Kuidas veebisaidid teie paroole turvaliseks hoiavad?

Reklaam

Nüüd läheme kuu aega harva, ilma et oleksime kuulnud mingist andmerikkumisest; see võib olla ajakohane nagu Gmail Kas teie Gmaili konto on 42 miljoni lekitatud mandaadi hulgas? Loe rohkem või midagi, mille enamik meist on unustanud, nagu MySpace Facebook jälgib kõiki, MySpace sai häkitud... [Tech News Digest]Facebook jälgib kõiki veebis kõiki, miljonid MySpace'i mandaadid on müügis, Amazon toob Alexa teie brauserisse, No Man's Sky kannatab viivitust ja Pong Project võtab kuju. Loe rohkem .

Meie privaatse teabe olemuse suurendamise teadlikkus Google'i tolmuimejaks Viis asja, mida Google tõenäoliselt teie kohta teab Loe rohkem , sotsiaalmeedia (eriti Facebook Facebooki privaatsus: 25 asja, mida sotsiaalne võrgustik teist teabFacebook teab meie kohta üllatavat kogust - teavet, mida me vabatahtlikult vabatahtlikult pakume. Selle teabe põhjal saate jagada demograafilisteks andmeteks, salvestada meeldimisi ja jälgida suhteid. Siin on 25 asja, mida Facebook teab ... Loe rohkem ) ja isegi

meie enda nutitelefonid Mis on kõige turvalisem mobiilne opsüsteem?Võitluses kõige turvalisema mobiilse OS-i tiitli eest on meil: Android, BlackBerry, Ubuntu, Windows Phone ja iOS. Milline opsüsteem hoiab kõige paremini võrgurünnakute vastu oma? Loe rohkem ja keegi ei saa teid süüdistada selles, et olete pisut paranoiline selles, kuidas veebisaidid millegi eest hoolitsevad oluline kui teie parool Kõik, mida peate teadma paroolide kohtaParoolid on olulised ja enamik inimesi ei tea neist piisavalt. Kuidas valida tugev parool, kasutada igal pool ainulaadset parooli ja neid kõiki meelde jätta? Kuidas te oma kontosid kindlustate? Kuidas... Loe rohkem .

Tegelikult on meelerahu jaoks see kõik, mida kõik peavad teadma ...

Halvim stsenaarium: lihttekst

Mõelge sellele: suurt veebisaiti on häkkinud. Küberkurjategijad on läbi viinud kõik vajalikud põhilised turvameetmed, kasutades võib-olla ära oma arhitektuuri puudust. Sa oled klient. Sellel saidil on teie andmed salvestatud. Õnneks olete kindel, et teie parool on turvaline.

Välja arvatud see, et sait salvestab teie parooli lihttekstina.

See oli alati tiksuv pomm. Lihtsate tekstidega paroolid ootavad lihtsalt rüüstamist. Nad ei kasuta ühtegi algoritmi, et muuta need loetamatuks. Häkkerid saavad seda lugeda sama lihtsalt kui seda lauset.

See on hirmutav mõte, kas pole? Pole tähtis, kui keeruline on teie parool, isegi kui see koosneb 30-kohalisest numbrist: lihtteksti andmebaas on kõigi paroolide loend, mis on selgelt välja kirjutatud, sealhulgas mis tahes lisanumbrid ja tähemärgid kasutada. Isegi kui häkkerid ära tee crack the site, kas soovite tõesti, et administraator näeks teie konfidentsiaalseid sisselogimisandmeid?

# c4uudised

Ma kasutan alati head tugevat parooli, näiteks Hercules või Titan, ja mul pole kunagi probleeme olnud ...

- Ära tüüta (@emilbordon) 16. august 2016

Võite arvata, et see on väga haruldane probleem, kuid hinnanguliselt 30% e-kaubanduse veebisaitidest kasutab seda meetodit teie andmete turvaliseks kinnitamiseks - tegelikult on olemas terve ajaveebi, mis on pühendatud nende õigusrikkujate esiletõstmisele! Kuni möödunud aastani hoidis NHL isegi nii paroole, nagu Adobe enne suurt rikkumist.

Šokeerivalt, viirusekaitse ettevõte McAfee kasutab ka lihtteksti.

Lihtne viis teada saada, kas sait seda kasutab, on see, kui kohe pärast registreerumist saate neilt e-kirja, kus on kirjas teie sisselogimisandmed. Väga tujukas. Sel juhul võiksite vahetada kõik sama parooliga saidid ja pöörduda ettevõtte poole, et neid teavitada, et nende turvalisus on murettekitav.

See ei tähenda tingimata, et nad salvestavad neid lihttekstina, kuid see on hea näitaja - ja tegelikult ei peaks nad seda niikuinii meilisõnumites saatma. Nad võivad seda väita neil on tulemüürid et al. kaitsta küberkurjategijate eest, kuid tuletage neile meelde, et ükski süsteem ei ole veatu ja takistab klientide kaotamist nende ees.

Varsti muudavad nad meelt. Loodetavasti…

Pole nii hea, kui kõlab: krüptimine

Mida need saidid siis teevad?

Paljud pöörduvad krüptimise poole. Me oleme kõik sellest kuulnud: näiliselt läbitungimatu viis teie teabe rüseluseks, muutes selle loetamatuks kuni kaks võtit - üks, mis on teie käes (see on teie sisselogimisandmed) ja teine ​​- asjaomase ettevõtte käes esitatud. See on suurepärane idee, üks, mida peaksite isegi teostama oma nutitelefoni 7 põhjust, miks peaksite oma nutitelefoni andmeid krüpteerimaKas krüptite oma seadet? Kõik suuremad nutitelefonide opsüsteemid pakuvad seadme krüptimist, kuid kas peaksite seda kasutama? Siit saate teada, miks nutitelefonide krüptimine on väärt ja see ei mõjuta nutitelefoni kasutamist. Loe rohkem ja muud seadmed.

Internet töötab krüptimisel: kui teie vaadake URL-is HTTPS-i HTTPS kõikjal: kui võimalik, kasutage HTTP asemel HTTPS-i Loe rohkem , see tähendab, et sait, kus viibid, kasutab mõlemat Turvaliste pistikupesade kiht (SSL) Mis on SSL-sertifikaat ja kas te seda vajate?Interneti-sirvimine võib olla hirmutav, kui tegemist on isikliku teabega. Loe rohkem või TLS-i protokollid kontrollige ühendusi ja lisage andmeid Kuidas veebi sirvimine veelgi turvalisemaks muutub?Turvalisuse ja privaatsuse eest täname SSL-sertifikaate. Kuid hiljutised rikkumised ja vead võisid kahandada teie usaldust krüptoprotokolli suhtes. Õnneks SSL kohandub, seda täiendatakse - nii saate teha. Loe rohkem .

Aga hoolimata sellest, mida olete ehk kuulnud Ärge uskuge neid 5 müüti krüptimise kohta!Krüptimine kõlab keeruliselt, kuid on palju sirgem, kui enamik arvab. Sellegipoolest võite krüptimist kasutada pisut liiga pimedas, nii et lükakem mõned krüptimismüüdid läbi! Loe rohkem , krüptimine pole täiuslik.

Whaddya tähendab, et mu parool ei tohi sisaldada tagaruumi ???

- Derek Klein (@rogue_analyst) 11. august 2016

See peaks olema turvaline, kuid samas ka sama turvaline kui klahvide hoidmise koht. Kui veebisait kaitseb teie võtit (st parooli) nende enda abil, võib häkker viimase paljastada, et see leida ja dekrüpteerida. Teie parooli leidmiseks oleks varasilt vaja suhteliselt vähe pingutusi; sellepärast on võtmebaasid tohutu sihtmärk.

Põhimõtteliselt, kui nende võtit hoitakse teiega samas serveris, võib teie parool olla ka lihttekst. Seetõttu loetletakse ülalmainitud saidil PlainTextOffenders ka teenused, mis kasutavad pöörduvat krüptimist.

Üllatavalt lihtne (kuid mitte alati efektiivne): räsimine

Nüüd jõuame kuhugi. Paroolide rämpsimine kõlab jama žargoonis Tehnika žargoon: lugege 10 uut sõnaraamatu viimati lisatud sõna [imelik ja imeline veeb]Tehnoloogia on paljude uute sõnade allikas. Kui olete geek ja sõnaarmastaja, siis armastate neid kümmet, mis lisati Oxfordi inglise sõnaraamatu veebiversioonile. Loe rohkem , kuid see on lihtsalt turvalisem krüptimisvorm.

Selle asemel, et oma parooli lihttekstina talletada, töötab sait selle läbi räsifunktsioon, nagu MD5 Mida see MD5 räsitud asju tegelikult tähendab [tehnoloogia selgitus]Siin on MD5 täielik lammutamine, räsimine ja väike ülevaade arvutitest ja krüptograafiast. Loe rohkem , Turvaline räsimise algoritm (SHA) -1 või SHA-256, mis muudab selle täiesti erinevaks numbrikomplektiks; need võivad olla numbrid, tähed või muud märgid. Teie parool võib olla IH3artMU0. See võib muutuda 7dVq $ @ ihT-ks ja kui häkker tungis andmebaasi, on see kõik, mida nad saavad näha. Ja see töötab ainult ühel viisil. Te ei saa seda tagasi dekodeerida.

Kahjuks pole seda turvaline. See on parem kui lihttekst, kuid see on küberkurjategijate jaoks siiski üsna standardne. Oluline on see, et konkreetne parool loob kindla räsi. Sellel on hea põhjus: iga kord, kui logite sisse parooliga IH3artMU0, möödub see automaatselt selle räsifunktsiooni kaudu ja veebisait võimaldab teil juurdepääsu sellele räsile ja saidi andmebaasis olevale räsile vaste.

See tähendab ka seda, et häkkerid on välja töötanud vikerkaaretabelid, räsiloendi, mida teised on juba paroolidena kasutanud, et keeruline süsteem saaks kiiresti läbi käia julma jõu rünnak Mis on julmad jõu rünnakud ja kuidas saate end kaitsta?Olete ilmselt kuulnud fraasi "julm jõu rünnak". Aga mida see täpselt tähendab? Kuidas see töötab? Ja kuidas saate end selle eest kaitsta? Siit saate teada, mida peate teadma. Loe rohkem . Kui olete valinud a šokeerivalt halb parool 25 parooli, mida peate vältima, kasutage WhatsAppi tasuta... [Tech News Digest]Inimesed kasutavad jätkuvalt kohutavaid paroole, WhatsApp on nüüd täiesti tasuta, AOL kaalub oma nime muutmist, Valve kiidab heaks fännide loodud mängu Half-Life ja filmi The Boy with a Camera for Face. Loe rohkem , mis asuvad vikerkaarelaudade kohal kõrgel ja neid saab hõlpsasti purustada; varjatud - eriti ulatuslikud kombinatsioonid - võtab kauem aega.

Kui halb see olla saab? 2012. aastal LinkedIni häkkiti Mida peate teadma tohutute LinkedIn-kontode lekke kohtaHäkker müüb Dark veebis 117 miljonit häkkinud LinkedIni mandaati umbes 2200 dollari eest Bitcoinis. LogMeOnce'i tegevjuht ja asutaja Kevin Shabazi aitab meil mõista, mis on ohus. Loe rohkem . E-posti aadressid ja neile vastavad räsi olid lekkinud. See on 177,5 miljonit räsi, mõjutades 164,6 miljonit kasutajat. Võite arvata, et see pole liiga suur mure: need on lihtsalt juhuslike numbrite koormus. Päris kirjeldamatu, eks? Kaks kutselist häkkerit otsustasid võtta 6,4 miljoni räsi suuruse proovi ja vaadata, mida nad teha võiksid.

Nemad lõhenenud 90% neist veidi vähem kui nädala pärast.

Nii hea, kui see saab: soolamine ja aeglane räsi

Ükski süsteem pole immutamatu Mythbusters: ohtlik turvanõuanne, mida te ei peaks järgimaInternetiturvalisuse osas on kõigil ja nende nõul nõu, kuidas pakkuda teile parimat tarkvarapaketti, mida installida, häbiväärseid saite, millest eemale hoida, või parimaid tavasid, kui asi puudutab ... Loe rohkem - häkkerid töötavad loomulikult kõigi uute turvasüsteemide hävitamiseks - kuid rakendatud on tugevamad tehnikad kõige turvalisemate saitide kaudu Iga turvaline veebisait teeb seda oma parooligaKas olete kunagi mõelnud, kuidas veebisaidid kaitsevad teie parooli andmerikkumiste eest? Loe rohkem on targemad räsi.

Soolatud räsi põhineb krüptograafilisel nontsil, mis on juhuslik andmekogum, mis luuakse iga üksiku parooli jaoks, tavaliselt väga pikk ja väga keeruline. Need lisanumbrid lisatakse parooli (või e-posti parooli) algusesse või lõppu kombinatsioonid) enne räsifunktsiooni läbimist, et võidelda katsetega, mis on tehtud vikerkaarelauad.

Üldiselt pole vahet, kas soolasid hoitakse samades serverites kui räsi; paroolide komplekti lõhendamine võib häkkerite jaoks olla aeganõudev, mis on veelgi raskem, kui teie parool ise on liigne ja keeruline 6 näpunäidet murdmatu parooli loomiseks, mida võite meeles pidadaKui teie paroolid pole ainulaadsed ja purunematud, võite sama hästi avada välisukse ja kutsuda röövlid lõunale. Loe rohkem . Sellepärast peaksite alati kasutama tugevat parooli, hoolimata sellest, kui usaldate saidi turvalisust.

Veebisaidid, mis võtavad turvalisust eriti tõsiselt, pöörduvad lisameetmena üha sagedamini aeglaste ripsmete poole. Tuntumad räsifunktsioonid (MD5, SHA-1 ja SHA-256) on olnud juba mõnda aega ja neid kasutatakse laialdaselt, kuna neid on suhteliselt lihtne rakendada ja räsisid kasutatakse väga kiiresti.

Käsitle oma parooli nagu hambahari, vaheta seda regulaarselt ja ära jaga seda!

- Kiusamisvastane Pro (heategevuslikult The Diana Awardilt) (@AntiBullyingPro) 13. august 2016

Kui soolad on endiselt rakendatud, on aeglased räsid veelgi paremad kui kiirusel põhinevad rünnakud; piirates häkkerite arvu oluliselt vähem katsetega sekundis, võtab nende purunemine kauem aega, muutes seeläbi katsed vähem väärt, arvestades ka madalamat edukust. Küberkurjategijad peavad kaaluma, kas tasub rünnata aeganõudvat aeglast räsisüsteemi suhteliselt kiirete paranduste abil: meditsiiniasutustel on tavaliselt vähem turvalisust 5 põhjust, miks meditsiinilise identiteedi vargus kasvabPetturid soovivad teie isikuandmeid ja pangakonto andmeid - aga kas teadsite, et ka teie tervisekontrolli kaardid huvitavad neid? Uurige, mida saate selle nimel teha. Loe rohkem näiteks andmeid, mida sealt saada võiks müüa endiselt üllatavate summade eest Siit saate teada, kui palju võiks teie identiteet pimedas veebis väärt ollaOn ebamugav mõelda endast kui kaubast, kuid kõik teie isiklikud andmed, alates nimest ja aadressist kuni pangakonto üksikasjadeni, on veebikurjategijatele midagi väärt. Kui palju sa oled väärt? Loe rohkem .

See on ka väga kohanemisvõimeline: kui süsteem on eriti koormatud, võib see veelgi aeglustuda. Coda Hale, Microsofti endine tarkvaraarendaja Principle, võrdleb MD5 ehk kõige tähelepanuväärsema aeglase räsifunktsiooniga bcrypt (teiste hulka kuuluvad PBKDF-2 ja krüptimine):

„Selle asemel, et paroolid iga 40 sekundi järel purustada (nagu MD5 puhul), peaksin neid murdma umbes iga 12 aasta järel [kui süsteem kasutab bcryptit]. Võimalik, et teie paroolid ei vaja sellist turvalisust ja vajate kiiremat võrdlusalgoritmi, kuid bcrypt võimaldab teil valida kiiruse ja turvalisuse tasakaalu. ”

Ja kuna aeglast räsi saab ikkagi rakendada vähem kui sekundiga, ei tohiks see kasutajaid mõjutada.

Miks see oluline on?

Veebiteenuse kasutamisel sõlmime usalduslepingu. Te peaksite olema kindel, kui teadte, et teie isiklikku teavet hoitakse turvalisena.

"Minu sülearvuti on seadistatud pildistama pärast kolme valet paroolikatset" pic.twitter.com/yBNzPjnMA2

- Kassid kosmoses (@CatsLoveSpace) 16. august 2016

Parooli turvaline hoidmine LastPassi ja Xmarki abil oma elu lihtsustamise ja kindlustamise täielik juhendKuigi pilv tähendab, et pääsete oma olulisele teabele hõlpsalt juurde kõikjal, kus see viibib, tähendab see ka seda, et teil on silma peal hoidmiseks palju paroole. Seetõttu loodi LastPass. Loe rohkem on eriti oluline. Hoolimata arvukatest hoiatustest kasutavad paljud meist sama saiti erinevate saitide jaoks, nii et kui seal on näiteks Facebooki rikkumine Kas teie Facebooki on häkitud? Siit saate teada, kuidas seda tuvastada (ja parandada)Facebooki häkkimise ärahoidmiseks saate võtta mõned toimingud ja asju, mida saate teha juhul, kui teie Facebook häkkib. Loe rohkem , võivad teie sisselogimisandmed teiste saitide kohta, kus te sama parooli kasutate, olla ka avatud raamat küberkurjategijatele.

Kas olete avastanud lihttekstiga rikkujaid? Milliseid saite te kaudselt usaldate? Mis on teie arvates paroolide turvalise salvestamise järgmine samm?

Piltide autorid: Africa Studio / Shutterstock, Lulu Hoelleri valed paroolid [pole enam saadaval]; Logi sisse Automobile Italia poolt; Christiaan Colen Linuxi paroolifailid; ja soolaloksutaja Karyn Christner.