Bàn chải điện Sonic Whitening



Vì sao nên lo lắng khi website nào đó bị rò rỉ pasword? Cần làm gì trong tình huống đó?
Duy Luân
4 nămBình luận: 46
Vì sao nên lo lắng khi website nào đó bị rò rỉ pasword? Cần làm gì trong tình huống đó?
Cơ sở dữ liệu chứa password của chúng tôi đã bị đột nhập, nhưng đừng lo, mật khẩu của bạn đã được mã hóa. Chúng ta rất thường hay nghe những lời nói như thế này khi một dịch vụ online bị hack hay vô tình khiến password của người dùng bị rò rỉ lên mạng. Ngay cả một công ty lớn như Yahoo mà cũng có thể trở thành nạn nhân thì những công ty nhỏ hơn sẽ ra sao? Nhưng hãng đã nói là password mã hóa rồi vậy thì còn gì đâu mà lo? Không, vẫn còn nhiều thứ cần lo lắm, đặc biệt là khi bạn đã từng đăng ký tài khoản với dịch vụ vừa bị tấn công.


Password nên được lưu trữ như thế nào?


Khi bạn tạo một account mới, bạn được yêu cầu nhập password. Password này không được lưu trữ nguyên vẹn mà sẽ được xử lý (hash) để tạo thành một chuỗi kí tự dài ngoằng bất kì, ví dụ cụm từ duyluandethuong sẽ trở thành TYewfbhfgfwifwhfewf. Người ta chỉ lưu chuỗi dài ngoằng này vào cơ sở dữ liệu thay vì lưu password của bạn. Rồi cứ mỗi lần bạn đăng nhập, web hay app sẽ so sánh chuỗi trong cơ sở dữ liệu với chuỗi mới được xử lý từ password bạn nhập vào, nếu khớp thì bạn được vào tiếp, còn không thì sẽ báo lỗi. Theo nguyên tắc, web và app sẽ không bao giờ được lưu password của bạn xuống ổ đĩa cứng.

Cái hay của chuỗi hash này đó là nó không thể dịch ngược lại thành chuỗi gốc được, không bao giờ. Vậy nên người ta mới chọn cách này để đảm bảo hacker không bao giờ biết mật khẩu người dùng. Nó khác với việc mã hóa, vốn có thể dịch ngược lại cụm từ nguyên gốc. Chuỗi hash cũng sẽ thay đổi giá trị khi chuỗi gốc thay đổi dù chỉ một bit.

Quảng cáo


Hacker khi trộm được password của bạn cũng không thể biết mật khẩu thật sự của bạn là gì. Thay vào đó, hắn ta sẽ so sánh chuỗi hash lưu trong database vừa ăn cắp với các chuỗi hash của những password phổ biến, dạng như iloveyou hay 1234567890. Việc so sánh này có thể mất thời gian kha khá nhưng cũng có thể chỉ rất nhanh tùy trình độ của hacker.

Luu_mat_khau_password_hack.png

Cái nguy hiểm của chuỗi hash đó là nếu bạn dùng cùng 1 thuật toán hash, 1 password ở nhiều website khác nhau sẽ sinh ra cùng một chuỗi hash giống hệt nhau. Hay trong cùng 1 website, nếu hai người dùng chọn password giống nhau thì hash cũng sẽ tương tự nhau nên không an toàn, hacker có thể đoán biết được password tài khoản ngân hàng của bạn trong khi hắn chỉ hack vào database của một cửa hàng sách online mà thôi.

Để ngăn ngừa chuyện này, người dùng dùng thêm salt. Thay vì chỉ tạo chuỗi hash từ password, người ta sẽ nối thêm một số kí tự vào đầu hoặc cuối password trước khi hash, đây chính là "salt". Ví dụ: password deptraikhoaito khi nối salt sẽ thành deptraikhoaitoduyluan, lúc đó cái hash ra rõ ràng khác với password ban đầu rồi. Salt có thể là username, có thể là ngày tạo tài khoản, v.v. Mỗi người dùng đều có salt riêng của họ nên ngay cả khi password giống thì kết quả sau khi hash vẫn khác nhau. Tất cả những thứ này đều do server quản lý, bạn không cần làm gì thêm. Đây cũng là lý do vì sao các dịch vụ online thường khuyên bạn là không nên lo lắng khi password của họ bị rò rỉ.

Hash và salt rồi vậy sao phải lo?


Nếu web hay app làm tốt và tuân theo đầy đủ các tiêu chuẩn thì sẽ không vấn đề gì, nhưng nếu họ chỉ đơn thuần hash mà không salt thì sẽ dễ bị hacker đoán ra mật khẩu ngay. Đừng tưởng chuyện này dễ và ai cũng làm. Năm 2012, LinkedIn từng bị trộm mất 6,5 triệu password đã hash mà không salt. Công ty lớn còn như vậy thì các công ty nhỏ ra sao?

Mà một khi password hash không salt bị rò rỉ, biết đâu có một web hay app nào khác cũng chơi theo cách tương tự. Như vậy là hacker đã đoán được phần nào password của bạn, nếu đối chiếu với danh sách các mật khẩu phổ biến mà hacker nắm trong tay thì việc tìm lại được pass gốc là chuyện hoàn toàn khả thi. Khi đã có pass gốc, có trời mới biết hacker dự tính làm gì tiếp theo.

Nên làm gì trong trường hợp website bạn dùng bị rò rỉ mật khẩu?


Trước tiên hãy lên web đó đổi password sau khi nhận được thông báo từ công ty chủ quản web hoặc app. Đừng vội vàng đổi pass ngay khi bạn nghe tin web bị hack, biết đâu hacker vẫn còn cài cắm một số thứ gì đó trong server của web thì sao? Sẽ cần thời gian để đội ngũ quản trị website dọn dẹp và chắc chắn hệ thống của họ đã sạch.

Quảng cáo



Thứ hai, nếu có dịch vụ nào dùng chung password với web hay app vừa bị hack, hãy đổi pass luôn của tài khoản đó. Điều này đặt biệt hữu ích nếu bạn dùng chung password giữa nhiều website với nhau. Những thứ bạn nên đổi pass đầu tiên là:
  1. Mật khẩu đăng nhập tài khoản ngân hàng online
  2. Mật khẩu email
  3. Mật khẩu đăng nhập vào các dịch vụ của nội bộ công ty
  4. Facebook và các mạng xã hội mà bạn có tham gia (vì đây là mục tiêu hay bị hack)
Nếu được, bạn hãy dùng các app quản lý mật khẩu như 1Password, LastPass vì chúng sẽ chọn lấy một chuỗi ngẫu nhiên để dùng làm password nên rất khó để hacker đoán ngay cả khi web không salt đi chăng nữa. Nếu bạn nhớ được chuỗi này thì tốt quá, còn không cứ để chuyện đó cho 1Password hay LastPass xử lý.

hacker_password_hack_luu_database.jpg

Bạn cũng nên cân nhắc kích hoạt bảo mật 2 lớp cho các tài khoản quan trọng, ví dụ như email, Dropbox chứa file làm việc, Facebook... Tính năng này có nghĩa là sau khi bạn nhập password bình thường, bạn sẽ được hỏi thêm một số code nhắn qua SMS hoặc email. Chuỗi code này chỉ có bạn mới nhận được, hacker có biết chính xác password thì cũng không cách gì vào tới bên trong. Facebook là cái bạn nên bật đầu tiên vì hiện tại mình thấy rất nhiều bạn than thở bị hack tài khoản hoặc có tin nhắn 2 lớp hiện ra trong khi bạn đó chẳng đụng gì tới account cả.

Tham khảo: HowToGeek
cv_Password_bi_hack.jpg
Liên quan vụ Yahoo bị hack hơn 1 tỷ tài khoản năm 2013.
nobugz
TÍCH CỰC
4 năm
Hình kiếm ở đâu ra vậy?
Hay tự ý vẻ ra?
keite
ĐẠI BÀNG
4 năm
Thuật toán mã hoá mỗi web 1 khác nhau. Nên có lộ cũng ko sợ :v vì chuối salt sinh ra mỗi lần 1 khác. những trang ko tin tưởng thì đặt pass chung cho tk rác. Còn cái quan trọng thì để 1 pass riêng.
Đã bị hack còn xoá đc thù xoá ko thì pó tay
Mặc cho con tạo nó mần ji thì mần
😁:D:D đã biết pass của Mod Duy Luân qua bài này
secretlonely
ĐẠI BÀNG
4 năm
@writedung hacking Duy Luân account :v
có ai quên cả tài khoản là gì luôn không???
colenao00
TÍCH CỰC
4 năm
Cái Hash này chả mấy khi giống nhau nhưng k decode lại đc thật k vậy? Nếu nó hack luôn đc cái thuật toán Hash của web thì là vẫn decode đc mà nhỉ ?
colenao00
TÍCH CỰC
4 năm
@blackberry4311 Cái này chính là cái em đang nghĩ là có thể? 😁 Biết là khó lộ cơ mà cứ táng bảo mật 2 lớp cho chắc :D
@colenao00 thực tế thì ở việt nam mình(trên thế giới nhiều quá thôi không nói đến) cũng có vài phốt lộ data và lộ luôn cả source ra như này rồi :D
Eldimio
CAO CẤP
4 năm
@blackberry4311 Nếu dịch ngược lại được khi biết thuật toán thì nó gọi là encrypt (mã hoá), còn hash thì không thể.
Eldimio
CAO CẤP
4 năm
@colenao00 Thuật toán hash là bất định, nó biến đổi theo chính dữ liệu đầu vào, nên không thể nắm được thuật toán hash nếu không biết dữ liệu đầu vào 😁
Trái với hash là encrypt, nó có thuật toán độc lập với dữ liệu đầu vào và có thể giải ngược.
Với hash, bạn cung cấp dữ liệu 1 lần và nó ra luôn chuỗi hash. Còn với encrypt bạn phải cung cấp 2 lần, dữ liệu và khoá dùng để mã và giải mã.
Amazon Prime video đã có mặt toàn cầu, bao gồm cả VN, chắc 1 tháng sau Tinhte mới có bài =DDD
tdcn
ĐẠI BÀNG
4 năm
@leogolasz A thấy rồi, nhưng mà phải xem nó có đầy đủ phim như ở Mĩ với Canada ko đã, chứ có vài phim cũng như ko😕
@ironic_haha Ngơ ngơ ngẩn ngẩn.
Chắc đợi dịp để post bài này, khổ nỗi không tìm hiểu kĩ trên tinhte.
@ironic_haha Bài nó nhảy sang tận trang 2 ngoài trang chủ rồi, lần sau cmt thì chịu khó search rồi cm nhé.
À mà xài font bình thường được rồi, cần chi mà in đậm để nhấn mạnh là bác chưa đọc bài đâu, vào kiếm lại nhanh nhanh chứ không nó sang trang 3, 4 khó kiếm lắm.
Cái cm kiểu này bác đã cm cách đây 2 hôm rồi, tuy nhiên hôm đó cũng có tin đó mà không biết sao lại không đọc nhỉ, fan apple hay sao mà toàn thấy tin apple rồi đi chém gió các kiểu ta.
Kiếm tin khác đi hen.
@ironic_haha Tinhte đăng bài đó từ hôm kia hôm kìa rồi, giờ bạn mới đọc được mà cứ tưởng mình là cái rốn của vũ trụ đang đi phổ biến trí thông minh cho toàn dải Ngân Hà chắc. 😁
boyster
ĐẠI BÀNG
4 năm
Video làm ntn thế mod ơi. em tham khảo với ạ
mimosa1805
TÍCH CỰC
4 năm
@boyster Theo mình nghĩ là bạn ấy dùng bảng vẽ hoặc một máy gì đó có màn cảm ứng với một phần mềm vẻ vời như paint chẳng hạn rồi dùng phần mềm ghi lại màn hình lồng âm thanh vào
@mimosa1805 Tuyệt vời và chính xác.

Dùng Penultimate + iPad Pro + Pencil + Quick Time (trên máy tính, để quay màn hình ipad)
Hash code có nơi còn public luôn nhưng chưa đủ trình để hack.
Kích hoạt bảo mật 2 lớp email, iphone, facebook... của vợ thế mà nó cằn nhằn là loằng ngoằng, rách việc rồi còn "bạn bè em chả cần bảo mật mà có ai bị sao đâu". Cú vãi, lại đưa về nguyên bản cho nó, sau này mất cho chết cmnl. Đúng là đàn bà.
leogolasz
ĐẠI BÀNG
4 năm
bị 1 lần, mở code 3 cái ios mất hơn 5 tr hồi 2013, tởn bật bảo mật 2 lớp hết luôn
mấy năm trước sony bị hack kêu TK ko được mã hoá luôn mới sợ
qtgalaxy
TÍCH CỰC
4 năm
có nên giao pass cho mấy ông 1Password ko ta?
em ứ yên tâm khi giao pass cho bất cứ app nào đâu, tự nhớ vậy 😔
Nhờ anh @Duy Luân ,
Em đã đã đăng nhập thành công account của @cuhiep trên tinh tế =))
Có ai cho em biết bác Duy Luân dùng phần mềm gì để làm video này không, xin cảm ơn trước!
1. Pass => hash code
2. Hash code #> pass
3. Vậy cho dù hacker có biết được hash code của mình, cũng làm sao "đoán" được pass ở các trang web khác như mod nói
Kể cả ko dùng salt.
@Chuối tiêu minion Em thấy có giải thích mà, vì cùng 1 pass cùng 1 cách hash thì sẽ ra chuỗi giống nhau.
Ví dụ 123 hash abc, khi bác nhìn vào thấy abc là bác biết pass là 123 ngay (tất nhiên thực tế cũng không phải dễ ăn kiểu này), và xu hướng thì đặt pass giống nhau trên nhiều trang web nên vậy.
@Chuối tiêu minion hai pass ở 2 website bạn xài giống nhau, hai trang đó dùng cùng thuật toán hash => hash giống nhau
@Duy Luân Hash giống thì cũng ko thể suy ra password để đăng nhập được mà mod?

123 hash ra abc nhưng từ abc ko thể suy ngược lại 123 được
Ví dụ
Trên web A bạn đã hack đc ID của mình là "emtraicuhiep" và pass đã hash là tg34Fvj.
Trên web B bạn cũng hack được tương tự như vậy.
Vậy với cái pass đã bị băm kia làm sao bạn đăng nhập?
@bibinguyen 123 hash ra abc nhưng từ abc ko thể suy ngược lại 123 được
Ví dụ cho bạn dễ hiểu
Trên web A bạn đã hack đc ID của mình là "emtraicuhiep" và pass đã hash là tg34Fvj.
Trên web B bạn cũng hack được tương tự như vậy.
Vậy với cái pass đã bị băm kia làm sao bạn đăng nhập?
@Chuối tiêu minion Nhưng mà vì đó luôn là abc nên nếu những pass đơn giản nó sẽ biết. Nên dù hash không truy ngược nhưng lại có table để search giống tra từ điển ấy, không tin cứ thử pass kiểu qwerty abc 1234567890.
Ngoài ra trong bài viết cũng nói, nếu pass của em cũng là emtraicuhiep, thì em cũng thấy chính đoạn hash của em, và em sẽ rõ pass của bác cũng giống em.
Eldimio
CAO CẤP
4 năm
Làm như mình thế này không lo bị lộ này:
- Pass: được tính hash theo công thức phức tạp mà chính pass là một phần trong đó (lấy hash pass, lại dùng pass để encrypt đoạn hash, lại hash...) cuối cùng ra được cái hash pass KHÔNG THỂ DỊCH NGƯỢC lưu vào DB. Đăng nhập thì ốp nguyên công thức trên vào pass người dùng gõ rồi so sánh trùng với hash pass trong DB hay không.
- Thông tin nhạy cảm (số đt, email, địa chỉ, số thẻ credit...): Được encrypt bằng công thức loằng ngoằng mà chính pass của người dùng là một phần của công thức. Những dữ liệu này chỉ giải mã được khi biết pass và công thức là duy nhất cho 1 user (trừ khi họ dùng pass giống nhau).
Cách đưa password người dùng vào công thức mã hoá khiến cho ngay cả DB admin hoặc kể cả có đọc source code phần mềm cũng không thể giải được thông tin trên DB.


Tải app Tinh tế

Tải app Tinhte - Theo dõi thông tin mà bạn yêu thích

Tải app TinhteTải app Tinhte
Tải app Tinh tế cho Android trên Google PlayTải app Tinh tế cho iPhone, iPad trên App Store





Đang theo dõi




  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2021 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: 209 Đường Nam Kỳ Khởi Nghĩa, Phường 7, Quận 3, TP.HCM
  • Số điện thoại: 02862713156
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019