يعترف Slack بتسريب كلمات المرور المجزأة لمدة ثلاثة أشهر PlatoBlockchain Data Intelligence. البحث العمودي. عاي.

يعترف Slack بتسريب كلمات المرور المجزأة لمدة ثلاثة أشهر

الطابع الزمني: 8 آب (أغسطس) 2022 ، الساعة 11:14 صباحًا

by
بول داكلين

أداة التعاون الشهيرة Slack (يجب عدم الخلط بينها وبين لقب أقدم توزيعة Linux في العالم، Slackware) امتلكت للتو SNAFU للأمن السيبراني.

بحسب نشرة اخبارية بعنوان إشعار حول إعادة تعيين كلمة مرور Slack، اعترفت الشركة بأنها أفرطت عن غير قصد في مشاركة البيانات الشخصية "عندما قام المستخدمون بإنشاء أو إبطال رابط دعوة مشتركة لمساحة عملهم."

من 2022-04-17 إلى 2022-07-17 (نفترض أن كلا التاريخين شاملين) ، قال Slack أن البيانات المرسلة إلى مستلمي هذه الدعوات تضمنت ...

…انتظرها…

…ال كلمة مرور المرسل المجزأة.

ما الخطأ الذي حدث؟

لا يشرح تحذير أمان Slack الخرق بوضوح شديد ، حيث يقول ذلك فقط "لم تكن كلمة المرور المجزأة مرئية لأي من عملاء Slack ؛ اكتشاف ذلك يتطلب مراقبة نشطة لحركة مرور الشبكة المشفرة القادمة من خوادم Slack ".

نحن نخمن أن هذا يترجم على النحو التالي:

"لم يلاحظ معظم المستلمين أن البيانات التي تلقوها تتضمن أي معلومات كلمة مرور مجزأة ، لأن هذه المعلومات ، على الرغم من تضمينها في حزم الشبكة المرسلة ، لم يتم عرضها عليهم مطلقًا عن عمد. ونظرًا لأن البيانات تم إرسالها عبر اتصال TLS ، فلن يتمكن المتصنتون من اكتشافها على طول الطريق ، لأنه لن يتم فك تشفيرها حتى تصل إلى الطرف الآخر من الاتصال ".

هذا هو الخبر السار.

لكن حزم الشبكة غالبًا ما تتضمن بيانات لا يتم استخدامها أو رؤيتها من قبل المستلمين.

تعتبر رؤوس HTTP مثالًا جيدًا على ذلك ، نظرًا لأنها من المفترض أن تكون إرشادات لمتصفحك ، وليست بيانات للعرض في صفحة الويب التي تبحث عنها.

وغالبًا ما ينتهي الأمر بالبيانات غير ذات الصلة أو غير المرئية للمستخدمين في السجلات على أي حال ، خاصةً في سجلات جدار الحماية ، حيث يمكن الاحتفاظ بها إلى أجل غير مسمى.

هذه هي الأخبار السيئة.

ملح ، تجزئة وامتداد ...

وفقًا لسلاك ، لم تكن البيانات المسربة مجرد المجزأة، لكن مملح أيضًا ، مما يعني أنه تم خلط كلمة مرور كل مستخدم أولاً مع البيانات العشوائية الفريدة لهذا المستخدم قبل تطبيق وظيفة التجزئة.

التجزئة هي في الأساس وظائف رياضية "غير قابلة للعكس" يسهل حسابها في اتجاه واحد ، ولكن ليس في الاتجاه الآخر.

على سبيل المثال ، من السهل حساب ما يلي:

  SHA256("DUCK") = 7FB376..DEAD4B3AF008

لكن الطريقة الوحيدة للعمل "للخلف" من 7FB376..DEAD4B3AF008 إلى DUCK هو العمل إلى الأمام من كل كلمة ممكنة في القاموس ومعرفة ما إذا كان أي منها يأتي بالقيمة التي تحاول مطابقتها:

  SHA256 ("AARDVARK") = 5A9394..467731D0526A [X] SHA256 ("AARON") = C4DDDE..12E4CFE7B4FD [X] SHA256 ("ABACUS") = BEDDD8..1FE4DE25AAD7 [X]. . . تم تخطي 3400 SHA256 ("BABBLE") = 70E837..CEAD4B1FA777 [X] SHA256 ("BADGER") = 946D0D..7B3073C1C094 [X] SHA256 ("BAGPIPE") = 359DBE..BE193FCCB111 [X] . . تم تخطي 3200 SHA256 ("CABAL") = D78CF4..85BE02967565 [X] SHA256 ("CACHE") = C118F9..22F3269E7B32 [X] SHA256 ("CAGOULE") = 5EA530..5A26C5B56DCF [X]. . . تم تخطي 5400 SHA256 ("DAB") = BBCC8E..E8B98CAB5128 [X] SHA256 ("DAFFODIL") = 75121D..D6401AB24A98 [X] SHA256 ("الخطر") = 0BD727..4C86037BB065 [X]. . . تم تخطي 3500 SHA256 ("DUCK") =  7FB376..DEAD4B3AF008 [تم العثور عليها!]

ومن خلال تضمين ملح لكل مستخدم ، والذي لا يحتاج إلى أن يكون سريًا ، وفريدًا فقط لكل مستخدم ، فإنك تضمن أنه حتى إذا اختار مستخدمان نفس كلمة المرور ، فلن ينتهي بهما الأمر بنفس تجزئة كلمة المرور.

يمكنك أن ترى تأثير التمليح هنا ، عندما نقوم بتجزئة الكلمة DUCK بثلاث بادئات مختلفة:

  SHA256 ("RANDOM1-DUCK") = E355DB..349E669BB9A2 SHA256 ("RANDOM2-DUCK") = 13D538..FEA0DC6DBB5C <- يؤدي تغيير بايت إدخال واحد فقط إلى إنتاج تجزئة مختلفة تمامًا SHA256 ("ARXXQ3H-DUC52. .92A544208

هذا يعني أيضًا أنه لا يمكن للمهاجمين إنشاء قائمة مسبقة المحسوبة من التجزئة المحتملة ، أو إنشاء جدول لحسابات التجزئة الجزئية ، والمعروفة باسم طاولة قوس قزح، يمكن أن يؤدي ذلك إلى تسريع عملية فحص التجزئة. (سيحتاجون إلى قائمة تجزئة جديدة تمامًا ، أو مجموعة فريدة من طاولات قوس قزح ، لكل ملح ممكن.)

بمعنى آخر ، لا يمكن اختراق كلمات المرور المجزأة والمملحة بسهولة لاستعادة الإدخال الأصلي ، خاصةً إذا كانت كلمة المرور الأصلية معقدة ومختارة عشوائيًا.

ما لم يقله سلاك هو ما إذا كانوا قد فعلوا ذلك امتدت يتم تجزئة كلمة المرور أيضًا ، وإذا كان الأمر كذلك ، فكيف.

تمتد هو مصطلح اصطلاحي يعني تكرار عملية تجزئة كلمة المرور مرارًا وتكرارًا ، على سبيل المثال ، 100,000 مرة ، من أجل إطالة الوقت اللازم لتجربة مجموعة من كلمات القاموس مقابل تجزئة كلمة المرور المعروفة.

إذا استغرق الأمر ثانية واحدة لوضع 100,000 كلمة في القاموس من خلال عملية الملح والتجزئة البسيطة ، فيمكن للمهاجمين الذين يعرفون تجزئة كلمة المرور الخاصة بك تجربة 6 ملايين كلمة ومشتقات مختلفة في القاموس كل دقيقة ، أو أخذ أكثر من مليار تخمين كل ثلاث ساعات .

من ناحية أخرى ، إذا تم تمديد حسابات الملح والتجزئة لتستغرق ثانية واحدة لكل منها ، فإن التأخير لمدة ثانية واحدة عندما حاولت تسجيل الدخول لن يسبب لك أي إزعاج أو إزعاج ...

... ولكن سيقلل المهاجم إلى 3600 محاولة فقط في الساعة ، مما يقلل من احتمالية حصوله على الوقت الكافي لتخمين أي شيء عدا كلمات المرور الأكثر وضوحًا.

العديد من خوارزميات الملح والتجزئة المحترمة معروفة ، على وجه الخصوص PBKDF2, bcrypt, scrypt و Argon2، يمكن تعديلها جميعًا لزيادة الوقت اللازم لتجربة تخمينات كلمة المرور الفردية من أجل تقليل الجدوى لما يسمى بهجمات القاموس والقوة الغاشمة.

A هجوم القاموس يعني أنك تحاول استخدام كلمات مرور محتملة فقط ، مثل كل كلمة يمكنك التفكير فيها aardvark إلى zymurgy، ثم الاستسلام. أ هجوم القوة الغاشمة يعني تجربة كل مدخلات ممكنة ، حتى الغريبة وغير المنطوقة ، من AAA..AAAA إلى ZZZ..ZZZZ (او من 0000..000000 إلى FFFF..FFFFFF إذا كنت تفكر في مصطلحات سداسية عشرية بايت بايت).

ماذا ستفعلين.. إذًا؟

سلاك يقول ذلك عن 1 من 200 من مستخدميها (0.5٪ ، يُفترض أنه يعتمد على سجلات عدد روابط الدعوة المشتركة التي تم إنشاؤها في فترة الخطر) ، وأنه سيجبر هؤلاء المستخدمين على إعادة تعيين كلمات المرور الخاصة بهم.

بعض النصائح الإضافية:

  • إذا كنت من مستخدمي Slack ، فيمكنك أيضًا إعادة تعيين كلمة المرور الخاصة بك حتى إذا لم يتم إعلامك من قبل الشركة للقيام بذلك. عندما تعترف إحدى الشركات بأنها كانت مهملة فيما يتعلق بقاعدة بيانات كلمات المرور الخاصة بها عن طريق تسريب التجزئة، فمن الأفضل أن تفترض أن بياناتك قد تأثرت، حتى لو كانت الشركة تعتقد أن الأمر لم يكن كذلك. بمجرد تغيير كلمة المرور الخاصة بك، فإنك تجعل التجزئة القديمة عديمة الفائدة للمهاجمين.
  • إذا كنت لا تستخدم مدير كلمات المرور ، ففكر في الحصول على واحد. يساعد مدير كلمات المرور على اختر كلمات المرور المناسبة، وبالتالي ضمان أن تنتهي كلمة المرور الخاصة بك بعيدًا جدًا في قائمة كلمات المرور التي قد يتم اختراقها في حادث مثل هذا. لا يستطيع المهاجمون عادةً القيام بهجوم حقيقي بالقوة الغاشمة ، نظرًا لوجود عدد كبير جدًا من كلمات المرور الممكنة لتجربتها. لذلك ، فإنهم يجربون كلمات المرور الأكثر احتمالاً أولاً ، مثل الكلمات أو مجموعات الكلمات والأرقام الواضحة ، ويزداد طولها وتعقيدًا مع استمرار الهجوم. يمكن لمدير كلمات المرور أن يتذكر كلمة مرور عشوائية مكونة من 20 حرفًا بنفس سهولة تذكر اسم قطتك.
  • قم بتشغيل 2FA إذا استطعت. 2FA أو المصادقة الثنائية، يعني أنك لا تحتاج فقط إلى كلمة المرور لتسجيل الدخول ، بل تحتاج أيضًا إلى رمز لمرة واحدة يتغير في كل مرة. عادةً ما يتم إرسال هذه الرموز (أو يتم إنشاؤها بواسطة) هاتفك المحمول ، وتكون صالحة فقط لبضع دقائق لكل منها. هذا يعني أنه حتى إذا قام المخترقون الإلكترونيون باختراق كلمة مرورك ، فلن يكفيهم بمفردهم الاستيلاء على حسابك.
  • اختر خوارزمية ذات سمعة جيدة للتجزئة والتمدد عند التعامل مع كلمات المرور بنفسك.. في حالة انتهاك قاعدة بيانات كلمة المرور الخاصة بك ، ستتمكن من تزويد عملائك بتفاصيل دقيقة عن الخوارزمية وإعدادات الأمان التي استخدمتها. سيساعد هذا المستخدمين المطلعين على الحكم بأنفسهم على مدى احتمالية اختراق تجزئاتهم المسروقة في الوقت المتاح للمهاجمين حتى الآن.

الطابع الزمني:

اكثر من الأمن عارية