गंभीर सुरक्षा: MD5 को हानिकारक माना जाता है - $600,000 तक

फ्रांसीसी डेटा संरक्षण नियामक CNIL द्वारा सौंपे गए एक आकर्षक कानूनी विचार-विमर्श में (कम्प्यूटिंग और स्वतंत्रता के लिए राष्ट्रीय आयोग), ऊर्जा कंपनी इलेक्ट्रीसाइट डी फ्रांस, या संक्षेप में EDF, रही है 600,000 यूरो का जुर्माना लगाया (लगभग $ 600,000)।

कानूनी घोषणा, ऐसी चीजों के तरीके में, बल्कि लंबी और (गैर-वकीलों के लिए, कम से कम) भाषाई रूप से ओरोटंड है, जिसका अर्थ है कि आपको मामले के सभी अंदरूनी और बाहरी को समझने के लिए फ्रेंच में उचित दक्षता की आवश्यकता है, लेकिन समग्र मामला चार उल्लंघनों तक उबाल जाता है।

पहले तीन ग्राहकों के साथ सामान्य डेटा-संबंधी अंतःक्रियाओं से संबंधित हैं, जिनमें शामिल हैं:

• वाणिज्यिक विपणन ईमेल भेजना उचित सहमति के बिना।
• डेटा एकत्र करना क्या या क्यों स्पष्ट किए बिना।
• अनुरोधों को भरोसेमंद तरीके से हैंडल नहीं करना जब ग्राहकों ने अपने डेटा को देखने या इसे हटाने के लिए कहा।

लेकिन यह आखिरी शिकायत है जिसने हमारी दिलचस्पी को जगाया: सुर ले मैनक्वेमेंट ए ल'ऑब्लिगेशन डी'एश्योरर ला सेक्यूरिटे डेस डोनीस।

अंग्रेजी में, यह शिथिल रूप से अनुवाद करता है डेटा को सुरक्षित रूप से स्टोर करने में विफलता, और विशेष रूप से पासवर्ड की असुरक्षित हैंडलिंग से संबंधित है।

MD5 हानिकारक माना जाता है

नियामक ने, अन्य बातों के अलावा, यह दावा करने के बावजूद कि यह एक स्वीकृत हैशिंग एल्गोरिथम का उपयोग करते हुए पासवर्ड को साल्टिंग और फिर हैश करने का दावा करता है, EDF के पास अभी भी जुलाई 25,000 तक एकल MD5 हैश के साथ 2022 से अधिक उपयोगकर्ताओं के पासवर्ड "सुरक्षित" थे।

जैसा कि आपने कई बार नेक सिक्योरिटी के बारे में सुना होगा कि पासवर्ड का क्रिप्टोग्राफ़िक हैश इसका मतलब है कि आप पासवर्ड को मान्य कर सकते हैं जब इसे केवल उसके हैश की पुनर्गणना करके और मूल रूप से चुने गए पासवर्ड के हैश के साथ तुलना करके प्रस्तुत किया जाता है।

यदि हैश मेल खाता है, तो आप सुरक्षित रूप से अनुमान लगा सकते हैं कि पासवर्ड वास्तविक पासवर्ड को स्टोर करने की आवश्यकता के बिना मेल खाते हैं।

जब प्रस्तुत किया जाता है, तो पासवर्ड को केवल अस्थायी रूप से मेमोरी में रखने की आवश्यकता होती है, और जैसे ही इसकी हैश की गणना की जाती है, इसे छोड़ दिया जा सकता है।

जब तक हैशिंग एल्गोरिदम को क्रिप्टोग्राफ़िक रूप से सुरक्षित माना जाता है, तब तक यह उपयोगी रूप से "रिवर्स इन रन" नहीं हो सकता है, इसलिए आप पासवर्ड के बारे में कुछ भी प्रकट करने के लिए हैश से पीछे की ओर काम नहीं कर सकते। (इस प्रकार के एक हैश को शब्दजाल में a के रूप में जाना जाता है एक तरह से समारोह.)

इसी तरह, एक सभ्य हैशिंग एल्गोरिदम आपको एक ज्ञात हैश से शुरू करने और कुछ इनपुट मान तैयार करने से रोकता है - कोई इनपुट, जरूरी नहीं कि मूल पासवर्ड - जो वांछित हैश उत्पन्न करता है।

आपको भाग्यशाली होने तक इनपुट के बाद इनपुट करने की आवश्यकता होगी, जो कि 128 बिट्स के हैश के लिए भी एक व्यावहारिक हमला होने में बहुत लंबा समय लेगा। (सुरक्षा एहतियात के साथ एक हैश आपको एक ही आउटपुट के साथ कई इनपुटों का पता लगाने की अनुमति नहीं देता है टक्कर प्रतिरोधी.)

लेकिन एमडी 5, जैसा कि आप शायद जानते हैं, टक्करों के साथ महत्वपूर्ण समस्याएं हैं, जैसा कि इसकी है तत्काल उत्तराधिकारी SHA-1 (ये दोनों हैश 1990 के दशक की शुरुआत में सामने आए)।

इन दिनों, कहीं भी, किसी के द्वारा, किसी भी उद्देश्य के लिए किसी भी एल्गोरिदम के उपयोग की अनुशंसा नहीं की जाती है, यह देखते हुए कि समान लेकिन अभी भी सुरक्षित विकल्प हैं जिन्हें आसानी से उन्हें बदलने के लिए उपयोग किया जा सकता है, जैसे कि SHA-256 और SHA-512:

MD5 हैश 128 बिट या 16 बाइट लंबा है। SHA-256 और SHA-512 क्रमशः 2x और 4x लंबे हैं। लेकिन यह केवल यह अतिरिक्त हैश लंबाई नहीं है जो उन्हें अधिक उपयुक्त बनाती है। MD5 पर उनका प्राथमिक लाभ यह है कि उन्हें टक्करों के साथ कोई विशिष्ट ज्ञात समस्या नहीं है, इसलिए परिणामस्वरूप उनकी क्रिप्टोग्राफ़िक सुरक्षा को आम तौर पर संदिग्ध नहीं माना जाता है।

नमकीन बनाना और खींचना

संक्षेप में, आप किसी भी कंपनी से अपेक्षा नहीं करेंगे, EDF जैसे ऊर्जा क्षेत्र के दिग्गज को छोड़ दें, किसी भी क्रिप्टोग्राफ़िक उद्देश्य के लिए MD5 का उपयोग करने के लिए, पासवर्ड हासिल करने के लिए अकेले रहने दें।

हालाँकि, इससे भी बदतर, की कमी थी रेह, जहां प्रत्येक उपयोगकर्ता के लिए बेतरतीब ढंग से चुने गए डेटा का एक हिस्सा उसके हैश की गणना करने से पहले पासवर्ड के साथ मिलाया जाता है।

नमक का कारण सरल है: यह सुनिश्चित करता है कि संभावित पासवर्ड के हैश मान की गणना पहले से नहीं की जा सकती है और फिर किसी हमले में मदद के लिए साथ लाया जा सकता है।

बिना नमस्कार किए, हर बार कोई भी उपयोगकर्ता पासवर्ड चुनता है 123456, बदमाशों को पहले से पता होता है कि इसका हैश क्या होगा।

भले ही उपयोगकर्ता अधिक उपयुक्त पासवर्ड चुनता है, जैसे 34DF6467!Lqa9, आप पहले ही बता सकते हैं कि इसका MD5 हैश होगा 7063a00e 41866d47 f6226e60 67986e91.

यदि आपके पास पहले से कंप्यूटेड पासवर्ड या आंशिक रूप से कंप्यूटेड पासवर्ड की एक लंबी पर्याप्त सूची है (बल्कि शब्दजाल में एक के रूप में शानदार रूप से जाना जाता है) इंद्रधनुष की मेज), आप भाग्यशाली होने तक खरबों पासवर्ड संयोजनों को आजमाने के बजाय तालिका के माध्यम से पासवर्ड पुनर्प्राप्त करने में सक्षम हो सकते हैं।

साल्टिंग का मतलब है कि आपको एक पूर्ण, पूर्व-गणना की गई इंद्रधनुष तालिका की आवश्यकता होगी प्रत्येक उपयोगकर्ता के लिए (तालिका नमक + पासवर्ड के संयोजन द्वारा निर्धारित की जाती है), और आप प्रत्येक इंद्रधनुष तालिका की गणना करने में सक्षम नहीं होंगे - एक कार्य जिसमें कई सप्ताह लग सकते हैं और डिस्क स्थान के टेराबाइट्स पर कब्जा कर सकते हैं - जब तक कि आप वैसे भी लवण को पुनर्प्राप्त नहीं कर लेते,

लेकिन आपको और भी बहुत कुछ करना है।

यहां तक ​​​​कि अगर आप एक नमक शामिल करते हैं, तो पूर्व-गणना "हैश शब्दकोशों" का उपयोग नहीं किया जा सकता है, और आप SHA-512 जैसे एक विश्वसनीय क्रिप्टोग्राफ़िक एल्गोरिथ्म का उपयोग करते हैं, अकेले एक हैश गणना पर्याप्त रूप से त्वरित है कि हमलावरों ने हैश का डेटाबेस प्राप्त कर लिया है अभी भी एक सेकंड में अरबों संभावित पासवर्ड आजमाएं, या इससे भी अधिक।

तो आपको जो कहा जाता है उसका उपयोग करना चाहिए खींच साथ ही, जहां आप न केवल प्रारंभिक पासवर्ड को नमक करते हैं, बल्कि फिर हैशिंग एल्गोरिदम के माध्यम से इनपुट को लूप में हजारों बार या उससे अधिक बार पास करते हैं, इस प्रकार किसी भी बदमाश के लिए हमलों में काफी अधिक समय लगता है जो कोशिश करना चाहते हैं।

बार-बार जोड़ने के विपरीत, जहां आप 5+5+5+5+5+5 को 6×5 के साथ बदलने के लिए शॉर्टकट के रूप में एक गुणन का उपयोग कर सकते हैं, दोहराए गए हैश के लिए कोई शॉर्टकट नहीं हैं। किसी इनपुट को 1000 बार हैश करने के लिए क्रिप्टोग्राफ़िक गणना हैंडल के 1000 "टर्न" की आवश्यकता होती है।

सिर्फ एक MD5 समस्या नहीं

विडंबना यह है कि ऐसा लगता है कि हालांकि EDF के पास केवल MD25,800 के साथ हैश किए गए 5 पासवर्ड थे, और अपने बचाव में दावा किया कि यह ज्यादातर SHA-512 का उपयोग कर रहा था, फिर भी यह संग्रहीत हैश को हमेशा नमकीन या खींच नहीं रहा था।

नियामक रिपोर्ट करता है कि 11,200,000 पासवर्ड सही ढंग से नमकीन और हैश किए गए थे, लेकिन फिर भी 2,400,000 ऐसे थे जिन्हें केवल एक बार सीधे हैश किया गया था, चाहे MD5 या SHA-512 के साथ।

जाहिरा तौर पर, EDF को अब अपना पासवर्ड स्टोरेज स्क्रैच तक मिल गया है, लेकिन कंपनी पर वैसे भी EUR 600,000 का जुर्माना लगाया गया था, और अगले दो वर्षों के लिए CNIL के "शरारती कदम" पर सार्वजनिक रूप से ऑनलाइन सूचीबद्ध रहेगा।

हम निश्चित नहीं हो सकते हैं कि यदि निर्णय में केवल खराब हैशिंग शामिल होती तो कितना जुर्माना लगाया जाता, और EDF को प्रारंभ में सूचीबद्ध तीन अन्य डेटा सुरक्षा अपराधों के लिए भी जवाब नहीं देना पड़ता ...

...लेकिन यह दिखाता है कि खराब क्रिप्टोग्राफ़िक विकल्प आपको एक से अधिक तरीकों से पैसा खर्च कर सकते हैं!

क्या करना है?

अपने ग्राहकों के पासवर्ड स्टोर करें सुरक्षित रूप से!

सैलिंग-एंड-स्ट्रेचिंग की अतिरिक्त कम्प्यूटेशनल लागत को चुना जा सकता है ताकि व्यक्तिगत उपयोगकर्ताओं को लॉगिन करते समय असुविधा न हो, फिर भी हमलावरों की हमले की गति परिमाण के कई आदेशों से बढ़ जाती है।

एक पासवर्ड रिकवरी अटैक जिसमें साधारण एक-शॉट हैश के रूप में संग्रहीत 10% पासवर्ड निकालने में एक सप्ताह लग सकता है, सिद्धांत रूप में, यदि आप प्रत्येक परीक्षण पासवर्ड की गणना की लागत को 200 गुना कठिन बनाते हैं तो 10,000 साल (10,000 सप्ताह) लगेंगे .

हमारे पढ़ें उत्कृष्ट व्याख्याता लेख इसी विषय पर:

संक्षेप में, हम अनुशंसा करते हैं PBKDF2 "स्ट्रेचिंग" एल्गोरिथम के साथ SHA-256 इसके मूल हैश के रूप में, प्रति उपयोगकर्ता यादृच्छिक के साथ salt of 16 bytes (128 बिट्स) या अधिक।

यह सीएनआईएल के नवीनतम फैसले की सिफारिशों से मेल खाता है।

CNIL PBKDF2 पुनरावृत्तियों की संख्या के लिए सलाह नहीं देता है, लेकिन जैसा कि आप हमारे लेख में देखेंगे, हमारी सलाह (अक्टूबर 2022) उपयोग करने की है 200,000 or more. (कंप्यूटिंग शक्ति में वृद्धि के साथ बनाए रखने के लिए आप लूप की संख्या नियमित रूप से बढ़ा सकते हैं।)

यदि आप PBKDF2 का उपयोग नहीं करना चाहते हैं, तो हम एल्गोरिदम पर पढ़ने का सुझाव देते हैं bcrypt, scrypt और Argon2 आपको एक बुद्धिमान विकल्प बनाने में मदद करने के लिए।

क्रिप्टोग्राफ़िक शरारती कदम के झांसे में न आएं!

---