情報セキュリティに少しでも興味があり、IT分野のイベントを定期的に読んでいるだけで、他の会社やインターネットサービスがハッキングされ、ユーザーアカウントが盗まれているというニュースを受け取っている人は誰でもいると思います。 、クレジットカード番号、ペットの名前などがあります(例を挙げる必要はありません。今年の10月に、Adobeは1億3,000万から1億5,000万のアカウントのベースを「 共有 」しました)。 また、ソルトを使用しなくてもサービスがパスワードのハッシュ化を処理してくれると便利です。その場合、攻撃者が盗まれたパスワードを使用したい場合は、これを行うために努力する必要があります。
しかし、かなり長い間、私は他の何かに驚いていました-ほとんどの場合、パスワードだけがハッシュされるのはなぜですか、なぜ電子メールアドレスやクレジットカード番号などの他の重要なユーザーデータがそんなに無視されるのですか?
この記事は、セキュリティの発見を意図したものではなく、不正確さと推測が含まれている可能性があります。 むしろ、データ保護の問題とそれらのリークのケースについて大声で考えられています。
簡単にするために、サイトの所有者は、自分の個人データはまだ個人情報であり、彼の同意と知識なしに使用または転送するべきではないというユーザーの意見を共有すると仮定します(つまり、意図的なデータ転送がある場合、 「一部の組織の要請により、検討していません)。 原則として、アカウントのデータベースは完全にオープンな形式で保存されます(幸いなことに、非常にゆっくりですが、徐々に過去のものになりつつあります)、またはその一部のみが暗号化されます(ほとんどの場合、パスワードをハッシュすることによってのみ)。 データベースが失われた場合、ハッカーがデータの使用に問題がある場合、これらはパスワードですが、他のすべてはほとんどの場合、銀の大皿で提供され、それを使用して使用します。
これは何を脅かすのですか? まず、実行できる最も一般的な方法は、電子メールアドレスのデータベースを使用することです。スパマーは満足します。 2番目の、非常にまれではありますが、クレジットカード番号がスキマーの手に渡ることがあります。 カード番号だけではほとんど役に立たない可能性がありますが、忘れていない場合、アカウントは断片的にのみ暗号化されていることが多く、名前や生年月日などの重要なデータが残されていることが多く、場合によっては番号を作成するだけで十分ですカードは非常に関連性がありました。 そして最後に、3番目-ソーシャルエンジニアリングで個人データのみを使用することができます(ソーシャルネットワークの存在に照らしてこの種の損失について心配するのは少し奇妙ですが)。
ご覧のとおり、問題があり、それらは関連しています。 サービスの所有者の無関心は、ハッキングやデータ損失からサービスの信頼性を心配しなければ、両方のユーザーに深刻な損害を与える可能性があります。 データがいつか盗まれた場合に何を提供しようとすることができますか?
1)最も単純で論理的なハッシュ化されたパスワード。 パスワード保護は、ユーザーが異なるサービスに同じパスワードを使用する場合のリスクを軽減できます。 悲しいことに、この平凡な予防措置でさえ、多くの場所でまだ適用されていません。 また、塩を使用することをheしないでください。
2)また、意図した目的のためにサービスで使用されていないデータ、またはサービスの効率を損なうことなく暗号化できるデータを暗号化します。 すぐに提供できるのは、電子メールアドレスのハッシュと、秘密のパスワードへの応答、または承認などの操作にのみ使用されるその他のデータです。 通常、このデータがシステムに入るときに一度だけ使用される場合、このデータをオープン形式で保存する必要はありません。 この方法には欠点がありますが、サービスは必要に応じてあなたに手紙を送ることができませんが、場合によってはそのような必要はなく、メールはアカウントの検証にのみ使用されます。
3)最後に、このサービスを単に使用しないというオプションを除き、最も妄想的なアプローチ。 すべて(またはほとんどすべて、特定の状況とサービスに依存します)ユーザーデータは暗号化され、ユーザーパスワードを使用してそれらを解読します。つまり、公開キーと秘密キーの標準的な方法です。 もちろん、これはサービスに追加の負荷をかけるだけでなく、常に可能なオプションではありません(同じソーシャルネットワーク、データ暗号化では他のユーザーがそれらを見ることができません)が、データが重要な場合、これは少額のセキュリティ料金です。
時間が経つにつれて、データのセキュリティと監視の問題は日々深刻化しており、今日心配しない限り、個人データの損失が明日にどうなるか想像することは困難です。 一見些細なことを重要視しなければ、データに関連する不注意がどのように多大な犠牲を払うかを観察することができます。 これについてどう思いますか?