Modsat hvad det tidligere blev antaget, så var de stjålne kodeord fra Adobes databaser ikke hashet. Det har Adobe og flere analytikere bekræftet ifølge Infoworld.
Selv om hashing anses som best practice, var de mange kodeord i stedet krypteret med 3DES-kryptering, som normalt ikke bruges til at sikre den type data.
Problemet ligger i, at det i teorien er muligt at bryde krypteringer via eksempelvis brute force-teknikker, eller hvis angriberen er i stand til at gætte krypteringsnøglen. Det skriver Infoworld, der dog understreger, at det ikke er enkelt at bryde den anvendte 3DES-kryptering. Det ændrer dog ikke på, at det går imod de traditionelle best practice-forskrifter, når det gælder optimal sikring af kodeord.
Fordelen ved at hashe kodeordene med særlige algoritmer, er, at det praktisk talt bliver umuligt at få adgang til de hashede data ved hjælp af brute force-angreb. En sikkerhed, der kun bliver større, hvis der bruges ‘salt’ sammen med hashingen, hvilket tildeler et ekstra lag af sikkerhed til det enkelte kodeord.
Adobe fortæller, at virksomheden det seneste års tid netop har benyttet sig af denne teknik sammen med hash-algoritmen SHA-256 på sine autentifikationssystemer.
Problemet var blot, at det ikke var dette nye system, hackerne angreb tilbage i oktober, men derimod et ældre backup-system, som stod til at skulle pensioneres.
Leave a Reply