W jaki sposób strony internetowe chronią hasła?

Reklama

Teraz rzadko spędzamy miesiąc bez wiadomości o jakimś naruszeniu danych; to może być aktualne usługa taka jak Gmail Czy Twoje konto Gmail należy do 42 milionów wyciekłych danych logowania? Czytaj więcej lub coś, o czym większość z nas zapomniała, jak MySpace Facebook śledzi wszystkich, MySpace został zhakowany... [Przegląd wiadomości technicznych]Facebook śledzi wszystkich w Internecie, miliony poświadczeń MySpace są na sprzedaż, Amazon wprowadza Alexę do przeglądarki, No Man's Sky ma opóźnienie, a Pong Project nabiera kształtów. Czytaj więcej .

Weź pod uwagę naszą rosnącą świadomość tego, w jaki sposób nasze prywatne informacje są odkurzony przez Google Pięć rzeczy, które Google prawdopodobnie wie o tobie Czytaj więcej , Media społecznościowe (zwłaszcza Facebook Prywatność na Facebooku: 25 rzeczy, które portal społecznościowy wie o tobieFacebook wie o nas zaskakującą ilość - informacje, które chętnie przekazujemy. Na podstawie tych informacji można rozdzielić dane demograficzne, nagrać swoje „polubienia” i monitorować relacje. Oto 25 rzeczy, o których Facebook wie ...

Czytaj więcej ), i nawet nasze własne smartfony Jaki jest najbezpieczniejszy mobilny system operacyjny?Walcząc o tytuł najbezpieczniejszego mobilnego systemu operacyjnego, mamy: Android, BlackBerry, Ubuntu, Windows Phone i iOS. Który system operacyjny najlepiej radzi sobie z atakami online? Czytaj więcej , i nikt nie może winić Cię za to, że jesteś trochę paranoikiem na temat tego, jak strony internetowe wyglądają jak ważne jako hasło Wszystko, co musisz wiedzieć o hasłachHasła są ważne i większość ludzi nie wie o nich wystarczająco dużo. Jak wybrać silne hasło, używać unikalnego hasła wszędzie i pamiętać je wszystkie? Jak zabezpieczyć swoje konta? Jak ... Czytaj więcej .

W rzeczywistości, dla spokoju ducha, każdy musi wiedzieć…

Scenariusz najgorszego przypadku: zwykły tekst

Zastanów się: zhakowana została duża strona internetowa. Cyberprzestępcy przełamali wszelkie podstawowe środki bezpieczeństwa, jakie może podjąć, być może wykorzystując wadę ich architektury. Jesteś klientem Ta strona przechowała twoje dane. Na szczęście masz pewność, że Twoje hasło jest bezpieczne.

Tyle że witryna przechowuje hasło jako zwykły tekst.

To zawsze była tykająca bomba. Hasła w postaci zwykłego tekstu czekają na grabież. Nie używają algorytmu, aby uczynić je nieczytelnymi. Hakerzy mogą to przeczytać tak prosto, jak czytasz to zdanie.

To przerażająca myśl, prawda? Nie ma znaczenia, jak skomplikowane jest Twoje hasło, nawet jeśli składa się z 30 cyfr: zwykła baza danych to lista haseł wszystkich użytkowników, wyraźnie zapisana, w tym wszelkie dodatkowe cyfry i postacie posługiwać się. Nawet jeśli hakerzy nie złamać witrynę, czy naprawdę chciałbyś, aby administrator mógł zobaczyć twoje poufne dane logowania?

# c4news

Zawsze używam dobrego, silnego hasła, takiego jak Hercules lub Titan i nigdy nie miałem żadnych problemów…

- Nie przejmuj się (@emilbordon) 16 sierpnia 2016 r

Może się wydawać, że jest to bardzo rzadki problem, ale około 30% stron internetowych eCommerce korzysta z tej metody w celu „zabezpieczenia” danych - w rzeczywistości istnieje cały blog poświęcony podkreślaniu tych przestępców! Do zeszłego roku nawet NHL przechowywał w ten sposób hasła, podobnie jak Adobe przed poważnym naruszeniem.

Szokująco, firma antywirusowa, McAfee używa również zwykłego tekstu.

Łatwym sposobem sprawdzenia, czy witryna tego używa, jest to, że zaraz po rejestracji otrzymujesz od niej wiadomość e-mail zawierającą dane logowania. Bardzo podejrzany. W takim przypadku możesz zmienić witryny z tym samym hasłem i skontaktować się z firmą, aby ostrzec ich, że ich bezpieczeństwo jest niepokojące.

Nie musi to oznaczać, że przechowują je jako zwykły tekst, ale jest to dobry wskaźnik - i tak naprawdę nie powinni wysyłać tego rodzaju wiadomości e-mail. Mogą się z tym kłócić mają zapory ogniowe i in. aby chronić przed cyberprzestępcami, ale przypominajcie im, że żaden system nie jest bezbłędny i nie grozi im utrata klientów.

Wkrótce zmienią zdanie. Ufnie…

Nie tak dobry, jak się wydaje: szyfrowanie

Więc co te strony robią?

Wielu przejdzie na szyfrowanie. Wszyscy o tym słyszeliśmy: pozornie nieprzepuszczalny sposób szyfrowania twoich informacji, który czyni je nieczytelnymi dopóki dwa klucze - jeden przechowywany przez ciebie (to twoje dane logowania), a drugi przez dane przedsiębiorstwo - są przedstawione. To świetny pomysł, który powinieneś nawet wdrożyć na smartfonie 7 powodów, dla których warto szyfrować dane smartfonaCzy szyfrujesz swoje urządzenie? Wszystkie główne systemy operacyjne na smartfony oferują szyfrowanie urządzeń, ale czy należy go używać? Oto dlaczego szyfrowanie smartfona jest opłacalne i nie wpłynie na sposób korzystania ze smartfona. Czytaj więcej i inne urządzenia.

Internet działa na szyfrowaniu: kiedy Ty patrz HTTPS w adresie URL HTTPS wszędzie: użyj HTTPS zamiast HTTP, jeśli to możliwe Czytaj więcej , oznacza to, że witryna, w której korzystasz, korzysta z jednego z nich Secure Sockets Layer (SSL) Co to jest certyfikat SSL i czy go potrzebujesz?Przeglądanie Internetu może być przerażające, gdy w grę wchodzą dane osobowe. Czytaj więcej lub Protokoły Transport Layer Security (TLS) do weryfikować połączenia i zbierać dane Jak przeglądanie Internetu staje się jeszcze bardziej bezpieczneMamy certyfikaty SSL, aby podziękować za nasze bezpieczeństwo i prywatność. Ale ostatnie naruszenia i wady mogły podważyć zaufanie do protokołu kryptograficznego. Na szczęście protokół SSL dostosowuje się i jest aktualizowany - oto jak to zrobić. Czytaj więcej .

Ale pomimo tego, co mogłeś usłyszeć Nie wierz w te 5 mitów na temat szyfrowania!Szyfrowanie wydaje się skomplikowane, ale jest o wiele prostsze niż myśli większość. Niemniej jednak możesz czuć się trochę zbyt ciemno, aby korzystać z szyfrowania, więc rozwalmy kilka mitów dotyczących szyfrowania! Czytaj więcej , szyfrowanie nie jest idealne.

Co oznacza, że ​​moje hasło nie może zawierać spacji ???

- Derek Klein (@rogue_analyst) 11 sierpnia 2016 r

Powinien być bezpieczny, ale tylko tak bezpieczny, jak miejsce przechowywania kluczy. Jeśli strona internetowa chroni Twój klucz (tj. Hasło) za pomocą własnego, haker może ujawnić ten drugi, aby znaleźć ten pierwszy i go odszyfrować. Złodziej znalazłby stosunkowo mało wysiłku, aby znaleźć twoje hasło; dlatego kluczowe bazy danych są ogromnym celem.

Zasadniczo, jeśli ich klucz jest przechowywany na tym samym serwerze co twój, twoje hasło może równie dobrze być w postaci zwykłego tekstu. Właśnie dlatego wspomniana witryna PlainTextOffenders zawiera również listę usług wykorzystujących szyfrowanie odwracalne.

Zaskakująco proste (ale nie zawsze skuteczne): haszowanie

Teraz gdzieś się dostaniemy. Hashowanie haseł brzmi jak nonsensowny żargon Żargon technologiczny: poznaj 10 nowych słów ostatnio dodanych do słownika [Weird & Wonderful Web]Technologia jest źródłem wielu nowych słów. Jeśli jesteś maniakiem i miłośnikiem słów, pokochasz te dziesięć, które zostały dodane do internetowej wersji Oxford English Dictionary. Czytaj więcej , ale jest to po prostu bezpieczniejsza forma szyfrowania.

Zamiast przechowywać hasło jako zwykły tekst, witryna przepuszcza je przez funkcja skrótu, taka jak MD5 Co to wszystko oznacza skrót Hash MD5 [Technologia wyjaśniona]Oto pełna wersja MD5, skrót i mały przegląd komputerów i kryptografii. Czytaj więcej , Bezpieczny algorytm mieszania (SHA) -1 lub SHA-256, który przekształca go w zupełnie inny zestaw cyfr; mogą to być cyfry, litery lub dowolne inne znaki. Twoje hasło może być IH3artMU0. Może to zmienić się w 7dVq $ @ ihT, a jeśli haker włamał się do bazy danych, to wszystko, co mogą zobaczyć. I działa tylko w jeden sposób. Nie możesz go ponownie odkodować.

Niestety tak nie jest że bezpieczne. Jest lepszy niż zwykły tekst, ale wciąż jest dość standardowy dla cyberprzestępców. Kluczem jest to, że określone hasło tworzy określony skrót. Jest ku temu dobry powód: za każdym razem, gdy logujesz się przy użyciu hasła IH3artMU0, automatycznie się ono zmienia dzięki tej funkcji skrótu, a strona internetowa umożliwia dostęp, jeśli ten skrót i ten w bazie danych witryny mecz.

Oznacza to również, że hakerzy opracowali tęczowe tabele, listę skrótów, używanych już przez innych jako hasła, dzięki którym wyrafinowany system może szybko uruchomić jako atak brutalnej siły Co to są ataki brutalne i jak się chronić?Prawdopodobnie słyszałeś wyrażenie „atak brutalnej siły”. Ale co to dokładnie znaczy? Jak to działa? Jak możesz się przed tym uchronić? Oto, co musisz wiedzieć. Czytaj więcej . Jeśli wybrałeś szokująco złe hasło 25 haseł, których musisz unikać, korzystaj z WhatsApp za darmo... [Przegląd wiadomości technicznych]Ludzie wciąż używają okropnych haseł, WhatsApp jest teraz całkowicie darmowy, AOL rozważa zmianę nazwy, Valve aprobuje stworzoną przez fanów grę Half-Life i The Boy With a Camera for a Face. Czytaj więcej , będzie wysoko na tęczowych stołach i można go łatwo złamać; bardziej niejasne - szczególnie obszerne kombinacje - potrwają dłużej.

Jak źle może być? W 2012 roku LinkedIn został zhakowany Co musisz wiedzieć o ogromnym wycieku z kont LinkedInHaker sprzedaje 117 milionów hakowanych danych logowania LinkedIn w ciemnej sieci za około 2200 USD w Bitcoin. Kevin Shabazi, CEO i założyciel LogMeOnce, pomaga nam zrozumieć, co jest zagrożone. Czytaj więcej . Adresy e-mail i odpowiadające im skróty zostały wyciekły. To 177,5 miliona skrótów, co dotyczy 164,6 miliona użytkowników. Możesz pomyśleć, że to nie stanowi problemu: to tylko losowe cyfry. Całkiem nieczytelne, prawda? Dwóch profesjonalnych crackerów zdecydowało się pobrać próbkę 6,4 miliona skrótów i zobaczyć, co mogą zrobić.

one pękło 90% z nich w niecały tydzień.

Tak dobre, jak to możliwe: solenie i powolne mieszanie

Żaden system nie jest nie do zdobycia Pogromcy mitów: Niebezpieczne porady bezpieczeństwa, których nie powinieneś przestrzegaćJeśli chodzi o bezpieczeństwo w Internecie, każdy i jego kuzyn ma porady, aby zaoferować ci najlepsze pakiety oprogramowania do zainstalowania, podejrzane strony, których należy unikać, lub najlepsze praktyki, jeśli chodzi o ... Czytaj więcej - hakerzy będą naturalnie pracować nad złamaniem wszelkich nowych systemów bezpieczeństwa - ale zaimplementowane silniejsze techniki przez najbezpieczniejsze strony Każda bezpieczna strona internetowa robi to za pomocą hasłaCzy zastanawiałeś się kiedyś, jak witryny internetowe chronią Twoje hasło przed naruszeniem danych? Czytaj więcej są mądrzejszymi skrótami.

Solone skróty opierają się na praktyce noncryptingu kryptograficznego, losowego zestawu danych generowanego dla każdego hasła, zwykle bardzo długiego i bardzo złożonego. Te dodatkowe cyfry są dodawane na początku lub na końcu hasła (lub hasła e-mail kombinacje), zanim przejdzie przez funkcję skrótu, aby zwalczyć próby użycia tęczowe stoły.

Zasadniczo nie ma znaczenia, czy sole są przechowywane na tych samych serwerach co skróty; złamanie zestawu haseł może być bardzo czasochłonne dla hakerów, a nawet trudniejsze samo hasło jest nadmierne i skomplikowane 6 porad dotyczących tworzenia niezłomnego hasła, które można zapamiętaćJeśli twoje hasła nie są unikalne i nie do złamania, równie dobrze możesz otworzyć drzwi wejściowe i zaprosić złodziei na lunch. Czytaj więcej . Dlatego zawsze powinieneś używać silnego hasła, bez względu na to, jak bardzo ufasz bezpieczeństwu witryny.

Strony internetowe, które szczególnie poważnie podchodzą do kwestii bezpieczeństwa, a przez to do twojego bezpieczeństwa, coraz częściej zwracają się ku powolnym hashom. Najbardziej znane funkcje skrótu (MD5, SHA-1 i SHA-256) istnieją już od jakiegoś czasu i są szeroko stosowane, ponieważ są stosunkowo łatwe do wdrożenia i bardzo szybko stosują skróty.

Traktuj swoje hasło jak szczoteczkę do zębów, zmieniaj je regularnie i nie udostępniaj go!

- Anti-Bullying Pro (od organizacji charytatywnej The Diana Award) (@AntiBullyingPro) 13 sierpnia 2016 r

Wciąż stosując sole, powolne hasze są jeszcze lepsze w zwalczaniu wszelkich ataków opartych na szybkości; ograniczając hakerów do znacznie mniejszej liczby prób na sekundę, ich krakowanie zajmuje więcej czasu, przez co próby stają się mniej warte, biorąc pod uwagę również niższy wskaźnik powodzenia. Cyberprzestępcy muszą zastanowić się, czy warto atakować czasochłonne powolne systemy haszujące za pomocą stosunkowo „szybkich poprawek”: instytucje medyczne zazwyczaj mają mniejsze bezpieczeństwo 5 powodów, dla których rośnie kradzież tożsamości medycznejOszuści chcą twoich danych osobowych i informacji o koncie bankowym - ale czy wiesz, że twoja dokumentacja medyczna również ich interesuje? Dowiedz się, co możesz z tym zrobić. Czytaj więcej , na przykład, więc dane, które można z nich uzyskać, mogą wciąż są sprzedawane za zaskakujące sumy Oto, ile Twoja tożsamość może być warta w ciemnej sieciMyślenie o sobie jak o towarze jest niewygodne, ale wszystkie twoje dane osobowe, od nazwiska i adresu po dane konta bankowego, są coś warte dla przestępców internetowych. Ile jesteś wart? Czytaj więcej .

Jest również bardzo adaptacyjny: jeśli system jest szczególnie obciążony, może jeszcze bardziej zwolnić. Coda Hale, Były programista Principle Software firmy Microsoft, porównuje MD5 z być może najbardziej zauważalną funkcją powolnego mieszania, bcrypt (inne obejmują PBKDF-2 i scrypt):

„Zamiast łamać hasło co 40 sekund [jak w przypadku MD5], łamałbym je co około 12 lat [gdy system używa bcrypt]. Twoje hasła mogą nie wymagać tego rodzaju zabezpieczeń i być może potrzebujesz szybszego algorytmu porównywania, ale bcrypt pozwala wybrać równowagę między szybkością a bezpieczeństwem. ”

A ponieważ powolny skrót może być nadal zaimplementowany w mniej niż sekundę, nie powinno to mieć wpływu na użytkowników.

Dlaczego to ma znaczenie?

Korzystając z usługi online, zawieramy umowę o zaufaniu. Powinieneś być bezpieczny wiedząc, że Twoje dane osobowe są bezpieczne.

„Mój laptop jest skonfigurowany do robienia zdjęć po trzech błędnych próbach podania hasła” pic.twitter.com/yBNzPjnMA2

- Koty w kosmosie (@CatsLoveSpace) 16 sierpnia 2016 r

Bezpieczne przechowywanie hasła Kompletny przewodnik po uproszczeniu i zabezpieczeniu życia dzięki LastPass i XmarksChociaż chmura oznacza, że ​​możesz łatwo uzyskać dostęp do ważnych informacji w dowolnym miejscu, ale oznacza to również, że masz wiele haseł do śledzenia. Właśnie dlatego powstał LastPass. Czytaj więcej jest szczególnie ważne. Pomimo wielu ostrzeżeń wielu z nas korzysta z tego samego w różnych witrynach, więc jeśli na przykład istnieją naruszenie Facebooka Czy Twój Facebook został zhakowany? Oto jak to powiedzieć (i naprawić)Istnieją kroki, które można podjąć, aby zapobiec włamaniu na Facebooka, oraz czynności, które można wykonać w przypadku włamania na Facebooka. Czytaj więcej , dane logowania do innych witryn, które często używasz tego samego hasła, mogą być również otwartą książką dla cyberprzestępców.

Czy odkryłeś przestępców o zwykłym tekście? Którym stronom ufasz pośrednio? Jak myślisz, co jest kolejnym krokiem do bezpiecznego przechowywania haseł?

Zdjęcie: Africa Studio / Shutterstock, niepoprawne hasła autorstwa Lulu Hoeller [niedostępne]; Zaloguj się przez Automobile Italia; Pliki haseł do systemu Linux autorstwa Christiaan Colen; i solniczka Karyn Christner.