Насколько защищены ваши украденные зашифрованные данные?
Оглавление
Скорее всего, некоторые ваши данные были украдены. Вы когда-нибудь использовали Yahoo? В 2013 году было похищено 3 миллиарда аккаунтов Yahoo. Посетите отель Marriott? 500 миллионов учетных записей Marriott были украдены за четыре года, 2014 2018. Удалось ли вам как-то удержать свой старый адрес Hotmail и острый подростковый дух? Взломано 360 миллионов учетных записей MySpace. Использовать MyFitnessPal? 150 миллионов аккаунтов.
Итак, что именно получили хакеры? Каждый хак отличается, но они почти наверняка получили ваш адрес электронной почты, информацию о пользователе, записи вашей активности на сайте и, возможно, гораздо более опасные вещи.
Хорошая новость: многие из наиболее важных данных, вероятно, были зашифрованы. Есть также хороший шанс, что он не был зашифрован, но давайте возьмем самый лучший сценарий кражи данных: ваша информация была украдена, но важные данные были зашифрованы с помощью AES-256. Насколько это безопасно?
Что означает шифрование данных?
«Шифрование» в современной безопасности данных обычно относится к криптографии на основе ключей. Короче говоря, вы вводите данные, которые хотите зашифровать, и ключ (последовательность букв, цифр и / или символов), который хотите использовать для его шифрования. Сочетание этих двух вещей создает беспорядочный беспорядок, который может быть расшифрован только при использовании соответствующего ключа. Его не следует путать с:
- Кодировка: для кодирования и декодирования данных используется один и тот же алгоритм, ключ не требуется. Это похоже на ASCII или Unicode — совершенно небезопасно.
- Хеширование: односторонний процесс шифрования, который дает одинаковый результат для идентичных входных данных, но оставляет очень разные результаты, если входные данные изменяются даже немного. Обычно это используется для управления паролями с помощью алгоритма, такого как SHA-256 или bcrypt.
Например:
MethodTextEncoding (ASCII, десятичный). Храните его в секрете. Держите это в безопасности. Шифрование (AES 256-bit) Храните это в секрете. Держите это в безопасности. Хеширование (bcrypt) Держите это в секрете. Держите его в безопасности. Метод С методом примененияЭнкодирование (ASCII, десятичное число) 75 101 101 112 32 105 116 32 115 101 99 114 101 116 46 32 75 101 101 112 32 105 116 32 115 97 102 101 46Экширование (AES 256-бит, ключ: Mellon ) ddg18josC + 1ouYRjv5CfPoo
jKJV + y3OLtxjIeCUsL + A = Хеширование (bcrypt, двенадцать раундов) Держите это в секрете. Держите это в безопасности. Шифрование (AES 256-bit) Храните это в секрете. Держите его в безопасности. Хеширование (bcrypt) Невозможно расшифровать.
Два основных типа шифрования — симметричное и асимметричное. Симметричное шифрование может быть расшифровано с использованием того же ключа, который использовался для его шифрования, в то время как асимметричное шифрование требует один ключ (открытый ключ) для шифрования и другой ключ (закрытый ключ) для дешифрования. Большинство современных методов шифрования асимметричны, поскольку наличие всего одного ключа для всей базы данных очень небезопасно.
Насколько надежно шифрование? Может ли оно быть взломано?
Короткий ответ: да, шифрование может быть взломано.Подход с использованием грубой силы, который в основном включает в себя множество предположений до тех пор, пока кто-то не окажется правильным, определенно найдет правильный ответ, если уделить достаточно времени и вычислительной мощности. Учитывая наши текущие возможности, брутфорсинг AES-256 может занять до 3 полдекиллионов (31051) лет, и аналогичные числа могут быть привязаны ко многим широко используемым алгоритмам шифрования. В будущем квантовые компьютеры и другие достижения могут значительно снизить уровень защищенного шифрования, но в то же время он фактически непробиваем.
Но это не делает шифрование надежным. Злоумышленники хорошо знают, что зашифрованные данные бесполезны без ключей, так что же им делать? Ключи. Наиболее катастрофическое возможное нарушение данных — это то, что зашифрованные данные и ключи дешифрования украдены. Если защита данных реализуется правильно, ключи (несколько ключей для разных данных, вероятно, для каждого пользователя) будут надежно храниться в отдельном месте от данных и, вероятно, должны быть зашифрованы сами. Кроме того, ключи необходимо будет надежно расшифровывать и извлекать каждый раз, когда необходимо расшифровать некоторые данные, чтобы злоумышленники не могли их перехватить. Вдобавок ко всему, ключи, вероятно, следует регулярно менять.
Если сайт, с которого украли вашу информацию, сделал все это, злоумышленники, вероятно, не получили ключи, и ваши данные в безопасности до солнце сгорает или мы изобретаем гораздо более мощные компьютеры.Но каковы шансы того, что сайты действительно делают это, и какая часть ваших данных зашифрована даже в лучшем случае?
Кто шифрует и что шифрует?
Помните этот список нарушений данных в начале этой статьи? Давайте проверим их еще раз.
BreachYearActed recordsEncryptedNot encryptedYahoo2013 / 20143 млрд. Хэшированные пароли (в основном bcrypt, некоторые MD5)
Некоторые вопросы безопасности Имена
Адреса электронной почты
Номера телефонов
BirthdatesMarriott2014-20183-500 миллионов 8,6 миллиона номеров кредитных карт
20,3 миллиона номеров паспортов Имена
Адреса
Дата рождения
Пол
Данные программы лояльности
Информация о бронировании
5,25 млн. номеров паспортовMySpace2016400 млн. Пароли (SHA-1, без засолки) Адреса электронной почты
UsernamesMyFitnessPal2018150 млнПароли (bcrypt, соленые, и SHA-1) Имена пользователей
Адреса электронной почты
Пароли
Этот список может быть очень, очень длинным, но вы понимаете: в основном, единственное, что шифруется на большинстве сайтов это ваш пароль (который на самом деле хешируется) и информация об оплате. Если это не сайт, который имеет дело с большим количеством конфиденциальной информации или обладает высокой степенью безопасности, нарушение ваших данных, вероятно, выявило значительный объем вашей PII (Личной информации).Это происходит главным образом потому, что шифрование и дешифрование требует гораздо больше вычислительных ресурсов, времени, усилий и денег, чем просто хранение их в виде открытого текста и предоставление их непосредственно вам.
Даже зашифрованные данные в этих хакерах не были но всегда в безопасности. Yahoo и MyFitnessPal использовали bcrypt для своих паролей, что является строгим стандартом шифрования, но они также использовали MD-5 и SHA-1 соответственно, в основном для старых учетных записей. Это гораздо более слабые алгоритмы хеширования. MySpace просто использовал несоленый SHA-1 для всего, что имеет смысл, но также означает, что ваш пароль почти наверняка утек. У Yahoo также не было ясности относительно того, что они отправили свои пароли еще в 2013 году (вероятно, нет), что делает их довольно уязвимыми для взлома.
Marriott даже потерял 5,25 миллиона незашифрованных паспортных номеров, что является нехорошо. Они четко знали, что должны шифровать их (в конце концов, 20 миллионов других), но отбросили мяч на 20 процентов своих клиентов. Они также зашифровали номера кредитных карт, но не уверены, получили ли хакеры ключ или нет.
Мораль этой истории: большая часть ваших данных не зашифрована, даже то, что вы думаете на самом деле должно быть.
Но мои данные были зашифрованы
Верно, так что вы использовали веб-сайт с фантастической безопасностью, который шифровал каждый последний бит вашей информации. Они существуют — многие сайты хранения файлов (Dropbox, Google Drive), например, зашифруют ваши файлы в своей базе данных.Если это так, то пока их ключевая игра для хранения данных была сильной, а их эксперты по безопасности хорошо поработали с разработчиками, вполне вероятно, что ваши данные останутся нетронутыми до тепловой смерти вселенной.
Более вероятный сценарий, тем не менее, заключается в том, что большая часть вашей информации была зашифрована, и даже конфиденциальная информация могла быть плохо хеширована или зашифрована с помощью ключа где-то в базе данных или в файловой системе. Вы ничего не можете с этим поделать, поскольку вам нужно предоставить компаниям свои данные для использования их услуг, но вы можете попытаться свести их к минимуму — и не использовать пароли повторно!
Не забудьте проверить HaveIBeenPwned, чтобы увидеть, не всплыли ли ваши данные в результате каких-либо нарушений.
