Hallo, wir wurden kürzlich durch Social Engineering dazu gebracht, einem kompromittierten Benutzer Admin-Rechte zu gewähren. Soweit die Protokolle zeigen, hat er „Data Explorer“ aktiviert und sonst nichts getan, außer einige Benutzer zu impersonieren.
Welche Auswirkungen hat dieser Vorfall auf unser Forum und gibt es etwas Ernsthaftes?
Die Nachahmung kann ihnen zeigen, dass die E-Mails der Benutzer ohne diesen Teil protokolliert werden.
Was die Datenexploration betrifft…
Damit kann fast alles empfangen werden, einschließlich der E-Mail-Adresse jedes Benutzers, der IP-Adresse, PASSWÖRTER (nun ja, der Hash und der Hashing-Algorithmus, aber man kann das Passwort damit bekommen), usw. und kann mit einem Klick exportiert werden. Und das Erstellen und Löschen von Abfragen wird nicht protokolliert.
Ich würde empfehlen, einen Beitrag global anzuheften und ein Banner anzubringen, das besagt, dass einem Benutzer mit böswilliger Absicht Administratorrechte gewährt wurden und seine E-Mails, IP-Adressen usw. infolgedessen an ihn weitergegeben worden sein könnten. Und dass sie ihr Passwort ändern sollen.
Aber die Passwörter wären gehasht, also wäre dieser Teil sicher, oder?
Ich glaube, der Algorithmus, mit dem sie (passend zum Hash) übereinstimmen können, würde es ihnen ermöglichen, den Hash zu entschlüsseln.
Gibt es eine Möglichkeit, alle zur Passwortzurücksetzung zu zwingen? Ich habe eine Ankündigung gemacht, aber das wird nicht alle abdecken.
Das glaube ich nicht. Was Sie tun können, ist die API zu verwenden und jedem Benutzer eine E-Mail zum Zurücksetzen des Passworts zu senden.
Was? Das ist unmöglich. Kryptographie macht es uns unmöglich, das Passwort aus dem Passwort-Hash wiederherzustellen, es sei denn, Social Engineering wird eingesetzt.
Einfach ausgedrückt, obwohl der geleakte Passwort-Hash ein großes Risiko birgt, kann er anderen helfen, das Passwort durch Informationen wie Geburtstag, Name, Telefonnummer usw. zu erraten, aber niemand kann das Passwort allein anhand des Passwort-Hash wiederherstellen.
Was ist mit dem Salz und dem Algorithmus?
Ein kryptografischer Algorithmus ist wie das Aufnehmen eines Fotos von einem Passwort. Dieselbe Person wird tatsächlich dasselbe Foto aufnehmen, aber die Person, die das Foto erhält, kann Ihre DNA nicht allein aus dem Foto wiederherstellen.
Das Passwort-Salt erhöht die Sicherheit des Passworts und erschwert dessen Knacken durch Rainbow Tables und andere Mittel, selbst wenn es durchgesickert ist.
Sind also selbst mit allen 3 die Passwörter sicher?
Es ist nicht absolut sicher. Wenn seine Benutzer sehr gute Passwortgewohnheiten haben, wie z. B. keine Verwendung von ilovexxxx oder Name+Geburtstag als Passwörter, können diese Methoden die Wahrscheinlichkeit, dass ihre Passwörter geknackt werden, erheblich verringern. Wenn Benutzer keine guten Passwortgewohnheiten haben, sind alle ihre Konten auf allen Websites gefährdet.
Sie könnten versuchen, die Passwörter aller Benutzer auf zufällige Passwörter in der Ruby-Konsole zurückzusetzen, wodurch sie gezwungen werden, ihre Passwörter zurückzusetzen, um sich anzumelden.
Danke!
Bitten Sie Ihre Administratoren und Benutzer, die 2FA zu aktivieren.
Das auch tun
Wenn Sie die Passwörter aller zurücksetzen, stellen Sie sicher, dass Sie ein Banner anbringen, das die Leute darüber informiert, dass sie ihr Passwort ändern müssen, und seien Sie darauf vorbereitet, dass es Probleme beim Ändern gibt.
Ich halte es für irreführend, dass diese Antwort als „Lösung“ markiert wird.
Ich finde nicht, dass es irreführend ist. Die Frage bezog sich auf die Auswirkungen, wenn jemand vorübergehend Administratorzugriff erlangt hätte, und die Antwort lautet, dass im Grunde alles kompromittiert sein könnte, da der Angreifer die Datenbank (teilweise) herunterladen konnte, ohne Spuren zu hinterlassen.
Und ja, Passwort-Hashes können sehr schwer zu knacken sein, aber wenn man zusätzlichen Kontext hat (wie E-Mail-Adressen von Benutzern) und Zugriff auf geleakte Passwörter aus einer anderen Quelle, dann besteht die Möglichkeit, dass man einige Dinge zusammensetzen und erfolgreich sein kann.
Mit „dann können Sie das Passwort erhalten“ mit „dem Hash und dem Hashing-Algorithmus“ dachte ich, Ethan meinte, dass Sie mit den Hashes und dem Hashing-Algorithmus alle Passwörter erhalten können.
Das war die Bedeutung, die ich für beabsichtigt hielt und die ich irreführend fand. Vielleicht ist sie nur für Ungebildete irreführend. Ich werde mich mit diesem interessanten Thema befassen, sobald ich die Gelegenheit dazu habe!
Bei durchschnittlichen Benutzern kann man die meisten erhalten.
Es braucht nicht viel mehr als rohe CPU, um mit einer Passwortliste Brute-Force-Angriffe durchzuführen, sobald man die Hashes und Salts hat und keine Ratenbegrenzung besteht.