Ako zabezpečujú webové stránky vaše heslá?

Reklama

Teraz zriedka ideme mesiac bez toho, aby sme počuli o nejakom porušení údajov; mohlo by to byť aktuálne služby, ako je Gmail Je váš účet Gmail medzi 42 miliónmi poverených poverení? Čítaj viac alebo na niečo, na čo väčšina z nás zabudla, ako MySpace Facebook sleduje všetkých, MySpace bol napadnutý... [Tech News Digest]Facebook sleduje všetkých na webe, milióny poverení MySpace sú na predaj, Amazon privádza Alexa do vášho prehliadača, No Man's Sky trpí oneskorením a Pong Project sa formuje. Čítaj viac .

Faktor zvyšovania povedomia o tom, ako sú naše súkromné ​​informácie vysávač Google Päť vecí, o ktorých Google pravdepodobne vie Čítaj viac , sociálne médiá (najmä Facebook Ochrana osobných údajov na Facebooku: 25 vecí, ktoré o vás sociálna sieť vieFacebook vie o nás prekvapivé množstvo - informácie, ktoré dobrovoľne dobrovoľne poskytneme. Z týchto informácií môžete získať informácie o demografických údajoch, zaznamenávať „páči sa mi“ a sledovať vzťahy. Tu je 25 vecí, o ktorých Facebook vie ... Čítaj viac

), a dokonca naše vlastné smartphony Aký je najbezpečnejší mobilný operačný systém?Bojujúc o titul Najbezpečnejšieho mobilného operačného systému máme: Android, BlackBerry, Ubuntu, Windows Phone a iOS. Ktorý operačný systém je najlepší v boji proti online útokom? Čítaj viac , a nikto vás nemôže viniť z toho, že ste trochu paranoidní o tom, ako sa webové stránky starajú o niečo ako dôležité ako vaše heslo Všetko, čo potrebujete vedieť o hesláchHeslá sú dôležité a väčšina ľudí o nich nevie dosť. Ako si vyberiete silné heslo, všade používate jedinečné heslo a pamätáte si ich všetky? Ako zabezpečíte svoje účty? Ako robiť... Čítaj viac .

V skutočnosti, pre pokoj v duši je to niečo, čo musí každý vedieť ...

Najhorší scenár: obyčajný text

Zvážte toto: Hlavná webová stránka bola napadnutá. Počítačoví zločinci prelomili všetky základné bezpečnostné opatrenia, ktoré podnikli, možno využívajú nedostatky vo svojej architektúre. Ste zákazníkom. Táto stránka uložila vaše údaje. Našťastie ste si boli istí, že vaše heslo je bezpečné.

Okrem toho web ukladá vaše heslo ako obyčajný text.

Vždy to bola tikajúca bomba. Obyčajné textové heslá čakajú na vyplienenie. Nepoužívajú žiadny algoritmus, aby boli nečitateľné. Hackeri to dokážu prečítať rovnako jednoducho, ako čítate túto vetu.

Je to desivá myšlienka, však? Nezáleží na tom, aké zložité je vaše heslo, aj keď je to až 30 číslic: obyčajná textová databáza je zoznam hesiel každého používateľa, ktoré sú jasne napísané, vrátane akýchkoľvek ďalších čísel a znakov, ktoré máte použiť. Aj keď hackeri nie bezva, ak chcete, aby správca videl vaše dôverné prihlasovacie údaje?

# c4news

Vždy používam dobré a silné heslo ako Hercules alebo Titan a nikdy som nemal žiadne problémy ...

- Neobťažujte sa (@emilbordon) 16. augusta 2016

Možno si myslíte, že sa jedná o veľmi zriedkavý problém, ale odhadom 30% webových stránok elektronického obchodu používa túto metódu na „zabezpečenie“ vašich údajov - v skutočnosti existuje celý blog venovaný zvýrazneniu týchto páchateľov! Až do minulého roka si tak aj NHL ukladali heslá, ako to robil Adobe pred závažným porušením.

Šokujúco, firma na ochranu pred vírusmi, Program McAfee tiež používa obyčajný text.

Jednoduchý spôsob, ako zistiť, či to web používa, je, že hneď po registrácii od nich dostanete e-mail s uvedením vašich prihlasovacích údajov. Veľmi uhladený. V takom prípade môžete chcieť zmeniť všetky weby s rovnakým heslom a kontaktovať spoločnosť, aby ich upozornila, že ich bezpečnosť je znepokojujúca.

Neznamená to nevyhnutne, že ich ukladajú ako obyčajný text, ale je to dobrý ukazovateľ - a v skutočnosti by také správy v e-mailoch nemali posielať. Môžu to tvrdiť majú brány firewall a kol. chrániť pred počítačovými zločincami, ale pripomína im, že žiadny systém nie je bezchybný a visí nad očakávaním straty zákazníkov pred nimi.

Čoskoro zmení názor. Dúfajme, že ...

Nie tak dobré, ako to znie: Šifrovanie

Čo tieto stránky robia?

Mnoho z nich sa obráti na šifrovanie. Všetci sme o tom počuli: zdanlivo nepriepustný spôsob šifrovania vašich informácií a ich nečitateľnosti pokiaľ nie sú k dispozícii dva kľúče - jeden, ktorý vlastníte (to sú vaše prihlasovacie údaje), a druhý príslušná spoločnosť prezentované. Je to skvelý nápad, ktorý by ste mali mať implementovať do smartfónu 7 dôvodov, prečo by ste mali šifrovať údaje smartfónuŠifrujete svoje zariadenie? Všetky hlavné operačné systémy smartfónov ponúkajú šifrovanie zariadenia, mali by ste ho však používať? Tu je dôvod, prečo sa oplatí šifrovať smartfóny a nebude to mať vplyv na spôsob používania smartfónu. Čítaj viac a ďalšie zariadenia.

Internet beží na šifrovanie: keď vy pozri HTTPS v URL HTTPS všade: Podľa možnosti používajte HTTPS namiesto HTTP Čítaj viac , to znamená, že stránka, na ktorej sa nachádzate, používa buď Vrstva Secure Sockets (SSL) Čo je to certifikát SSL a potrebujete ho?Ak sa jedná o osobné údaje, prehliadanie internetu môže byť desivé. Čítaj viac alebo Protokoly TLS (Transport Layer Security) k protokolu overte pripojenia a porovnajte údaje Ako je prehľadávanie webu stále bezpečnejšieMáme certifikáty SSL, ktoré ďakujeme za bezpečnosť a ochranu osobných údajov. Ale nedávne porušenia a nedostatky mohli narušiť vašu dôveru v kryptografický protokol. Našťastie sa SSL prispôsobuje, inovuje - tu je návod. Čítaj viac .

ale napriek tomu, čo ste možno počuli Neverte týmto 5 mýtov o šifrovaní!Šifrovanie znie komplexne, ale je oveľa jednoduchšie, ako si väčšina myslia. Napriek tomu by ste sa mohli cítiť príliš tmavo na to, aby ste mohli používať šifrovanie, buďte teda prihodení nejaké mýty o šifrovaní! Čítaj viac , šifrovanie nie je dokonalé.

Whaddya znamená, že moje heslo nemôže obsahovať zadné priestory ???

- Derek Klein (@rogue_analyst) 11. augusta 2016

Malo by byť bezpečné, ale je to také bezpečné, ako v ktorom sú uložené kľúče. Ak web chráni váš kľúč (t. J. Heslo) pomocou vlastného kódu, hacker by ho mohol odhaliť, aby ho našiel a dešifroval. Na nájdenie hesla by vyžadovalo pomerne malé úsilie zlodeja; Preto sú kľúčové databázy obrovským cieľom.

V zásade, ak je ich kľúč uložený na rovnakom serveri ako váš, vaše heslo môže byť rovnako ako obyčajný text. Preto na vyššie uvedenej stránke PlainTextOffenders sú uvedené aj služby, ktoré používajú reverzibilné šifrovanie.

Prekvapivo jednoduché (ale nie vždy efektívne): Hašovanie

Teraz sa niekde dostávame. Hašovanie hesiel Znie to ako nezmyselný žargón Tech žargón: Naučte sa 10 nových slov naposledy pridaných do slovníka [Podivný a skvelý web]Technológia je zdrojom mnohých nových slov. Ak ste nadšenci a milovníci slov, budete milovať týchto desať, ktoré boli pridané do online verzie anglického slovníka Oxford. Čítaj viac , ale je to jednoducho bezpečnejšia forma šifrovania.

Namiesto uloženia hesla ako obyčajného textu ho webový server spustí pomocou a hašovacia funkcia, napríklad MD5 Čo to všetko vlastne znamená, že látka MD5 značí [vysvetlenie technológie]Tu je úplné zhrnutie MD5, hashovanie a malý prehľad počítačov a kryptografie. Čítaj viac , Algoritmus Secure Hashing Algorithm (SHA) -1 alebo SHA-256, ktorý ho transformuje do úplne inej sady číslic; môžu to byť čísla, písmená alebo akékoľvek iné znaky. Vaše heslo môže byť IH3artMU0. To by sa mohlo zmeniť na 7dVq $ @ ihT, a ak hacker prenikol do databázy, je to všetko, čo môžu vidieť. A funguje to iba jedným spôsobom. Nemôžete ju dekódovať späť.

Bohužiaľ to tak nie je že zabezpečiť. Je to lepšie ako obyčajný text, ale stále je pomerne bežným štandardom pre zločincov. Kľúčom je, že konkrétne heslo vytvára špecifické hashovanie. Má to dobrý dôvod: pri každom prihlásení pomocou hesla IH3artMU0 sa automaticky odovzdá prostredníctvom tejto hashovacej funkcie a web vám umožňuje prístup, ak je hash a ten v databáze danej webovej stránky zápas.

To tiež znamená, že hackeri vyvinuli dúhové tabuľky, zoznam hashov, ktoré už používali iní ako heslá, ktoré sofistikovaný systém dokáže rýchlo prejsť útok hrubou silou Čo sú útoky hrubou silou a ako sa môžete chrániť?Pravdepodobne ste už počuli frázu „útok hrubou silou“. Čo to však presne znamená? Ako to funguje? A ako sa proti tomu môžete chrániť? Toto je potrebné vedieť. Čítaj viac . Ak ste si vybrali a šokujúce zlé heslo 25 hesiel, ktorým sa musíte vyhnúť, použite WhatsApp zadarmo... [Tech News Digest]Ľudia naďalej používajú hrozivé heslá, WhatsApp je teraz úplne zadarmo, AOL zvažuje zmenu názvu, Valve schvaľuje fanúšikovú hru Half-Life a The Boy With a Camera for Face. Čítaj viac , to bude vysoko na dúhových stoloch a môže sa ľahko popraskať; temnejšie, najmä rozsiahlejšie kombinácie, budú trvať dlhšie.

Aké zlé to môže byť? V roku 2012, LinkedIn bol napadnutý Čo potrebujete vedieť o obrovskom úniku z účtov na LinkedInHacker na webe Dark predáva 117 miliónov hackovaných poverovacích údajov spoločnosti LinkedIn za približne 2 200 dolárov v bitcoíne. Kevin Shabazi, generálny riaditeľ a zakladateľ spoločnosti LogMeOnce, nám pomáha porozumieť tomu, čo je ohrozené. Čítaj viac . E-mailové adresy a príslušné hashe boli vynechané. To je 177,5 milióna hashov, ktoré ovplyvňuje 164,6 milióna používateľov. Možno zistíte, že to nie je príliš znepokojujúce: ide iba o množstvo náhodných číslic. Docela nerozlúštiteľné, však? Dvaja profesionálni crackeri sa rozhodli odobrať vzorku 6,4 milióna hashov a zistiť, čo môžu urobiť.

oni prasklo 90% z nich za necelý týždeň.

Tak dobrý, ako to dostane: Solenie a pomalé hasenie

Žiadny systém nie je impregnovateľný Mýtovci: Nebezpečné bezpečnostné rady, ktoré by ste sa nemali riadiťPokiaľ ide o internetovú bezpečnosť, každý a ich bratranec majú radu, aby vám ponúkli najlepšie softvérové ​​balíky na inštaláciu, riskantné stránky, na ktoré sa treba vyhnúť, alebo osvedčené postupy, pokiaľ ide o ... Čítaj viac - hackeri sa prirodzene budú usilovať o odstránenie všetkých nových bezpečnostných systémov, ale zavedené silnejšie techniky podľa najbezpečnejších stránok Každý zabezpečený web to robí pomocou vášho heslaPremýšľali ste niekedy nad tým, ako webové stránky chránia vaše heslo pred porušením údajov? Čítaj viac sú múdrejší hash.

Solené hashy sú založené na praxi kryptografického zdroja, náhodného súboru údajov generovaného pre každé jednotlivé heslo, zvyčajne veľmi dlhého a veľmi zložitého. Tieto ďalšie číslice sa pridajú na začiatok alebo koniec hesla (alebo e-mailového hesla) kombináciou) pred tým, ako prejde funkciou hash, na boj proti pokusom o použitie dúhové stoly.

Zvyčajne nezáleží na tom, či sú soli uložené na rovnakých serveroch ako hash; praskanie súboru hesiel môže byť pre hackerov veľmi náročné na čas, môže byť ešte tvrdšie, ak je vaše samotné heslo je neprimerané a komplikované 6 tipov na vytvorenie nerozbitného hesla, na ktoré si pamätáteAk vaše heslá nie sú jedinečné a nerozbitné, môžete tiež otvoriť predné dvere a pozvať lupičov na obed. Čítaj viac . Preto by ste mali vždy používať silné heslo bez ohľadu na to, do akej miery dôverujete bezpečnosti webových stránok.

Webové stránky, ktoré berú svoju bezpečnosť, a tým pádom aj vašu bezpečnosť, obzvlášť vážne, sa čoraz viac obracajú k pomalému hashovaniu. Najznámejšie funkcie hash (MD5, SHA-1 a SHA-256) už dávno existujú a často sa používajú, pretože sa dajú relatívne ľahko implementovať a hashovanie sa aplikuje veľmi rýchlo.

Zaobchádzajte s heslom ako so zubnou kefkou, pravidelne ho meňte a nezdieľajte!

- Anti-Bullying Pro (od charitatívnej organizácie The Diana Award) (@AntiBullyingPro) 13. augusta 2016

Aj keď stále používajú soli, pomalé hashe sú ešte lepšie v boji proti akýmkoľvek útokom, ktoré sa spoliehajú na rýchlosť; obmedzením hackerov na podstatne menší počet pokusov za sekundu ich trvá dlhšie, kým sa trhliny nespôsobia, čím sa pokusy o prácu nestoja za to, berúc do úvahy aj zníženú mieru úspešnosti. Počítačoví zločinci musia zvážiť, či stojí za to útočiť na časovo náročné systémy pomalého hashovania na porovnateľne „rýchle opravy“: zdravotnícke zariadenia majú zvyčajne menšiu bezpečnosť 5 dôvodov, prečo sa krádež lekárskej identity zvyšujePodvodníci požadujú vaše osobné údaje a informácie o bankovom účte - vedeli ste však, že vaše lekárske záznamy ich tiež zaujímajú? Zistite, čo s tým môžete urobiť. Čítaj viac napríklad údaje, ktoré by sa tu mohli získať stále sa predávajú za prekvapivé sumy Tu je popis, koľko vašej identity by sa mohlo oplatiť na temnom webeJe nepohodlné myslieť na seba ako na komoditu, ale pre všetkých zločincov online stoja za to, aby všetky vaše osobné údaje, od mena a adresy až po podrobnosti o bankovom účte, boli niečo hodnotné. Koľko stojíš? Čítaj viac .

Je to tiež veľmi prispôsobivé: ak je systém pod mimoriadnym tlakom, môže sa spomaliť ešte viac. Coda Hale, Bývalý vývojár softvéru pre princípy spoločnosti Microsoft, porovnáva MD5 s pravdepodobne najvýznamnejšou funkciou pomalého hashovania, bcrypt (iné zahŕňajú PBKDF-2 a scrypt):

„Namiesto toho, aby som si každých 40 sekúnd [ako s MD5] praskal heslo, prelomil by som ich každých 12 rokov [keď systém používa šifrovanie]. Vaše heslá nemusia potrebovať taký druh zabezpečenia a možno budete potrebovať rýchlejší porovnávací algoritmus, ale bcrypt vám umožňuje zvoliť si rovnováhu medzi rýchlosťou a bezpečnosťou. “

A pretože pomalé hashovanie môže byť implementované za menej ako sekundu, na používateľov by to nemalo mať vplyv.

Prečo na tom záleží?

Keď využívame službu online, uzavierame zmluvu o dôvere. Mali by ste mať istotu, že vaše osobné informácie sú chránené.

„Môj laptop je nastavený na fotografovanie po troch nesprávnych pokusoch o heslo“ pic.twitter.com/yBNzPjnMA2

- Mačky vo vesmíre (@CatsLoveSpace) 16. augusta 2016

Bezpečné uloženie hesla Kompletný sprievodca na zjednodušenie a zabezpečenie vášho života pomocou LastPass a XmarksAj keď cloud znamená, že máte ľahký prístup k dôležitým informáciám bez ohľadu na to, kde sa nachádzate, znamená to aj to, že máte veľa hesiel, ktoré si môžete sledovať. Preto bol vytvorený LastPass. Čítaj viac je obzvlášť dôležité. Napriek mnohým upozorneniam, mnohí z nás používajú to isté pre rôzne weby, takže ak existujú napríklad porušenie Facebooku Bol váš Facebook napadnutý? Tu je postup, ako to povedať (a opraviť)Existujú kroky, ktoré môžete urobiť, aby ste zabránili hackerstvu na Facebooku, a veci, ktoré môžete urobiť v prípade, že dôjde k napadnutiu Facebooku. Čítaj viac , vaše prihlasovacie údaje pre akékoľvek iné stránky, ktoré často používate s rovnakým heslom, môžu byť tiež otvorenou knihou pre zločincov.

Objavili ste nejakých páchateľov obyčajného textu? Ktorým webom dôverujete implicitne? Aký je podľa vás ďalší krok k bezpečnému uloženiu hesla?

Obrázkové kredity: Afrika Studio / Shutterstock, nesprávne heslá od Lulu Hoeller [Už nie sú k dispozícii]; Prihlásiť sa od spoločnosti Automobile Italia; Súbory s heslom pre Linux od Christiaan Colen; a trepačka soli od Karyn Christner.