স্ল্যাক তিন মাসের জন্য হ্যাশ করা পাসওয়ার্ড ফাঁস করার কথা স্বীকার করেছে

জনপ্রিয় সহযোগিতা টুল স্ল্যাক (বিশ্বের দীর্ঘতম চলমান লিনাক্স ডিস্ট্রো, স্ল্যাকওয়্যারের ডাকনামের সাথে বিভ্রান্ত হবেন না) সবেমাত্র একটি সাইবার নিরাপত্তা SNAFU এর মালিকানা পেয়েছে।

শিরোনামের একটি সংবাদ বুলেটিনে এ তথ্য জানানো হয়েছে স্ল্যাক পাসওয়ার্ড রিসেট সম্পর্কে বিজ্ঞপ্তি, কোম্পানি স্বীকার করেছে যে এটি অসাবধানতাবশত ব্যক্তিগত ডেটা ওভারশেয়ার করেছে "যখন ব্যবহারকারীরা তাদের কর্মক্ষেত্রের জন্য একটি ভাগ করা আমন্ত্রণ লিঙ্ক তৈরি বা প্রত্যাহার করে।"

2022-04-17 থেকে 2022-07-17 পর্যন্ত (আমরা ধরে নিই যে উভয় তারিখই অন্তর্ভুক্ত), স্ল্যাক বলেছেন যে এই ধরনের আমন্ত্রণগুলির প্রাপকদের পাঠানো ডেটা অন্তর্ভুক্ত ছিল...

…এটার জন্য অপেক্ষা কর…

…দ্য প্রেরকের হ্যাশ করা পাসওয়ার্ড.

কি ভুল ছিল?

স্ল্যাকের নিরাপত্তা উপদেষ্টা লঙ্ঘনটি খুব স্পষ্টভাবে ব্যাখ্যা করে না, কেবল এটি বলে “[t]তার হ্যাশ করা পাসওয়ার্ড কোনো স্ল্যাক ক্লায়েন্টের কাছে দৃশ্যমান ছিল না; এটি আবিষ্কার করার জন্য স্ল্যাকের সার্ভার থেকে আসা এনক্রিপ্ট করা নেটওয়ার্ক ট্র্যাফিক সক্রিয়ভাবে পর্যবেক্ষণ করা প্রয়োজন।"

আমরা অনুমান করছি যে এটি নিম্নরূপ অনুবাদ করে:

“বেশিরভাগ প্রাপক লক্ষ্য করেননি যে তারা যে ডেটা পেয়েছেন তাতে হ্যাশ করা পাসওয়ার্ডের তথ্য অন্তর্ভুক্ত ছিল, কারণ সেই তথ্য, যদিও পাঠানো নেটওয়ার্ক প্যাকেটগুলিতে অন্তর্ভুক্ত ছিল, ইচ্ছাকৃতভাবে তাদের কাছে কখনই প্রদর্শিত হয়নি। এবং যেহেতু ডেটা টিএলএস সংযোগের মাধ্যমে পাঠানো হয়েছিল, তাই ইভড্রপাররা এটিকে শুঁকে বের করতে সক্ষম হবে না, কারণ এটি সংযোগের অন্য প্রান্তে না পৌঁছানো পর্যন্ত এটি ডিক্রিপ্ট করা হবে না।"

এটাই সুসংবাদ।

কিন্তু নেটওয়ার্ক প্যাকেটগুলিতে প্রায়ই এমন ডেটা অন্তর্ভুক্ত থাকে যা প্রাপকদের দ্বারা সাধারণত ব্যবহৃত হয় না বা দেখা যায় না।

এইচটিটিপি শিরোলেখগুলি এর একটি ভাল উদাহরণ, এটি আপনার ব্রাউজারে নির্দেশনা হিসাবে বোঝানো হয়েছে, আপনি যে ওয়েব পৃষ্ঠাটি দেখছেন তাতে প্রদর্শনের জন্য ডেটা নয়।

এবং ব্যবহারকারীদের কাছে অপ্রাসঙ্গিক বা অদৃশ্য ডেটা প্রায়শই লগগুলিতে শেষ হয়, বিশেষ করে ফায়ারওয়াল লগগুলিতে, যেখানে এটি অনির্দিষ্টকালের জন্য সংরক্ষণ করা যেতে পারে।

এটা খারাপ খবর.

লবণ, হ্যাশ এবং প্রসারিত…

স্ল্যাকের মতে, ফাঁস হওয়া তথ্য নিছক ছিল না হ্যাশকিন্তু নোনতা এছাড়াও, যার অর্থ হ্যাশ ফাংশন প্রয়োগ করার আগে প্রতিটি ব্যবহারকারীর পাসওয়ার্ড প্রথমে সেই ব্যবহারকারীর জন্য অনন্য র্যান্ডম ডেটার সাথে মিশ্রিত হয়েছিল।

হ্যাশগুলি মূলত "নন-রিভার্সিবল" গাণিতিক ফাংশন যা এক দিক থেকে গণনা করা সহজ, কিন্তু অন্য দিকে নয়।

উদাহরণস্বরূপ, এটি গণনা করা সহজ:

  SHA256("DUCK") = 7FB376..DEAD4B3AF008

কিন্তু কাজ করার একমাত্র উপায় “পেছন দিকে” থেকে 7FB376..DEAD4B3AF008 থেকে DUCK কাজ করতে হয় সম্মুখে অভিধানের প্রতিটি সম্ভাব্য শব্দ থেকে এবং দেখুন যে আপনি যে মানটি মেলানোর চেষ্টা করছেন সেগুলির মধ্যে কোনটি আসে কিনা:

  SHA256("AARDVARK") = 5A9394..467731D0526A [X] SHA256("AARON") = C4DDDE..12E4CFE7B4FD [X] SHA256("ABACUS") = BEDDD8..1FE4 . . 25 এড়িয়ে গেছে SHA7("BABBLE") = 3400E256..CEAD70B837FA4 [X] SHA1("BADGER") = 777D256D..946B0C7C3073 [X] SHA1("BAGPIPE") = .094B256BE359BE] = 193B111BE . . 3200 এড়িয়ে গেছে SHA256("CABAL") = D78CF4..85BE02967565 [X] SHA256("ক্যাচে") = C118F9..22F3269E7B32 [X] SHA256("CAGOULE") = 5EA530DC..5A26. . . 5 এড়িয়ে গেছে SHA56("DAB") = BBCC5400E..E256B8CAB8 [X] SHA98("DAFFODIL") = 5128D..D256AB75121A6401 [X] SHA24("ডেঞ্জার") = 98BDC256] . . 0 এড়িয়ে গেছে SHA727("DUCK") =  7FB376..DEAD4B3AF008 [পাওয়া গেছে!]

এবং প্রতি-ব্যবহারকারীর লবণ অন্তর্ভুক্ত করে, যা গোপন থাকার প্রয়োজন নেই, প্রতিটি ব্যবহারকারীর জন্য শুধুমাত্র অনন্য, আপনি নিশ্চিত করুন যে দুই ব্যবহারকারী একই পাসওয়ার্ড বেছে নিলেও, তারা একই পাসওয়ার্ড হ্যাশের সাথে শেষ হবে না।

আপনি এখানে লবণের প্রভাব দেখতে পারেন, যখন আমরা শব্দটি হ্যাশ করি DUCK তিনটি ভিন্ন উপসর্গ সহ:

  SHA256("RANDOM1-DUCK") = E355DB..349E669BB9A2 SHA256("RANDOM2-DUCK") = 13D538..FEA0DC6DBB5C <-- শুধুমাত্র একটি ইনপুট বাইট পরিবর্তন করলে একটি সম্পূর্ণ ভিন্ন রকমের হ্যাশ তৈরি হয়। .256A3

এর মানে হল যে আক্রমণকারীরা সম্ভাব্য হ্যাশগুলির একটি পূর্বনির্ধারিত তালিকা তৈরি করতে পারে না, বা আংশিক হ্যাশ গণনার একটি টেবিল তৈরি করতে পারে না, যা হিসাবে পরিচিত রংধনু টেবিল, যে হ্যাশ চেকিং ত্বরান্বিত করতে পারেন. (প্রতিটি সম্ভাব্য লবণের জন্য তাদের একটি নতুন হ্যাশলিস্ট বা রংধনু টেবিলের একটি অনন্য সেট প্রয়োজন।)

অন্য কথায়, মূল ইনপুট পুনরুদ্ধার করার জন্য হ্যাশ-এবং-সল্ট করা পাসওয়ার্ড তুচ্ছভাবে ক্র্যাক করা যাবে না, বিশেষ করে যদি আসল পাসওয়ার্ডটি জটিল এবং এলোমেলোভাবে নির্বাচিত হয়।

স্ল্যাক যা বলেননি তা হল তারা করবে কিনা টানা পাসওয়ার্ড হ্যাশ, খুব, এবং যদি তাই হয়, কিভাবে.

Stretching একটি জার্গন শব্দ যার অর্থ হল পাসওয়ার্ড হ্যাশিং প্রক্রিয়া বারবার পুনরাবৃত্তি করা, উদাহরণস্বরূপ, 100,000 বার, পরিচিত পাসওয়ার্ড হ্যাশের বিরুদ্ধে অভিধানের শব্দগুলির একটি গুচ্ছ চেষ্টা করার জন্য প্রয়োজনীয় সময় বাড়ানোর জন্য।

যদি একটি সাধারণ লবণ-এবং-হ্যাশ প্রক্রিয়ার মাধ্যমে 100,000টি অভিধানের শব্দ স্থাপন করতে এক সেকেন্ড সময় লাগে, তাহলে আক্রমণকারীরা যারা আপনার পাসওয়ার্ড হ্যাশ জানে তারা প্রতি মিনিটে 6 মিলিয়ন ভিন্ন অভিধানের শব্দ এবং ডেরিভেটিভ চেষ্টা করতে পারে, অথবা প্রতি তিন ঘণ্টায় এক বিলিয়নেরও বেশি অনুমান করতে পারে। .

অন্যদিকে, যদি লবণ-এবং-হ্যাশ গণনাগুলিকে এক সেকেন্ডের জন্য প্রসারিত করা হয়, তাহলে আপনি লগ ইন করার চেষ্টা করার সময় অতিরিক্ত এক-সেকেন্ড বিলম্ব আপনার জন্য সামান্য বা কোন বিরক্তির কারণ হবে না...

…কিন্তু একজন আক্রমণকারীকে এক ঘন্টায় মাত্র 3600 ট্রাই করে ফেলবে, যার ফলে তারা সবচেয়ে সুস্পষ্ট পাসওয়ার্ড ছাড়া অন্য কিছু অনুমান করার জন্য যথেষ্ট সময় পাবে এমন সম্ভাবনা অনেক কম।

বেশ কিছু সম্মানিত লবণ-হ্যাশ-এন্ড-স্ট্রেচ অ্যালগরিদম পরিচিত, উল্লেখযোগ্যভাবে PBKDF2, bcrypt, scrypt এবং Argon2, যার সবকটি নির্দিষ্ট পাসওয়ার্ড অনুমান করার চেষ্টা করার জন্য প্রয়োজনীয় সময় বাড়ানোর জন্য সামঞ্জস্য করা যেতে পারে কার্যক্ষমতা হ্রাস করা তথাকথিত অভিধান এবং নৃশংস শক্তি আক্রমণের।

A অভিধান আক্রমণ মানে আপনি শুধুমাত্র সম্ভাব্য পাসওয়ার্ড চেষ্টা করছেন, যেমন প্রতিটি শব্দ যা থেকে আপনি ভাবতে পারেন aardvark থেকে zymurgy, এবং তারপর ছেড়ে দেওয়া. ক নৃশংস শক্তি আক্রমণ প্রতিটি সম্ভাব্য ইনপুট চেষ্টা করার মানে, এমনকি অদ্ভুত এবং unnouncable বেশী, থেকে AAA..AAAA থেকে ZZZ..ZZZZ (বা থেকে 0000..000000 থেকে FFFF..FFFFFF যদি আপনি হেক্সাডেসিমেল বাইট-বাই-বাইট পদে চিন্তা করেন)।

কি করো?

স্ল্যাক সম্পর্কে যে বলেন এর ব্যবহারকারীদের মধ্যে 1 জনের মধ্যে 200 জন (0.5%, সম্ভবত বিপদের সময় কতগুলি ভাগ করা আমন্ত্রণ লিঙ্ক তৈরি হয়েছিল তার রেকর্ডের উপর ভিত্তি করে), এবং এটি সেই ব্যবহারকারীদের তাদের পাসওয়ার্ড পুনরায় সেট করতে বাধ্য করবে।

আরও কিছু পরামর্শ:

• আপনি যদি একজন স্ল্যাক ব্যবহারকারী হন, তাহলে আপনি আপনার পাসওয়ার্ড রিসেট করতে পারেন এমনকি যদি আপনাকে কোম্পানির দ্বারা এটি করার জন্য অবহিত না করা হয়। যখন একটি কোম্পানি স্বীকার করে যে এটি হ্যাশ ফাঁস করে তার পাসওয়ার্ড ডাটাবেসের সাথে অসতর্ক ছিল, তখন আপনি অনুমান করতে পারেন যে আপনারটি প্রভাবিত হয়েছিল, এমনকি যদি কোম্পানি মনে করে যে এটি ছিল না। যত তাড়াতাড়ি আপনি আপনার পাসওয়ার্ড পরিবর্তন, আপনি আক্রমণকারীদের জন্য পুরানো হ্যাশ অকেজো করে.
• আপনি যদি একটি পাসওয়ার্ড ম্যানেজার ব্যবহার না করেন, তাহলে একটি পাওয়ার কথা বিবেচনা করুন। একটি পাসওয়ার্ড ম্যানেজার সাহায্য করে সঠিক পাসওয়ার্ড বেছে নিন, এইভাবে নিশ্চিত করে যে আপনার পাসওয়ার্ডটি পাসওয়ার্ডের তালিকার অনেক নিচে শেষ হয় যা এইরকম একটি ঘটনায় ক্র্যাক হতে পারে। আক্রমণকারীরা সাধারণত সত্যিকারের ব্রুট ফোর্স অ্যাটাক করতে পারে না, কারণ চেষ্টা করার জন্য অনেকগুলি সম্ভাব্য পাসওয়ার্ড রয়েছে। সুতরাং, তারা প্রথমে সম্ভাব্য পাসওয়ার্ডগুলি চেষ্টা করে, যেমন শব্দ বা স্পষ্ট শব্দ এবং সংখ্যার সংমিশ্রণ, আক্রমণটি এগিয়ে যাওয়ার সাথে সাথে দীর্ঘ এবং আরও জটিল হয়ে উঠছে। একজন পাসওয়ার্ড ম্যানেজার একটি এলোমেলো, 20-অক্ষরের পাসওয়ার্ড মনে রাখতে পারে যত সহজে আপনি আপনার বিড়ালের নাম মনে রাখতে পারেন।
• পারলে 2FA চালু করুন। 2FA, বা দুই ফ্যাক্টর প্রমাণীকরণ, মানে লগইন করার জন্য আপনার শুধুমাত্র আপনার পাসওয়ার্ড নয়, একটি এক-কালীন কোডও প্রয়োজন যা প্রতিবার পরিবর্তিত হয়। এই কোডগুলি সাধারণত আপনার মোবাইল ফোনে পাঠানো হয় (বা তৈরি করা হয়) এবং প্রতিটি মাত্র কয়েক মিনিটের জন্য বৈধ। এর মানে হল যে সাইবারক্রুকরা আপনার পাসওয়ার্ড ক্র্যাক করলেও, আপনার অ্যাকাউন্ট দখল করা তাদের পক্ষে যথেষ্ট নয়।
• পাসওয়ার্ড নিজে পরিচালনা করার সময় একটি সম্মানজনক লবণ-হ্যাশ-এন্ড-স্ট্রেচ অ্যালগরিদম বেছে নিন।. দুর্ভাগ্যজনক ঘটনা যে আপনার পাসওয়ার্ড ডাটাবেস লঙ্ঘন হয়ে যায়, আপনি আপনার গ্রাহকদের অ্যালগরিদম এবং আপনি যে নিরাপত্তা সেটিংস ব্যবহার করেছেন তার সুনির্দিষ্ট বিবরণ দিতে সক্ষম হবেন৷ এটি সুপরিচিত ব্যবহারকারীদের নিজেদের জন্য বিচার করতে সাহায্য করবে যে তাদের চুরি করা হ্যাশগুলি এখনও পর্যন্ত আক্রমণকারীদের কাছে উপলব্ধ সময়ে ক্র্যাক হওয়ার সম্ভাবনা কতটা সম্ভব।

---