que as senhas não devem ser armazenadas em texto puro
designer491 / Shutterstock
Quando uma empresa armazena senhas em texto simples, qualquer pessoa com o banco de dados de senhas— ou qualquer outro arquivo em que as senhas estejam armazenadas - podem lê-las. Se um hacker conseguir acesso ao arquivo, ele poderá ver todas as senhas.
Armazenar senhas em texto simples é uma prática terrível. As empresas devem usar senhas salgadas e hashing, que é outra maneira de dizer “adicionar dados extras à senha e depois embaralhar de uma maneira que não pode ser revertida”. Normalmente, isso significa que mesmo que alguém roube as senhas de um banco de dados, elas está inutilizável. Quando você faz o login, a empresa pode verificar se a sua senha corresponde à versão embaralhada armazenada - mas eles não podem "retroceder" no banco de dados e determinar sua senha.
Então, por que as empresas armazenam senhas em texto simples ? Infelizmente, às vezes as empresas não levam a segurança a sério. Ou eles escolhem comprometer a segurança em nome da conveniência. Em outros casos, a empresa faz tudo certo ao armazenar sua senha. Mas eles podem adicionar recursos de criação de log excessivamente zelosos, que registram senhas em texto simples.
Várias empresas têm senhas armazenadas incorretamente
Você pode já ser afetado por práticas inadequadas porque Robinhood, Google, Facebook, O GitHub, o Twitter e outros armazenavam senhas em texto simples.
No caso do Google, a empresa estava codificando e salgando senhas adequadamente para a maioria dos usuários. Mas as senhas da conta do G Suite Enterprise eram armazenadas em texto simples. A empresa disse que isso era uma prática que restava quando dava aos administradores de domínio ferramentas para recuperar senhas. Se o Google tivesse armazenado corretamente as senhas, isso não seria possível. Somente um processo de redefinição de senha funciona para recuperação quando as senhas são armazenadas corretamente.
Quando o Facebook também admitiu o armazenamento de senhas em texto simples, não deu a causa exata do problema. Mas você pode deduzir o problema de uma atualização posterior:
... descobrimos que registros adicionais de senhas do Instagram são armazenados em um formato legível.
Às vezes, uma empresa fará tudo certo ao inicialmente armazenar sua senha. Em seguida, adicione novos recursos que causam problemas. Além do Facebook, Robinhood, Github e Twitter acidentalmente registraram senhas de texto simples.
O registro é útil para encontrar problemas em aplicativos, hardware e até mesmo código do sistema. Mas se uma empresa não testar esse recurso de registro completamente, isso pode causar mais problemas para resolver.
No caso do Facebook e Robinhood, quando os usuários forneceram seu nome de usuário e senha para entrar, a função de logging podia ver e gravar os nomes de usuários e senhas conforme eles eram digitados. Em seguida, armazenou esses registros em outro lugar. Qualquer pessoa que tenha acesso a esses registros tem tudo o que precisa para assumir uma conta.
Em raras ocasiões, uma empresa como a T-Mobile Australia pode desconsiderar a importância da segurança, às vezes em nome da conveniência. Em uma troca do Twitter desde então excluída, um representante da T-Mobile explicou a um usuário que a empresa armazena senhas em texto simples. O armazenamento de senhas dessa maneira permitia que os representantes do atendimento ao cliente vissem as primeiras quatro letras de uma senha para fins de confirmação. Quando outros usuários do Twitter apontaram adequadamente o quão ruim seria se alguém invadisse os servidores da empresa, o representante respondeu:
E se isso não acontecer porque a nossa segurança é incrivelmente boa?
A empresa excluiu esses tweets e depois anunciou que todas as senhas seriam salgadas e com hash em breve. Mas não demorou muito para que a empresa viesse a violar seus sistemas. A T-Mobile disse que as senhas roubadas foram criptografadas, mas isso não é tão bom quanto as senhas de hash.
Como as empresas devem armazenar senhas
As empresas devem nunca armazene senhas de texto simples. Em vez disso, as senhas devem ser salgadas e, em seguida, hash. É importante saber o que é salgar e a diferença entre criptografia e hashing.
Salgar adiciona texto extra à sua senha
Salgar senhas é um conceito direto. O processo essencialmente adiciona texto extra à senha que você forneceu.
Pense nisso como adicionar números e letras ao final da sua senha normal. Em vez de usar "Senha" para sua senha, você pode digitar "Password123" (nunca use uma dessas senhas). Salgar é um conceito similar: antes que o sistema coloque sua senha, ela adiciona um texto extra.
Assim, mesmo que um hacker invada um banco de dados e roube dados do usuário, será muito mais difícil determinar o que a senha real é. O hacker não saberá qual parte é salgada e qual parte é a senha.
As empresas não devem reutilizar dados salgados de senha para senha. Caso contrário, pode ser roubado ou quebrado e, portanto, inutilizado. A variação adequada dos dados salgados também evita colisões (mais sobre isso posteriormente).
A criptografia não é a opção apropriada para senhas
O próximo passo para armazenar corretamente sua senha é alterá-la. O hash não deve ser confundido com criptografia.
Quando você criptografa dados, você os transforma um pouco com base em uma chave. Se alguém conhece a chave, eles podem alterar os dados de volta. Se você já jogou com um anel decodificador que disse "A = C", você criptografou os dados. Sabendo que "A = C", você pode descobrir que a mensagem era apenas um comercial do Ovaltine.
Se um hacker invadir um sistema com dados criptografados e conseguir roubar a chave de criptografia também, suas senhas podem também ser texto simples.
Hashing transforma sua senha em gibber
O hash de senha transforma fundamentalmente sua senha em uma string de texto ininteligível. Qualquer um que olhasse para um hash veria algo sem sentido. Se você usou "Password123", o hashing pode alterar os dados para "873kldk # 49lkdfld # 1". Uma empresa deve colocar sua senha antes de armazená-la em qualquer lugar, dessa forma ela nunca registra sua senha.
Essa natureza do hashing faz com que seja um método melhor para armazenar sua senha do que a criptografia. Enquanto você pode descriptografar dados criptografados, não é possível "desassociar" dados. Assim, se um hacker invadir um banco de dados, ele não encontrará uma chave para desbloquear os dados com hash.
Em vez disso, eles terão que fazer o que uma empresa faz quando você envia sua senha. Salgue uma palpite de senha (se o hacker souber qual sal usar), use o hash e compare-o com o hash do arquivo para uma correspondência. Quando você envia sua senha ao Google ou ao seu banco, eles seguem as mesmas etapas. Algumas empresas, como o Facebook, podem até aceitar “adivinhações” extras para dar conta de um erro de digitação.
Os hackers podem acabar quebrando os dados com hash, mas é principalmente um jogo de testar todas as senhas imagináveis e esperar por um Combine. O processo ainda leva tempo, o que lhe dá tempo para se proteger.
O que você pode fazer para proteger contra violações de dados
Você não pode evitar empresas de lidar incorretamente com suas senhas. E infelizmente, é mais comum do que deveria ser. Mesmo quando as empresas armazenam corretamente sua senha, os hackers podem violar os sistemas da empresa e roubar os dados com hash.
Dada essa realidade, você nunca deve reutilizar as senhas. Em vez disso, você deve fornecer uma senha complicada diferente para todos os serviços que você usa. Dessa forma, mesmo que um invasor encontre sua senha em um site, ele não poderá usá-la para fazer login em suas contas em outros sites. Senhas complicadas são incrivelmente importantes porque quanto mais fácil for adivinhar sua senha, mais cedo um hacker pode romper o processo de hash. Ao tornar a senha mais complicada, você ganha tempo para minimizar os danos.
O uso de senhas exclusivas também minimiza esse dano. No máximo, o hacker terá acesso a uma conta e você poderá alterar uma única senha com mais facilidade do que dezenas. Senhas complicadas são difíceis de lembrar, por isso recomendamos um gerenciador de senhas. Os gerenciadores de senhas geram e lembram senhas para você, e você pode ajustá-los para seguir as regras de senha de praticamente qualquer site.
Alguns, como o LastPass e o 1Password, oferecem serviços que verificam se suas senhas atuais estão comprometidas.
Outra boa opção é habilitar a autenticação em duas etapas. Dessa forma, mesmo se um hacker comprometer sua senha, você ainda poderá impedir o acesso não autorizado a suas contas.
Embora não seja possível impedir uma empresa de manipular incorretamente suas senhas, você pode minimizar as consequências protegendo adequadamente suas senhas e contas.
RELACIONADO: Por que você deve usar um gerenciador de senhas e como começar
Via: How to Geek
Nenhum comentário