O idee legată de data breaching
In 17 ianuare a fost publicat un articol legat de un data breach ce continea vreo 700milioane de mail-uri şi parole care e considerat de mai multe ziare importante din online ca fiind cel mai mare de până acum.
Cel care a scos la suprafaţă acest leak, Troy, are aplicaţia ‘haveibeenpowned’ unde îţi poţi verifica mail-ul & parola să vezi dacă eşti şi tu prezent prin acea listă. Poţi fi doar cu mail-ul, doar cu parola, cu amândouă, sau cu niciuna. Din ce ne explică individul practic textul nostru e transpus în SHA-1 şi doar primele 4 caractere sunt verificate şi apoi returnează dacă există match cu ce există în listă. Dar nu există certitudinea că pănă la SHA-1, plain textul nu e stocat şi el undeva. Până la urmă nimic nu poate oferi 100% siguranţă atunci când folosim un intermediar ce interoghează datele.
Ideea pe care aş dori să o subliniez legată de tot acest tam tam legat de data breaching este ca el creează o paranoie în rândul utilizatorilor şi îi face să intre pe aceste aplicaţii unde se pot verifica dacă apar prin leak. Bun, dar dacă ne gândim puţin mai departe şi înţelegem că odată introdus acel mail fie ca e în acea ‘listă’ fie că nu el va fi stocat în aplicaţia folosită. Acelaşi lucru şi în cazul verificarii parolei, pentru ca utilizatorul întâi să zicem ca verifică mail-ul, vede rezultatul, iar după se duce să îşi verifice şi parola. Observă că nimic din ce a introdus nu e ‘afectat’ şi suflă uşurat, dar ce nu ştie e că tot ce a tastat el în câmpurile alea a fost verificat/comparat/stocat undeva.
Singura alternativă în acest caz ar fi dacă user-ul ar downloada lista aceea şi ar căuta el singur parola lui, criptată SHA-1, şi ar compara-o cu ceva ce există acolo. Astfel, nu ar mai folosi aplicaţia şi ar avea o siguranţă mai mare prin faptul că nu îşi expune singur datele undeva. Dar odata cu siguranţă creşte şi timpul pe care îl alocă căutându-şi hash-ul prin zeci de GB de date şi aici cred că ar fi un mare impediment pentru multă lume. Se pot construi diferite scripturi(python) ce pot extrage mai eficient toate acele informaţii, însă nu ştiu cât timp ar putea aloca cineva pentru asta.
Concluzia în astfel de cazuri când se preconizează că au fost dezvăluite milioane de parole/mail-uri e să nu ne aruncăm imediat pe toate site-urile minune ce ne spun în 5 secunde dacă datele noastre sunt şi ele acolo. Ci să reuşim să găsim ce url-uri au fost afectate/ce servicii şi mai apoi să încercăm să facem conexiunea cu datele pe care le avem noi în acele servicii. În cel mai bun caz dacă există şi ceva ce poate fi deschis local putem să căutam singuri dacă parola sau mail-ul au fost undeva expuse. Aşa vom şti ce anume trebuie schimbat fără să ne afişăm mail-urile pe toate site-urile în căutare de răspunsuri.