2025-11-10T02:36:02.492459

Hash chaining degrades security at Facebook

Rivasseau
Modern web and digital application password storage relies on password hashing for storage and security. Ad-hoc upgrade of password storage to keep up with hash algorithm norms may be used to save costs but can introduce unforeseen vulnerabilities. This is the case in the password storage scheme used by Meta Platforms which services several billion monthly users worldwide. In this paper we present the first example of an exploit which demonstrates the security weakness of Facebook's password storage scheme, and discuss its implications. Proper ethical disclosure guidelines and vendor notification were followed.
academic

تدهور الأمان بسبب ربط التجزئة في فيسبوك

المعلومات الأساسية

  • معرّف الورقة البحثية: 2510.12665
  • العنوان: تدهور الأمان بسبب ربط التجزئة في فيسبوك
  • المؤلف: توماس ريفاسو (جامعة ماكجيل)
  • التصنيف: cs.CR (التشفير والأمان)
  • تاريخ النشر: أكتوبر 2025
  • رابط الورقة: https://arxiv.org/abs/2510.12665

الملخص

يعتمد تخزين كلمات المرور في تطبيقات الويب والتطبيقات الرقمية الحديثة على تجزئة كلمات المرور للتخزين والأمان. قد يؤدي الترقية المرتجلة لتخزين كلمات المرور للمواكبة مع معايير خوارزميات التجزئة الحالية، بهدف توفير التكاليف، إلى إدخال ثغرات أمنية غير متوقعة. هذا هو الحال في نظام تخزين كلمات المرور المستخدم من قبل منصات ميتا التي تخدم عدة مليارات مستخدم نشط شهرياً في جميع أنحاء العالم. في هذه الورقة، نقدم أول مثال على استغلال يوضح نقاط الضعف الأمنية في نظام تخزين كلمات المرور في فيسبوك، ونناقش آثاره. تم اتباع إرشادات الإفصاح الأخلاقي المناسبة وإخطار المورد.

خلفية البحث والدافع

تعريف المشكلة

المشكلة الأساسية التي يسعى هذا البحث إلى حلها هي: قد تؤدي استراتيجيات الترقية التدريجية لخوارزميات التجزئة التي تعتمدها المنصات الإنترنتية الكبرى لتوفير التكاليف إلى إدخال ثغرات أمنية خطيرة.

أهمية المشكلة

  1. نطاق التأثير الهائل: تخدم منصة ميتا حوالي 4 مليارات مستخدم نشط شهرياً، مما يجعل مشاكل الأمان ذات تأثير عالمي واسع
  2. التمثيل الصناعي: كشركة رائدة في التكنولوجيا، قد يتم محاكاة نهج فيسبوك من قبل شركات أخرى
  3. الفجوة بين النظرية والممارسة: يوضح أن التجزئة المتسلسلة الآمنة نظرياً قد تحتوي على عيوب أساسية في التطبيق العملي

حدود الطرق الموجودة

تتطلب خطط ترقية تخزين كلمات المرور التقليدية:

  • الحفاظ على جداول تجزئة مزدوجة (MD5 القديم و SHA1 الجديد)
  • انتظار إعادة تسجيل دخول جميع المستخدمين لإكمال الهجرة
  • التعامل مع مشاكل هجرة البيانات للمستخدمين غير النشطين لفترات طويلة
  • تحمل تكاليف إعادة هيكلة النظام الباهظة

دافع البحث

لتجنب التكاليف المذكورة أعلاه، ابتكر مهندسو فيسبوك حلاً باستخدام ربط التجزئة، لكن هذا الحل "الذكي" في الواقع أدخل ثغرات أمنية خطيرة تتطلب تحليلاً متعمقاً لآثارها الأمنية.

المساهمات الأساسية

  1. الكشف الأول عن العيب الأساسي في أمان تخزين كلمات المرور في فيسبوك: إثبات أن قوة الأمان في نظام ربط التجزئة تنخفض إلى مستوى أضعف حلقة وهي MD5
  2. توفير كود استغلال قابل للعمل: عرض هجوم تصادم تجزئة فعلي يسمح بتسجيل الدخول إلى حسابات فيسبوك باستخدام كلمات مرور خاطئة
  3. تحليل شامل للآثار الأمنية: تقييم مفصل لتأثير هذه الثغرة على مليارات المستخدمين وبيئة OAuth
  4. الالتزام بمبادئ الإفصاح المسؤول: تم إخطار ميتا بالثغرة قبل النشر العام والحصول على تأكيد

شرح الطريقة

إطار تحليل الثغرة

معمارية ربط التجزئة في فيسبوك

يستخدم فيسبوك سلسلة التجزئة التالية لتخزين كلمات المرور:

كلمة المرور = pw
md5(pw) = m
sha1(m, salt) = s1
sha256(s1, secret) = s2
scrypt(s2) = s3
sha256(s3) = value

تحديد العيب الأمني

المشكلة الأساسية: تقتصر قوة الأمان في سلسلة التجزئة بأكملها على قوة خوارزمية MD5 في الخطوة الأولى.

الإثبات الرياضي: لمرشحي كلمات مرور مختلفين a و b، إذا كان md5(a) = md5(b)، فإن:

a ≠ b
md5(a) = m(a) = m(b)
sha1(m(a), salt(a)) = s1(a) = s1(b)
sha256(s1(a), secret) = s2(a) = s2(b)
scrypt(s2(a)) = s3(a) = s3(b)
sha256(s3(a)) = value(a) = value(b)

طريقة استغلال الثغرة

اختيار أزواج التصادم

استخدام أزواج تصادم MD5 التي نشرها مارك ستيفنز في عام 2024:

a = TEXTCOLLBY fGiJUETHQ4hEcKSMd5zY pgqf1YRDhkmxHkhPWptrkoyz28wnI9V 0aHeAuaKnak
b = TEXTCOLLBY fGiJUETHQ4hAcKSMd5zY pgqf1YRDhkmxHkhPWptrkoyz28wnI9V 0aHeAuaKnak

التحقق: md5(a) = md5(b) = faad49866e9498fc1719f5289e7a0269

تدفق الهجوم

  1. إنشاء حساب فيسبوك وتعيين كلمة المرور للنص a
  2. تسجيل الخروج وحذف بيانات المتصفح
  3. محاولة تسجيل الدخول باستخدام النص b كلمة مرور
  4. النتيجة: نجاح تسجيل الدخول، مما يثبت وجود الثغرة

إعداد التجربة

بيئة الاختبار

  • المنصة: Facebook.com
  • وقت الاختبار: وقت كتابة الورقة (أكتوبر 2025)
  • طريقة التحقق: اختبار إنشاء حساب وتسجيل دخول فعلي

خطوات التحقق

  1. إنشاء الحساب: استخدام أول نص من أزواج تصادم MD5 كلمة مرور
  2. إعادة تعيين البيئة: تغيير الجهاز/الشبكة لمحاكاة بيئة مستخدم مختلفة
  3. التحقق من الهجوم: محاولة تسجيل الدخول باستخدام نص التصادم الثاني
  4. تأكيد النتيجة: التحقق المنهجي من معدل نجاح الهجوم

نتائج التجربة

الاكتشافات الرئيسية

  • معدل نجاح الهجوم: 100% (نجاح منهجي خلال فترة الاختبار)
  • تأكيد الثغرة: يستخدم فيسبوك فعلاً نظام ربط التجزئة المنشور في عام 2014
  • تدهور الأمان: انخفضت قوة أمان كلمة المرور من 256 بت إلى 123-128 بت

تقييم التأثير الأمني

التأثير المباشر

  1. الوصول إلى الحساب: إمكانية تسجيل الدخول إلى حسابات فيسبوك باستخدام كلمات مرور غير أصلية
  2. تعقيد استرجاع كلمة المرور: انخفاض من 2^256 إلى 2^123-2^128
  3. توافق المعايير: عدم الامتثال لمعايير أمان NIST
  4. حد熵 كلمة المرور: الحد الأقصى لإنتروبيا كلمة المرور الفعلية هو 15-16 حرفاً فقط

التأثير على النظام البيئي

  • خدمات OAuth: جميع الخدمات الخارجية التي تستخدم تسجيل الدخول عبر فيسبوك OAuth متأثرة
  • المستخدمون المؤسسيون: المنظمات التي تستخدم خدمات فيسبوك المؤسسية تواجه مخاطر أمنية

الأعمال ذات الصلة

تطور تجزئة كلمات المرور

  1. الخطط المبكرة: خوارزمية MD5 (أوائل العقد الأول من القرن الحادي والعشرين)
  2. اكتشاف مشاكل الأمان: عام 2005 عرض Lenstra وآخرون هجمات تصادم MD5
  3. الإيقاف الرسمي: عام 2008 أوصت جامعة كارنيجي ميلون بوقف استخدام MD5
  4. المعايير الحديثة: توصي NIST بخوارزميات SHA-256 وما فوق

استراتيجيات الترقية التدريجية

  • الخطط التقليدية: جداول مزدوجة متوازية مع هجرة تدريجية
  • خطة فيسبوك: تراكم سلسلة التجزئة
  • المقايضة الأمنية: التوازن بين فعالية التكلفة والأمان

الاستنتاجات والمناقشة

الاستنتاجات الرئيسية

  1. عيب أساسي: يحتوي نظام ربط التجزئة في فيسبوك على عيب أمني على مستوى التصميم
  2. قابلية الاستغلال العملي: يمكن استغلال الثغرة فعلياً، مما يؤثر على مليارات المستخدمين
  3. انتهاك المعايير: عدم الامتثال للمعايير والممارسات الأمنية الحالية على الإنترنت
  4. التأثير على النظام البيئي: يؤثر على نظام OAuth البيئي بأكمله في فيسبوك

تحليل القيود

  1. متطلبات الهجوم: يتطلب القدرة على تعيين كلمة مرور الحساب، مما يحد من سيناريوهات التهديد العملي
  2. تدابير الحماية: يمكن للمصادقة متعددة العوامل والتدابير الأمنية الإضافية تخفيف المخاطر
  3. التعقيد الحسابي: يظل العثور على تصادمات صعباً بالنسبة لكلمات المرور العشوائية
  4. سلوك المستخدم: معظم كلمات المرور الخاصة بالمستخدمين لها إنتروبيا منخفضة، وقد تكون الهجمات التقليدية أكثر فعالية

اتجاهات البحث المستقبلية

  1. استراتيجيات الهجرة على نطاق واسع: البحث عن خطط ترقية تخزين كلمات المرور آمنة واقتصادية
  2. تحليل أمان سلسلة التجزئة: إنشاء إطار نظري لأمان سلسلة التجزئة
  3. تقييم التهديد العملي: تحديد المخاطر الأمنية الفعلية لهذه الأنواع من الثغرات

التقييم المتعمق

المميزات

  1. اكتشاف مهم: الكشف عن ثغرة أمنية فعلية تؤثر على مليارات المستخدمين
  2. طريقة صارمة: عملية بحثية شاملة من التحليل النظري إلى التحقق العملي
  3. الإفصاح المسؤول: اتباع عملية إفصاح ثغرات مناسبة
  4. القيمة العملية: توفير تحذير أمني مهم للصناعة

أوجه القصور

  1. حدود نموذج التهديد: سيناريوهات الهجوم محدودة نسبياً، قد يتم المبالغة في التهديد الفعلي
  2. العمق التقني: التحليل غير كافٍ لهجمات الصورة المسبقة MD5
  3. غياب الحلول: عدم توفير توصيات إصلاح محددة
  4. تحديد التأثير: نقص التحليل الكمي لتكاليف وفوائد الهجوم الفعلي

تقييم التأثير

  1. القيمة الأكاديمية: توفير حالة دراسية مهمة لأبحاث أمان تخزين كلمات المرور
  2. التأثير الصناعي: قد يدفع المنصات الكبرى لإعادة النظر في استراتيجيات تخزين كلمات المرور
  3. وضع المعايير: توفير مرجع لتحسين معايير الأمان ذات الصلة
  4. القيمة التعليمية: توضيح كيف قد تؤدي القرارات الموجهة بالتكلفة إلى مخاطر أمنية

السيناريوهات المعمول بها

  1. المنصات الإنترنتية الكبرى: الشركات التي تتعامل مع ترقية كلمات المرور لملايين المستخدمين
  2. التدقيق الأمني: فريق أمان الشركات كمرجع لتقييم الأنظمة الموجودة
  3. البحث الأكاديمي: الأبحاث ذات الصلة بعلم التشفير والأمان السيبراني
  4. وضع السياسات: وضع سياسات تنظيم الأمان السيبراني

المراجع

تستشهد هذه الورقة بـ 30 مرجعاً ذا صلة، تغطي:

  • أبحاث أمان خوارزميات التجزئة (معايير NIST وتحليل عيوب MD5)
  • أفضل الممارسات في تخزين كلمات المرور (إرشادات OWASP وتوصيات CISA)
  • المشاركات التقنية من فيسبوك (محاضرة مؤتمر كلمات المرور 2014)
  • الحوادث الأمنية ذات الصلة وحالات تسرب البيانات

أهمية البحث: لا تكشف هذه الدراسة فقط عن ثغرة أمنية فعلية تؤثر على مليارات المستخدمين، بل الأهم من ذلك أنها تذكر الصناعة بأكملها بأنه في السعي لتحقيق فعالية التكلفة، لا يمكن تجاهل المبادئ الأساسية للأمان. قوة أمان سلسلة التجزئة تعتمد على أضعف حلقة فيها، وهذا الاكتشاف له قيمة مهمة في توجيه تصميم أنظمة تخزين كلمات المرور في المستقبل.