Kako spletna mesta varujejo gesla?

Oglas

Zdaj redko mineva mesec dni, ne da bi slišali za kakšno kršitev podatkov; morda je posodobljen storitev, kot je Gmail Ali je vaš Gmail račun med 42 milijoni izpuščenih poverilnic? Preberi več ali na kaj večina od nas je pozabila, kot je MySpace Facebook sledi vsem, MySpace sem dobil... [Tech News Digest]Facebook spremlja vse po spletu, milijoni poverilnic za MySpace so na voljo za prodajo, Amazon pripelje Alexa v vaš brskalnik, No Man's Sky ima zamudo in Pong Project se oblikuje. Preberi več .

Dejavnik naše vse večje ozaveščenosti o načinih zasebnih informacij ki ga je sesal Google Pet stvari, ki jih Google verjetno ve o tebi Preberi več , socialni mediji (predvsem Facebook Zasebnost Facebooka: 25 stvari, ki jih družabno omrežje ve o tebiFacebook pozna presenetljivo količino o nas - informacije, ki jih prostovoljno dajemo. Iz teh podatkov si lahko določite demografske podatke, zabeležite svoje "všečke" in spremljate odnose. Tukaj je 25 stvari, o katerih Facebook ve ... Preberi več

), in celo naši zelo lastni pametni telefoni Kaj je najbolj varen mobilni operacijski sistem?Pri nas se borimo za naslov najbolj varnih mobilnih operacijskih sistemov: Android, BlackBerry, Ubuntu, Windows Phone in iOS. Kateri operacijski sistem se najbolje obvladuje proti spletnim napadom? Preberi več in nihče vas ne more kriviti, da ste nekoliko paranoični glede tega, kako spletna mesta izgledajo kot pomembno kot vaše geslo Vse, kar morate vedeti o geslihGesla so pomembna in večina ljudi o njih ne ve dovolj. Kako izberete močno geslo, povsod uporabite edinstveno geslo in si jih vse zapomnite? Kako zavarujete svoje račune? Kako ... Preberi več .

V resnici je zaradi miru tega treba vedeti nekaj ...

Scenarij najslabšega primera: Navadno besedilo

Razmislite o tem: večje spletno mesto je bilo vdrto. Kibernetski kriminalci so se prebili skozi vse osnovne varnostne ukrepe, ki so jih morda sprejeli, morda izkoristijo napako v svoji arhitekturi. Ste stranka. To spletno mesto je shranilo vaše podatke. Na srečo ste bili prepričani, da je vaše geslo varno.

Razen tega spletno mesto shrani vaše geslo kot navadno besedilo.

Vedno je šlo za bombo. Navadna besedilna gesla samo čakajo, da jih oropajo. Ne uporabljajo nobenega algoritma, da bi bili nečitljivi. Hekerji ga lahko preberejo preprosto tako, kot berete ta stavek.

To je strašljiva misel, kajne? Ni pomembno, kako zapleteno je vaše geslo, čeprav je pi do 30 števk: navadna besedilna baza je seznam gesel za vsakogar, jasno napisan, vključno z dodatnimi številkami in znaki uporaba. Tudi če hekerji ne pokvarite spletno mesto, ali res želite, da bi administrator lahko videl vaše zaupne podatke za prijavo?

# c4news

Vedno uporabljam dobro, močno geslo, kot sta Hercules ali Titan, in nikoli nisem imel težav ...

- Ne moti se (@emilbordon) 16. avgusta 2016

Morda mislite, da gre za zelo redek problem, vendar približno 30% spletnih mest za e-trgovino uporablja to metodo za "zaščito" vaših podatkov - v resnici obstaja cel blog, namenjen izpostavljanju teh prestopnikov! Do lani je celo NHL na ta način shranjeval gesla, kot je to storil Adobe pred večjo kršitvijo.

Šokantno, podjetje za zaščito pred virusi, McAfee uporablja tudi navadno besedilo.

Če to spletno mesto uporablja preprosto, ugotovite, če takoj po prijavi od njega prejmete e-poštno sporočilo s podatki o prijavi. Zelo dodobra. V tem primeru boste morda želeli spremeniti katera koli spletna mesta z istim geslom in se obrniti na podjetje in jih opozoriti, da njihova varnost skrbi.

Ni nujno, da jih shranjujejo kot navadno besedilo, vendar je to dober pokazatelj - in takšnih stvari v e-poštnih sporočilih resda ne bi smeli pošiljati. To lahko trdijo imajo požarne zidove et al. da bi se zaščitili pred kibernetskimi kriminalci, vendar jih opomnite, da noben sistem ni brezhiben in prepušča možnosti izgube strank pred njimi.

Kmalu se bodo premislili. Upajmo ...

Ni tako dobro, kot se sliši: Šifriranje

Torej, kaj počnejo te spletne strani?

Mnogi se bodo obrnili na šifriranje. Vsi smo že slišali o tem: na videz neopazen način, kako zapisati podatke in jih narediti neberljive dokler nista dva ključa - enega, ki ga imate v lasti (to je vaše podatke za prijavo), drugega pa zadevno podjetje predstavljena. To je odlična ideja, ki bi jo sploh morali izvedite na svojem pametnem telefonu 7 razlogov, zakaj morate šifrirati podatke pametnega telefonaAli šifrirate svojo napravo? Vsi glavni operacijski sistemi pametnih telefonov ponujajo šifriranje naprav, a bi ga morali uporabiti? Tu je razlog, zakaj je šifriranje pametnih telefonov vredno in ne bo vplivalo na način uporabe pametnega telefona. Preberi več in druge naprave.

Internet deluje na šifriranju: ko vi glej HTTPS v URL-ju HTTPS povsod: Uporabite HTTPS namesto HTTP, kadar je to mogoče Preberi več , to pomeni, da spletno mesto, ki ga uporabljate, uporablja bodisi Sloj varnih vtičnic (SSL) Kaj je SSL potrdilo in ga potrebujete?Brskanje po internetu je lahko strašljivo, če gre za osebne podatke. Preberi več ali protokolov varnosti TLS za prevozni sistem do preverite povezave in povežite podatke Kako brskanje po spletu postaja še bolj varnoImamo SSL certifikate, s katerimi se zahvaljujemo za našo varnost in zasebnost. Toda nedavne kršitve in pomanjkljivosti so morda zmanjšale vaše zaupanje v kriptografski protokol. Na srečo se SSL prilagaja, nadgrajuje - takole. Preberi več .

Ampak kljub temu, kar ste morda slišali Ne verjemite teh 5 mitov o šifriranju!Šifriranje se sliši zapleteno, vendar je veliko bolj preprosto, kot si večina misli. Kljub temu pa se boste morda počutili nekoliko preveč v temi, da bi izkoristili šifriranje, zato prekinimo nekaj mitov o šifriranju! Preberi več , šifriranje ni popolno.

Kaj pomeni, da moje geslo ne more vsebovati povratnih prostorov ???

- Derek Klein (@rogue_analyst) 11. avgusta 2016

To bi moralo biti varno, vendar je varno le, kje so ključi shranjeni. Če spletno mesto ščiti vaš ključ (tj. Geslo) s svojim lastnim, bi heker lahko slednjega razkril, da bi ga našel in ga dešifriral. Lopov bi potreboval razmeroma malo napora, da bi našel geslo; zato so ključne baze podatkov množična tarča.

Če je njihov ključ shranjen na istem strežniku kot vaš, je morda geslo tudi v navadnem besedilu. Zato omenjeno spletno mesto PlainTextOffenders navaja tudi storitve, ki uporabljajo reverzibilno šifriranje.

Presenetljivo preprosto (a ne vedno učinkovito): Hashing

Zdaj gremo nekam. Hashing gesla zveni kot neumni žargon Tech Jargon: Naučite se 10 novih besed, ki so bile nedavno dodane v slovar [čudno in čudovito spletno mesto]Tehnologija je vir številnih novih besed. Če ste ljubitelj geka in besed, boste imeli radi teh deset, ki so bili dodani v spletno različico angleškega slovarja v Oxfordu. Preberi več , ampak preprosto varnejša oblika šifriranja.

Namesto da geslo shrani kot navadno besedilo, ga spletna stran vodi prek hash funkcijo, kot je MD5 Kaj vse to MD5 komadne stvari dejansko pomeni [pojasnjena tehnologija]Tukaj je popolno razpadanje MD5, hashing in majhen pregled računalnikov in kriptografije. Preberi več , Algoritem varnega hešinga (SHA) -1 ali SHA-256, ki ga pretvori v povsem drugačen nabor številk; to so lahko številke, črke ali kateri koli drug znak. Vaše geslo je lahko IH3artMU0. To bi se lahko spremenilo v 7dVq $ @ ihT, in če bi heker vdrl v bazo podatkov, je to vse, kar lahko vidijo. In deluje samo na en način. Ne morete ga dekodirati nazaj.

Na žalost ni da varno. Boljše je od navadnega besedila, vendar je še vedno precej standardno za kibernetske kriminalce. Ključno je, da določeno geslo ustvari določen hash. Za to obstaja dober razlog: vsakič, ko se prijavite z geslom IH3artMU0, se ta samodejno prenese prek te funkcije hash in spletna stran omogoča dostop, če je ta hash in tisti v bazi podatkov spletnega mesta tekmo.

Pomeni tudi, da so hekerji razvili mavrične tabele, seznam hešev, ki jih že drugi uporabljajo kot gesla, da lahko prefinjen sistem hitro zažene kot napad brutalne sile Kaj so brutalni napadi in kako se lahko zaščitite?Verjetno ste že slišali besedno zvezo "napad brutalne sile." Toda kaj točno to pomeni? Kako deluje? In kako se lahko zaščitite pred tem? Tukaj je tisto, kar morate vedeti. Preberi več . Če ste izbrali šokantno slabo geslo 25 Gesla, ki se jih morate izogibati, brezplačno uporabite WhatsApp... [Tech News Digest]Ljudje še naprej uporabljajo grozna gesla, WhatsApp je zdaj popolnoma brezplačen, AOL razmišlja o spremembi imena, Valve odobri oboževalno igro Half-Life in The Boy With Camera for Face. Preberi več , to bo visoko na mavričnih mizah in jih je mogoče zlahka razbiti; bolj prikriti - zlasti obsežne kombinacije - bodo trajale dlje.

Kako slabo je lahko? Nazaj v letu 2012, LinkedIn je bil hakiran Kaj morate vedeti o množičnem povezovanju računov LinkedInHeker prodaja 117 milijonov prekaljenih poverilnic za LinkedIn na spletu Dark za približno 2200 dolarjev Bitcoin. Kevin Shabazi, izvršni direktor in ustanovitelj LogMeOnce, nam pomaga razumeti, kaj je v nevarnosti. Preberi več . E-poštni naslovi in ​​njihovi ustrezni šifri so bili puščeni. To je 177,5 milijona heš, ki prizadenejo 164,6 milijona uporabnikov. Morda boste ugotovili, da vas to ne vznemirja preveč: le naključne števke. Precej neodločljivo, kajne? Dva profesionalna krekerja sta se odločila, da vzameta vzorec 6,4 milijona hashev in si ogledata, kaj lahko naredita.

Oni razpokalo jih je 90% v nekaj manj kot enem tednu.

Dober, kolikor ga dobimo: soljenje in počasne razpršitve

Noben sistem ni nepredstavljiv Mythbusters: Nevarni varnostni nasveti, ki se jim ne bi smeli držatiKar zadeva internetno varnost, imajo vsi in njihov bratranec nasvete, ki vam bodo ponudili najboljše programske pakete za namestitev, zastrašujoča mesta, ki jih ne potrebujete, ali najboljše prakse, ko gre za ... Preberi več - hekerji bodo seveda delali, da bi zlomili vse nove varnostne sisteme - vendar bodo uporabljene močnejše tehnike po najbolj varnih mestih Vsako varno spletno mesto to stori s svojim geslomSte se že kdaj vprašali, kako spletna mesta ščitijo vaše geslo pred kršitvami podatkov? Preberi več so pametnejši hashi.

Slani heš temeljijo na kriptografski praksi, naključnem nizu podatkov, ustvarjenem za vsako posamezno geslo, običajno zelo dolgo in zelo zapleteno. Te dodatne številke se dodajo na začetek ali konec gesla (ali e-poštnega gesla) kombinacije), preden gre skozi funkcijo hash-a, da bi se boril proti poskusom, uporabljenim mavrične mize.

Na splošno ni pomembno, ali so soli shranjene na istih strežnikih kot hashe; Razbijanje niza gesel lahko za hekerje zelo zamudno, če je vaše, še močnejše geslo samo je pretirano in zapleteno 6 nasvetov za ustvarjanje nepremagljivega gesla, ki se ga lahko spomniteČe vaša gesla niso edinstvena in nepremagljiva, lahko odprete vhodna vrata in povabite roparje na kosilo. Preberi več . Zato morate vedno uporabljati močno geslo, ne glede na to, koliko zaupate varnosti spletnega mesta.

Spletna mesta, ki vzamejo svojo varnost in s tem podaljšajo vašo varnost, se vse pogosteje spreminjajo v počasne razvade kot dodaten ukrep. Najbolj znane hash funkcije (MD5, SHA-1 in SHA-256) so že nekaj časa in se pogosto uporabljajo, ker jih je razmeroma enostavno implementirati in zelo hitro uporabljajo meše.

S svojim geslom ravnajte kot z zobno ščetko, redno ga spreminjajte in ne delite!

- Anti-Bullying Pro (iz dobrodelne nagrade The Diana Award) (@AntiBullyingPro) 13. avgusta 2016

Medtem ko še vedno uporabljate sol, je počasna meša še boljša v boju proti napadom, ki temeljijo na hitrosti; z omejevanjem hekerjev na bistveno manj poskusov na sekundo, traja dlje časa, da se lomijo, s čimer so poskusi manj vredni, če upoštevamo tudi nižjo stopnjo uspešnosti. Kibernetski kriminalci morajo pretehtati, ali je vredno napadati zamudne počasne hash sisteme nad sorazmerno "hitrimi popravki": zdravstvene ustanove imajo običajno manj varnosti 5 razlogov, zakaj se kraja zdravniške identitete povečujeGoljufi želijo vaše osebne podatke in podatke o bančnem računu - a ste vedeli, da jih zanimajo tudi vaše zdravstvene kartoteke? Ugotovite, kaj lahko storite v zvezi s tem. Preberi več na primer, zato lahko podatke, ki jih je mogoče dobiti od tam, lahko še vedno prodajajo za presenetljive vsote Tukaj je nekaj vrednega vaše identitete na temnem spletuNeprijetno je, da o sebi razmišljate kot o blagu, toda vsi vaši osebni podatki, od imena in naslova do podatkov o bančnem računu, so za spletne kriminalce nekaj vredni. Koliko ste vredni? Preberi več .

Prav tako je zelo prilagodljiv: če je sistem zelo obremenjen, se lahko še bolj upočasni. Coda Hale, Microsoftov prejšnji Principle Software Developer, primerja MD5 z morda najbolj opazno funkcijo počasnega hash-a, bcrypt (drugi vključujejo PBKDF-2 in skript):

"Namesto, da bi geslo polomil vsakih 40 sekund [kot pri MD5], bi jih pokvaril vsakih 12 let ali več [ko sistem uporablja bcrypt]. Vaša gesla morda ne potrebujejo takšne varnosti in morda boste potrebovali algoritem hitrejše primerjave, vendar bcrypt vam omogoča, da izberete ravnovesje hitrosti in varnosti. "

In ker se počasen hash še vedno lahko izvede v manj kot sekundi, na uporabnike ne bi smeli vplivati.

Zakaj je pomembno?

Ko uporabljamo spletno storitev, sklenemo zaupno pogodbo. Morate biti varni, če veste, da se vaši osebni podatki hranijo varno.

"Moj prenosni računalnik je nastavljen za fotografiranje po treh napačnih poskusih z geslom." pic.twitter.com/yBNzPjnMA2

- Mačke v vesolju (@CatsLoveSpace) 16. avgusta 2016

Varno shranjevanje gesla Celoten vodnik za poenostavitev in zavarovanje vašega življenja s sistemom LastPass in XmarkČeprav oblak pomeni, da lahko enostavno dostopate do svojih pomembnih informacij, kjer koli že ste, pomeni tudi, da imate na voljo veliko gesel. Zato je nastal LastPass. Preberi več je še posebej pomembno. Kljub številnim opozorilom mnogi od nas uporabljajo isto za različna spletna mesta, tako da če obstajajo npr. kršitev Facebooka Je bil vaš Facebook Hakiran? Tukaj je opisano, kako povedati (in popraviti)Obstajajo koraki, ki jih lahko preprečite, da ne bi bili vdrli na Facebook, in stvari, ki jih lahko storite v primeru, da se vaš Facebook zlomi. Preberi več , lahko vaši podatki za prijavo na katera koli druga spletna mesta, ki jih pogosto uporabljate z istim geslom, predstavljajo tudi odprto knjigo za kibernetske kriminalce.

Ste odkrili preproste kršitelje besedila? Katere spletne strani implicitno zaupate? Kaj menite, da je naslednji korak za varno shranjevanje gesla?

Image Credits: Africa Studio / Shutterstock, Nepravilna gesla Lulu Hoeller [Ni več na voljo]; Prijava s strani Automobile Italia; Linux geslo datotek Christiaan Colen; in stresalnik soli Karyn Christner.