Web サイトはパスワードをどのように保護しますか?

現時点では、データ侵害について聞くのはごく普通のことです。Gmailなどの人気のあるサービスや、MySpace など、ほとんどの人が忘れてしまったソフトウェアでも侵害が発生する可能性があります。

ハッカーにとって最も最悪のことの 1 つはパスワードです。これは、標準的なアドバイスに反して、複数の異なるプラットフォームで同じログインを使用する場合に特に当てはまります。しかし、パスワード保護はあなただけの責任ではありません。

では、Web サイトはパスワードをどのように保存するのでしょうか?ログイン情報はどのように安全に保たれているのでしょうか? Web サイトがパスワードを追跡するために使用できる最も安全な方法は何ですか?

最悪のシナリオ: パスワードはプレーンテキストで保存されます

次の状況を考えてみましょう。大規模な Web サイトがハッキングされました。サイバー犯罪者は、Web サイトが実施している基本的なセキュリティ対策を回避し、サイト構造の欠陥を悪用する可能性があります。あなたは顧客です。そのウェブサイトにはあなたの詳細が保存されています。このサイトはあなたのパスワードが安全であることを保証します。しかし、その Web サイトにパスワードが平文で保存されている場合はどうなるでしょうか?

プレーンテキストのパスワードは、儲かるおとりのようなものです。アルゴリズムを使用していないため、読み取ることはできません。あなたがこの記事を読んでいるのと同じくらい簡単に、ハッカーはパスワードを読み取ることができます。

パスワードがどれほど複雑であっても、平文データベースは、数字や追加の文字を含めて明確に書かれた全員のパスワードのリストです。

たとえハッカーが Web サイトをクラックできなかったとしても、Web サイト管理者があなたの秘密のログイン情報を閲覧できるようにしたいと本当に思いますか?

これは非常にまれな問題だと思うかもしれませんが、e コマース サイトの約 30% が顧客データを「保護」するためにこの方法を使用していると推定されています。

Web サイトがパスワードを平文で保存しているかどうかを確認する簡単な方法は、サインアップ直後に Web サイトからログイン情報が記載された電子メールを受信したかどうかです。その場合は、同じパスワードを使用している他のサイトを変更し、その会社に連絡して、セキュリティが低すぎることを警告することをお勧めします。もちろん 100% 確認することは不可能ですが、これはかなり明らかな兆候であり、サイトはそのような内容を電子メールで送信すべきではありません。

エンコーディング: 良さそうですが、完璧ではありません

多くの Web サイトでは、ユーザーのパスワードを保護するために暗号化を利用しています。暗号化プロセスにより情報がスクランブル化され、2 つのキー (1 つはユーザーが保持し、もう 1 つは問題の会社が保持) が一緒に出現するまで解読できなくなります。

他にも多くの場所で暗号化が使用されています。 iPhone の Face ID は暗号化の一種です。パスコードは同じです。インターネットは暗号化で動作します。URL に表示されるHTTPS は、アクセスしている Web サイトが SSL または TLS プロトコルを使用して接続を確認し、データを集計していることを意味します。しかし実際には、暗号化は完璧ではありません。

暗号化により安心感が得られます。しかし、サイトが独自のパスワードを使用してパスワードを保護している場合、ハッカーがサイトのパスワードを盗み、パスワードを見つけて復号化する可能性があります。ハッカーがパスワードを解読するのにそれほどの労力はかかりません。主要なデータベースが常に大きなターゲットとなるのはこのためです。

サイトのキー (パスワード) がパスワードと同じサーバーに保存されている場合、パスワードも平文である可能性があります。

• ハッカーはどのようにして WiFi パスワードを盗むのでしょうか?これを防ぐにはどうすればよいでしょうか?

ハッシュ: 驚くほどシンプル (ただし、常に効果的であるとは限りません)

パスワードのハッシュ化は専門用語のように聞こえるかもしれませんが、単により安全な暗号化形式です。

Web サイトでは、パスワードをプレーン テキストで保存するのではなく、MD5、セキュア ハッシュ アルゴリズム (SHA)-1、SHA-256 などのハッシュ関数を通じてパスワードを実行し、パスワードをまったく異なる数字のセットに変換します。これらには、数字、文字、またはその他の文字を使用できます。

パスワードはIH3artMU0 である可能性があります。それは7dVq$@ihTに変わる可能性があり、ハッカーがデータベースに侵入した場合、彼が見ることができるのはそれだけです。ハッカーは元のパスワードを再度復号化することはできません。

残念ながら、物事はあなたが思っているほど安全ではありません。この方法はプレーン テキストよりも優れていますが、それでもサイバー犯罪者にとっては問題になりません。

重要なのは、特定のパスワードによって特定のハッシュが生成されるということです。これには十分な理由があります: パスワードIH3artMU0でログインするたびに、そのハッシュが自動的に通過し、そのハッシュとサイトのデータベース内のハッシュが一致する場合にサイトへのアクセスが許可されます。

これに応えて、ハッカーはカンニングペーパーに似たレインボーテーブルを開発しました。これらは、他の人がすでにパスワードとして使用しているハッシュのリストであり、高度なシステムがブルート フォース攻撃のように素早く実行できるものです。

非常に不適切なパスワードを選択した場合、そのパスワードは優先順位の高いものとなり、簡単に破られる可能性があります。複雑なパスワードの場合はさらに時間がかかります。

現在のベスト: ソルティングとスローハッシュ

ソルティングは、最も安全な Web サイトで実装されている強力な手法の 1 つです。

侵入できないものはありません。ハッカーは、新しいセキュリティ システムを突破しようと常に積極的に取り組んでいます。現在、最も安全な Web サイトには、より強力な技術が実装されています。これらはスマートなハッシュ関数です。

ソルテッド ハッシュは、個々のパスワードごとに生成されるランダム データ セットである暗号化ナンスに基づいており、多くの場合非常に長く複雑です。

これらの追加の数字は、レインボー テーブルを使用した試みを防ぐために、ハッシュ関数を通過する前にパスワード (または電子メールとパスワードの組み合わせ) の先頭または末尾に追加されます。

一般に、ソルトがハッシュと同じサーバーに保存されている場合は問題ありません。ハッカーにとって一連のパスワードを解読するには多大な時間がかかる可能性があり、パスワードが複雑な場合はさらに困難になります。

そのため、Web サイトのセキュリティにどれほど自信がある場合でも、常に強力なパスワードを使用する必要があります。

Web サイトでは、追加の対策として低速ハッシュも使用されます。最も有名なハッシュ関数 (MD5、SHA-1、SHA-256) は以前から存在しており、実装が比較的簡単であるため広く使用されています。

ソルトは依然として適用されますが、遅いハッシュは速度に依存する攻撃に対する防御においてさらに優れています。ハッカーが 1 秒あたりの試行を大幅に少なく制限すると、解読に時間がかかるため、試行の価値が低くなり、成功率も低くなります。

サイバー犯罪者は、時間のかかる低速ハッシュ システムを攻撃する価値があるのか​​、それとも「迅速な修正」を行う価値があるのか​​を比較検討する必要があります。たとえば、医療機関はセキュリティが低いことが多いため、医療機関から取得したデータは依然として驚くべき金額で販売される可能性があります。

システムに「ストレス」がかかると、速度がさらに低下する可能性があります。元 Microsoft ソフトウェア開発者である Coda Hale は、MD5 を最も注目すべき低速ハッシュ関数である bcrypt (他の関数には PBKDF-2 や scrypt など) と比較しています。

「(MD5 のように) 40 秒ごとにパスワードを解読する代わりに、(システムが bcrypt を使用している場合) 12 年ごとにパスワードを解読します。おそらくあなたのパスワードにはそのようなセキュリティは必要なく、より高速な比較アルゴリズムが必要になるかもしれません。」ただし、bcrypt では速度とセキュリティのバランスを選択できます。」

また、低速ハッシュでも 1 秒以内に実行できるため、ユーザーは影響を受けません。