سلیک نے تین مہینوں تک ہیشڈ پاس ورڈ لیک ہونے کا اعتراف کیا۔

Popular collaboration tool Slack (not to be confused with the nickname of the world’s longest-running Linux distro, Slackware) has just owned up to a cybersecurity SNAFU.

کے عنوان سے ایک نیوز بلیٹن کے مطابق سلیک پاس ورڈ ری سیٹ کے بارے میں نوٹس، کمپنی نے اعتراف کیا کہ وہ نادانستہ طور پر ذاتی ڈیٹا کو اوور شیئر کر رہی ہے۔ "جب صارفین نے اپنے ورک اسپیس کے لیے مشترکہ دعوتی لنک بنایا یا منسوخ کیا۔"

2022-04-17 سے 2022-07-17 تک (ہم فرض کرتے ہیں کہ دونوں تاریخیں شامل ہیں)، سلیک نے کہا کہ اس طرح کے دعوت ناموں کے وصول کنندگان کو بھیجے گئے ڈیٹا میں شامل ہے…

…اس کے لئے انتظار…

… بھیجنے والے کا ہیش شدہ پاس ورڈ.

کیا غلط تھا

سلیک کی سیکیورٹی ایڈوائزری اس خلاف ورزی کی واضح طور پر وضاحت نہیں کرتی ہے، صرف یہ کہہ رہی ہے۔ "[t]اس کا ہیش شدہ پاس ورڈ کسی بھی سلیک کلائنٹ کو نظر نہیں آتا تھا۔ اسے دریافت کرنے کے لیے سلیک کے سرورز سے آنے والے انکرپٹڈ نیٹ ورک ٹریفک کی فعال طور پر نگرانی کی ضرورت ہے۔

ہم اندازہ لگا رہے ہیں کہ اس کا ترجمہ اس طرح ہوتا ہے:

"زیادہ تر وصول کنندگان نے یہ نہیں دیکھا ہوگا کہ انہیں جو ڈیٹا موصول ہوا ہے اس میں پاس ورڈ کی کوئی بھی ہیش شدہ معلومات شامل ہے، کیونکہ یہ معلومات، اگرچہ بھیجے گئے نیٹ ورک پیکٹ میں شامل ہے، انہیں جان بوجھ کر کبھی نہیں دکھایا گیا تھا۔ اور چونکہ ڈیٹا کو ایک TLS کنکشن پر بھیجا گیا تھا، اس لیے eavesdroppers اسے راستے میں سونگھنے میں کامیاب نہیں ہو پاتے، کیونکہ جب تک یہ کنکشن کے دوسرے سرے تک نہیں پہنچ جاتا اسے ڈکرپٹ نہیں کیا جائے گا۔

یہ خوشخبری ہے۔

لیکن نیٹ ورک پیکٹ میں اکثر وہ ڈیٹا شامل ہوتا ہے جو عام طور پر کبھی استعمال یا وصول کنندگان کے ذریعہ نہیں دیکھا جاتا ہے۔

HTTP ہیڈر اس کی ایک اچھی مثال ہیں، یہ دیکھتے ہوئے کہ ان کا مقصد آپ کے براؤزر کے لیے ہدایات ہیں، نہ کہ آپ جس ویب صفحہ کو دیکھ رہے ہیں اس میں ڈسپلے کے لیے ڈیٹا۔

اور وہ ڈیٹا جو صارفین کے لیے غیر متعلقہ یا پوشیدہ ہے اکثر لاگز میں ختم ہو جاتا ہے، خاص طور پر فائر وال لاگز میں، جہاں اسے غیر معینہ مدت تک محفوظ کیا جا سکتا ہے۔

یہ بری خبر ہے۔

نمک، ہیش اور اسٹریچ…

سلیک کے مطابق، لیک ہونے والا ڈیٹا محض نہیں تھا۔ ہیشڈ، لیکن نمکین بھی، اس کا مطلب یہ ہے کہ ہیش فنکشن کے لاگو ہونے سے پہلے ہر صارف کا پاس ورڈ پہلے اس صارف کے لیے منفرد بے ترتیب ڈیٹا کے ساتھ ملایا گیا تھا۔

ہیشز بنیادی طور پر "غیر الٹنے والے" ریاضیاتی افعال ہیں جن کا حساب ایک سمت میں کرنا آسان ہے، لیکن دوسری سمت میں نہیں۔

مثال کے طور پر، اس کا حساب لگانا آسان ہے:

  SHA256("DUCK") = 7FB376..DEAD4B3AF008

لیکن "پیچھے" سے کام کرنے کا واحد طریقہ 7FB376..DEAD4B3AF008 کرنے کے لئے DUCK کام کرنا ہے فارورڈز لغت میں ہر ممکنہ لفظ سے اور دیکھیں کہ آیا ان میں سے کوئی بھی اس قدر کے ساتھ آتا ہے جس سے آپ ملنے کی کوشش کر رہے ہیں:

  SHA256("AARDVARK") = 5A9394..467731D0526A [X] SHA256("AARON") = C4DDDE..12E4CFE7B4FD [X] SHA256("ABACUS") = BEDDD8..1FE4 . . 25 . . 7 نے چھوڑ دیا SHA3400("CABAL") = D256CF70..837BE4 [X] SHA1("CACHE") = C777F256..946F0E7B3073 [X] SHA1("CAGOULE") = 094EA256A359DC] . . 193 نے چھوڑ دیا SHA111("DAB") = BBCC3200E..E256B78CAB4 [X] SHA85("DAFFODIL") = 02967565D..D256AB118A9 [X] SHA22("DANGER") = 3269BD7B . . 32 چھوڑ دیا SHA256("DUCK") =  7FB376..DEAD4B3AF008 [ملا!]

اور فی صارف نمک شامل کرکے، جس کو خفیہ ہونے کی ضرورت نہیں، ہر صارف کے لیے محض منفرد، آپ اس بات کو یقینی بناتے ہیں کہ اگر دو صارف ایک ہی پاس ورڈ کا انتخاب کرتے ہیں، تو وہ ایک ہی پاس ورڈ ہیش کے ساتھ ختم نہیں ہوں گے۔

جب ہم لفظ کو ہیش کرتے ہیں تو آپ یہاں نمکین کا اثر دیکھ سکتے ہیں۔ DUCK تین مختلف سابقوں کے ساتھ:

  SHA256("RANDOM1-DUCK") = E355DB..349E669BB9A2 SHA256("RANDOM2-DUCK") = 13D538..FEA0DC6DBB5C <-- صرف ایک ان پٹ بائٹ کو تبدیل کرنے سے بالکل مختلف ہیش پیدا ہوتا ہے۔ .256A3

اس کا مطلب یہ بھی ہے کہ حملہ آور ممکنہ ہیشوں کی پہلے سے مرتب کردہ فہرست نہیں بنا سکتے، یا جزوی ہیش کے حساب کتاب کی میز نہیں بنا سکتے، جسے اندردخش کی میز، جو ہیش چیکنگ کو تیز کر سکتا ہے۔ (انہیں ہر ممکنہ نمک کے لیے بالکل نئی ہیش لسٹ، یا قوس قزح کی میزوں کا ایک منفرد سیٹ درکار ہوگا۔)

دوسرے لفظوں میں، اصلی ان پٹ کو بازیافت کرنے کے لیے ہیش اور نمکین پاس ورڈز کو معمولی طور پر کریک نہیں کیا جا سکتا، خاص طور پر اگر اصل پاس ورڈ پیچیدہ اور تصادفی طور پر منتخب کیا گیا ہو۔

سلیک نے جو نہیں کہا وہ یہ ہے کہ آیا وہ کریں گے۔ تنی پاس ورڈ ہیشز بھی، اور اگر ایسا ہے تو کیسے۔

کھینچنا ایک لفظی اصطلاح ہے جس کا مطلب ہے پاس ورڈ ہیش کرنے کے عمل کو بار بار دہرانا، مثال کے طور پر، 100,000 بار، معلوم پاس ورڈ ہیش کے خلاف لغت کے الفاظ کے ایک گروپ کو آزمانے کے لیے درکار وقت کو بڑھانے کے لیے۔

اگر سادہ نمک اور ہیش کے عمل کے ذریعے 100,000 لغت کے الفاظ ڈالنے میں ایک سیکنڈ لگے، تو حملہ آور جو آپ کے پاس ورڈ ہیش کو جانتے ہیں وہ ہر منٹ میں 6 ملین مختلف لغت کے الفاظ اور مشتقات آزما سکتے ہیں، یا ہر تین گھنٹے میں ایک ارب سے زیادہ اندازے لگا سکتے ہیں۔ .

دوسری طرف، اگر نمک اور ہیش کی گنتی کو ایک ایک سیکنڈ کے لیے بڑھایا گیا، تو جب آپ لاگ ان کرنے کی کوشش کریں گے تو اضافی ایک سیکنڈ کی تاخیر آپ کے لیے بہت کم یا کوئی پریشانی کا باعث بنے گی…

…لیکن حملہ آور کو ایک گھنٹہ میں صرف 3600 کوششوں تک محدود کر دے گا، جس سے اس بات کا امکان بہت کم ہو جائے گا کہ انہیں واضح پاس ورڈ کے علاوہ کسی بھی چیز کا اندازہ لگانے کے لیے کافی وقت ملے گا۔

بہت سے معزز نمک ہیش اور اسٹریچ الگورتھم مشہور ہیں، خاص طور پر PBKDF2, bcrypt, scrypt اور Argon2، جن میں سے سبھی کو ترتیب میں پاس ورڈ کے انفرادی اندازوں کو آزمانے کے لیے درکار وقت کو بڑھانے کے لیے ایڈجسٹ کیا جا سکتا ہے۔ قابل عملیت کو کم کریں نام نہاد لغت اور وحشیانہ طاقت کے حملوں کا۔

A ڈکشنری حملہ اس کا مطلب ہے کہ آپ صرف ممکنہ پاس ورڈز آزما رہے ہیں، جیسا کہ ہر وہ لفظ جس کے بارے میں آپ سوچ سکتے ہیں۔ aardvark کرنے کے لئے zymurgy، اور پھر ترک کرنا۔ اے وحشیانہ طاقت کا حملہ اس کا مطلب ہے کہ ہر ممکنہ ان پٹ کو آزمانا، یہاں تک کہ عجیب اور ناقابل تلافی بھی AAA..AAAA کرنے کے لئے ZZZ..ZZZZ (یا سے 0000..000000 کرنے کے لئے FFFF..FFFFFF اگر آپ ہیکساڈیسیمل بائٹ بائی بائٹ کی شرائط میں سوچتے ہیں)۔

کیا کیا جائے؟

سلیک اس کے بارے میں کہتا ہے۔ اس کے 1 صارفین میں سے 200 (0.5%، ممکنہ طور پر اس ریکارڈ کی بنیاد پر کہ خطرے کی مدت میں کتنے مشترکہ دعوتی لنکس بنائے گئے تھے)، اور یہ کہ یہ ان صارفین کو اپنے پاس ورڈ دوبارہ ترتیب دینے پر مجبور کرے گا۔

کچھ مزید مشورہ:

• اگر آپ ایک سلیک صارف ہیں، تو آپ اپنا پاس ورڈ دوبارہ ترتیب دے سکتے ہیں چاہے آپ کو کمپنی کی طرف سے ایسا کرنے کے لیے مطلع نہ کیا گیا ہو۔ When a company admits it has been careless with its password database by leaking hashes, you might as well assume that yours was affected, even if the company thinks it wasn’t. As soon as you change your password, you make the old hash useless to attackers.
• اگر آپ پاس ورڈ مینیجر استعمال نہیں کر رہے ہیں تو اسے حاصل کرنے پر غور کریں۔ پاس ورڈ مینیجر مدد کرتا ہے۔ مناسب پاس ورڈ منتخب کریں۔, اس طرح اس بات کو یقینی بناتا ہے کہ آپ کا پاس ورڈ پاس ورڈز کی فہرست سے بہت نیچے ختم ہو جاتا ہے جو اس طرح کے واقعے میں کریک ہو سکتے ہیں۔ حملہ آور عام طور پر حقیقی طاقت کا حملہ نہیں کر سکتے، کیونکہ آزمانے کے لیے بہت سارے ممکنہ پاس ورڈ موجود ہیں۔ لہذا، وہ سب سے پہلے ممکنہ پاس ورڈز کو آزماتے ہیں، جیسے کہ الفاظ یا واضح لفظ اور نمبر کے امتزاج، حملے کے آگے بڑھتے ہی لمبے اور پیچیدہ ہوتے جاتے ہیں۔ پاس ورڈ مینیجر بے ترتیب، 20 حروف کا پاس ورڈ اتنی آسانی سے یاد رکھ سکتا ہے جتنا آپ اپنی بلی کا نام یاد رکھ سکتے ہیں۔
• اگر ہو سکے تو 2FA کو آن کریں۔ 2FA، یا دو عنصر کی تصدیق، کا مطلب ہے کہ آپ کو لاگ ان کرنے کے لیے نہ صرف اپنے پاس ورڈ کی ضرورت ہے، بلکہ ایک وقتی کوڈ کی بھی ضرورت ہے جو ہر بار تبدیل ہوتا ہے۔ یہ کوڈز عام طور پر آپ کے موبائل فون پر بھیجے جاتے ہیں (یا اس کے ذریعے بنائے گئے) اور صرف چند منٹوں کے لیے درست ہوتے ہیں۔ اس کا مطلب یہ ہے کہ اگر سائبر کروک آپ کا پاس ورڈ کریک کر لیتے ہیں، تب بھی ان کے لیے آپ کے اکاؤنٹ پر قبضہ کرنا کافی نہیں ہے۔
• پاس ورڈز کو خود ہینڈل کرتے وقت ایک مشہور سالٹ ہیش اور اسٹریچ الگورتھم کا انتخاب کریں۔. بدقسمتی سے آپ کے پاس ورڈ ڈیٹا بیس کی خلاف ورزی ہونے کی صورت میں، آپ اپنے صارفین کو الگورتھم اور آپ کے استعمال کردہ حفاظتی ترتیبات کی قطعی تفصیلات دے سکیں گے۔ اس سے باخبر صارفین کو خود فیصلہ کرنے میں مدد ملے گی کہ حملہ آوروں کے لیے اب تک دستیاب وقت میں ان کے چوری شدہ ہیشز کے ٹوٹ جانے کا کتنا امکان ہے۔

---