2013/11/01

Adobe poderá ter "oferecido" 130 milhões de passwords aos hackers


De cada vez que param por momentos para inventarem uma nova password, poderão também lembrar-se que no campo oposto, há hackers que detêm bases de dados com milhões de passwords conhecidas, prontas a serem usadas para tentarem a sua sorte e verem se descobrem a vossa. É um tipo de ataque que requer que os hackers maliciosas tenham acesso directo à base de dados de empresas e serviços, mas quase semanalmente vemos isso a acontecer um pouco por todo o lado. Agora, a Adobe poderá ter-lhes dado uma enorme ajuda...



Quando um utilizador se regista num qualquer serviço, os seus dados ficam guardados para que possam ser utilizados da próxima vez que lá regressar. Isso significa que é necessário guardar o nome e password do utilizador... e faz com que esses dados sejam altamente apetecíveis para todo o tipo de atacantes (especialmente considerando que muitos utilizadores continuam a usar a mesma password em múltiplos serviços, e que apanhando uma password num site, poderá significar que se fica com acesso ao seu Gmail, Facebook, Twitter, etc.)

O caso mais básico - e que poderá ser considerado quase criminoso - será o serviço guardar o nome e a password do utilizador tal como ele é introduzido, em texto "legível" (plaintext). Para qualquer hacker que conseguisse o acesso à Base de Dados... era só pegar e andar!


Portanto, é necessário proteger estes dados de forma a que mesmo quem consiga olhar para eles não os possa utilizar, mas que possam continuar a ser usados para validar o utilizador real. Uma das opções seria encriptar as passwords, a outra - bem mais recomendável - é o recurso ao ao hashing e salting.

A diferença é que o hashing é um método não reversível que não permite "reconverter" a informação na password original, enquanto a encriptação pode ser revertida de forma a recriar a password original. E o problema é que a Adobe optou por usar encriptação em vez de hashes, fazendo com que agora exista uma base de dados com 130 milhões de passwords "à solta", que ficam em risco de poder ser desencriptadas e aumentar os dicionários de passwords conhecidas que são usados para tentar crackar outras passwords.

O método de encriptação utilizado não vai facilitar a vida aos hackers, mas sabendo-se desde já que há algumas falhas que podem ajudar nesse serviço, e considerando o tentador prémio que será obter 130 milhões de passwords... acho que vai ser apenas uma questão de tempo até que isso aconteça. Portanto... é melhor repensarem se as vossas passwords são mesmo seguras... e talvez usarem isto como inspiração para passarem a usar serviços de gestão/criação de passwords (e activarem as validações 2-step adicionais, caso existam.)

Sem comentários:

Enviar um comentário (problemas a comentar?)