Hvordan holder websteder dine adgangskoder sikre?

  • Peter Holmes
  • 0
  • 927
  • 201
Reklame

Vi går nu sjældent en måned uden at høre om en slags dataovertrædelse; kan det være en opdateret tjeneste som Gmail Er din Gmail-konto blandt 42 millioner lækte legitimationsoplysninger? Er din Gmail-konto blandt 42 millioner lækage-legitimationsoplysninger? eller noget de fleste af os har glemt af, som MySpace Facebook Tracks Everybody, MySpace Got Hacked… [Tech News Digest] Facebook Tracks Everybody, MySpace Got Hacked… [Tech News Digest] Facebook sporer alle over hele Internettet, millioner af MySpace-legitimationsoplysninger er ud til salg, Amazon bringer Alexa til din browser, No Man's Sky lider af en forsinkelse, og Pong Project tager form. .

Faktor i vores voksende opmærksomhed om måderne, som vores private oplysninger støvsuges af, Google Fem ting, som Google sandsynligvis ved om dig, fem ting, Google ved sandsynligvis om dig, sociale medier (især Facebook Facebook-privatliv: 25 ting. Det sociale netværk ved dig om Facebook. Privatliv: 25 ting Det sociale netværk ved om dig Facebook ved en overraskende mængde om os - oplysninger, vi frivilligt melder frivilligt. Fra disse oplysninger kan du blive opdelt i en demografisk, dine "lide" -indspillede og relationer overvåget. Her er 25 ting Facebook ved om ...) , og endda vores helt egne smartphones Hvad er det mest sikre mobile operativsystem? Hvad er det mest sikre mobile operativsystem? Kæmper for titlen på Mest Secure Mobile OS, vi har: Android, BlackBerry, Ubuntu, Windows Phone og iOS. Hvilket operativsystem er bedst til at holde sit eget mod onlineangreb? , og ingen kan bebrejde dig for at være lidt paranoid over, hvordan websteder passer på noget, der er så vigtigt som din adgangskode Alt hvad du behøver at vide om adgangskoder Alt hvad du behøver at vide om adgangskoder Adgangskoder er vigtige, og de fleste mennesker ved ikke nok om dem. Hvordan vælger du en stærk adgangskode, bruger en unik adgangskode overalt og husker dem alle? Hvordan sikrer du dine konti? Hvordan… .

Faktisk for ro i sindet er dette noget, alle har brug for at vide ...

Det værste sagscenarie: Almindelig tekst

Overvej dette: Et større websted er blevet hacket. Cyberkriminelle har gennemgået alle grundlæggende sikkerhedsforanstaltninger, det træffer, måske drage fordel af en fejl i deres arkitektur. Du er kunde. Dette sted har gemt dine detaljer. Heldigvis er du blevet forsikret om, at din adgangskode er sikker.

Undtagen dette sted gemmer din adgangskode som almindelig tekst.

Det var altid en tikkende bombe. Almindelige tekst adgangskoder venter bare på at blive plyndret. De bruger ingen algoritme for at gøre dem uleselige. Hackere kan læse det så simpelt som du læser denne sætning.

Det er en skræmmende tanke, er det ikke? Det betyder ikke noget, hvor kompleks din adgangskode er, selvom den er pi til 30 cifre: en almindelig tekstdatabase er en liste over alles adgangskoder, der er stavet tydeligt, inklusive de yderligere numre og tegn, du bruger. Selvom hackere gør ikke knæk webstedet, vil du virkelig have, at administrator skal kunne se dine fortrolige loginoplysninger?

# c4news

Jeg bruger altid en god, stærk adgangskode som Hercules eller Titan, og jeg har aldrig haft nogen problemer ...

- Gør ikke noget (@emilbordon) 16. august 2016

Du synes måske, at dette er et meget sjældent problem, men anslået 30% af e-handelswebsteder bruger denne metode til “sikker” dine data - faktisk er der en hel blog dedikeret til at fremhæve disse lovovertrædere! Indtil sidste år lagrede selv NHL adgangskoder på denne måde, ligesom Adobe gjorde før en større krænkelse.

Chockerende, virusbeskyttelsesfirma, McAfee bruger også almindelig tekst.

En nem måde at finde ud af, om et websted bruger dette, er, hvis du lige efter tilmelding modtager en e-mail fra dem med dine loginoplysninger. Meget dodgy. I dette tilfælde ønsker du måske at ændre alle websteder med den samme adgangskode og kontakte firmaet for at advare dem om, at deres sikkerhed er bekymrende.

Det betyder ikke nødvendigvis, at de gemmer dem som almindelig tekst, men det er en god indikator - og de burde virkelig ikke sende den slags ting i e-mails alligevel. De hævder muligvis, at de har firewalls et al. for at beskytte mod cyberkriminelle, men mind dem om, at intet system er fejlfrit og dingler udsigten til at miste kunder foran dem.

De skifter snart mening. Forhåbentlig…

Ikke så godt som det lyder: Kryptering

Så hvad disse websteder gør?

Mange vil henvende sig til kryptering. Vi har alle hørt om det: en tilsyneladende uigennemtrængelig måde at kryptere dine oplysninger, gøre dem ulæselige, indtil to nøgler - en af ​​dig (det er dine loginoplysninger) og den anden af ​​det pågældende firma - er præsenteret. Det er en god ide, en, som du endda skal implementere på din smartphone 7 grunde til, at du skal kryptere dine smartphonedata 7 grunde til, at du skal kryptere dine smartphonedata Krypterer du din enhed? Alle større smartphone-operativsystemer tilbyder enhedskryptering, men skal du bruge den? Her er grunden til, at smartphone-kryptering er umagen værd og påvirker ikke den måde, du bruger din smartphone. og andre enheder.

Internettet kører med kryptering: når du ser HTTPS i URL-adressen HTTPS overalt: Brug HTTPS i stedet for HTTP, når det er muligt HTTPS overalt: Brug HTTPS i stedet for HTTP, når det er muligt, det betyder, at det websted, du er på, bruger enten Secure Sockets Layer ( SSL) Hvad er et SSL-certifikat, og har du brug for et? Hvad er et SSL-certifikat, og har du brug for et? Det kan være skræmmende at surfe på Internettet, når det drejer sig om personlige oplysninger. eller TLS-protokoller (Transport Layer Security) til bekræftelse af forbindelser og sammenblanding af data Hvordan webbrowsing bliver endnu mere sikker Hvordan webbrowsing bliver endnu mere sikker Vi har SSL-certifikater, som vi takker for vores sikkerhed og privatliv. Men nylige overtrædelser og mangler kan muligvis have brudt din tillid til den kryptografiske protokol. Heldigvis tilpasser SSL sig og opgraderes - her er hvordan. .

Men trods hvad du måske har hørt, skal du ikke tro disse 5 myter om kryptering! Tro ikke på disse 5 myter om kryptering! Kryptering lyder kompleks, men er langt mere ligetil, end de fleste tror. Ikke desto mindre føler du dig måske lidt for i mørke til at gøre brug af kryptering, så lad os buste nogle krypteringsmyter! , kryptering er ikke perfekt.

Whaddya betyder, at min adgangskode ikke kan indeholde backspaces ???

- Derek Klein (@rogue_analyst) 11. august 2016

Det skal være sikkert, men det er kun så sikkert som hvor nøglerne er gemt. Hvis et websted beskytter din nøgle (dvs. adgangskode) ved hjælp af deres egen, kan en hacker udsætte sidstnævnte for at finde den førstnævnte og dekryptere den. Det ville kræve relativt lille indsats fra en tyv at finde din adgangskode; det er derfor, nøgledatabaser er et massivt mål.

Grundlæggende, hvis deres nøgle er gemt på den samme server som din, kan din adgangskode lige så godt være i almindelig tekst. Derfor nævner det nævnte PlainTextOffenders-websted også tjenester, der bruger reversibel kryptering.

Overraskende enkel (men ikke altid effektiv): Hashing

Nu kommer vi et sted. Hashing-adgangskoder lyder som nonsens-jargon Tech Jargon: Lær 10 nye ord, der for nylig blev tilføjet til ordbogen [Mærkelig og vidunderlig web] Tech-jargon: Lær 10 nye ord, der for nylig blev tilføjet til ordbogen [Mærkelig og vidunderlig web] Teknologi er kilden til mange nye ord . Hvis du er en nørd og en ordelsker, vil du elske disse ti, der blev føjet til onlineversionen af ​​Oxford English Dictionary. , men det er simpelthen en mere sikker form for kryptering.

I stedet for at gemme din adgangskode som almindelig tekst, kører et websted det gennem en hash-funktion, ligesom MD5 Hvad alt dette MD5 Hash-stof faktisk betyder [Teknologi forklaret] Hvad alt dette MD5 Hash-stof faktisk betyder [Teknologi forklaret] Her er en fuld nedslidning af MD5, hashing og et lille overblik over computere og kryptografi. , Secure Hashing Algorithm (SHA) -1 eller SHA-256, som omdanner den til et helt andet sæt cifre; disse kan være tal, bogstaver eller andre tegn. Dit kodeord kan være IH3artMU0. Det kan blive 7dVq $ @ ihT, og hvis en hacker brød ind i en database, er det alt, hvad de kan se. Og det fungerer kun en måde. Du kan ikke afkode det tilbage.

Desværre er det ikke at sikker. Det er bedre end almindelig tekst, men det er stadig ret standard for cyberkriminelle. Nøglen er, at en bestemt adgangskode producerer en bestemt hash. Der er en god grund til det: hver gang du logger på med adgangskoden IH3artMU0, passerer den automatisk gennem denne hash-funktion, og webstedet giver dig adgang til, hvis den hash og den i stedets database matcher.

Det betyder også, at hackere har udviklet regnbue-borde, en liste over hasjer, der allerede er brugt af andre som adgangskoder, som et sofistikeret system hurtigt kan løbe igennem som et brute-force-angreb. Hvad er Brute Force Attacks, og hvordan kan du beskytte dig selv? Hvad er brute Force Attacks, og hvordan kan du beskytte dig selv? Du har sandsynligvis hørt udtrykket "angreb fra brute force". Men hvad betyder det nøjagtigt? Hvordan virker det? Og hvordan kan du beskytte dig selv mod det? Her er hvad du har brug for at vide. . Hvis du har valgt et chokerende dårligt kodeord 25 adgangskoder, du skal undgå, skal du bruge WhatsApp gratis ... [Tech News Digest] 25 adgangskoder, du skal undgå, brug WhatsApp gratis ... [Tech News Digest] Folk bruger fortsat forfærdelige adgangskoder, WhatsApp er nu helt gratis, AOL overvejer at skifte navn, Valve godkender et fan-made Half-Life-spil og The Boy With a Camera for a Face. , det vil være højt på regnbue bordene og kunne let blive revnet; mere uklare dem - især omfattende kombinationer - vil tage længere tid.

Hvor dårligt kan det være? Tilbage i 2012 blev LinkedIn hacket, hvad du har brug for at vide om de massive LinkedIn-konti, som lækker Det, du har brug for at vide om de massive LinkedIn-konti, som lækker En hacker sælger 117 millioner hackede LinkedIn-legitimationsoplysninger på Dark web for omkring $ 2.200 i Bitcoin. Kevin Shabazi, administrerende direktør og grundlægger af LogMeOnce, hjælper os med at forstå, hvad der er i fare. . E-mail-adresser og deres tilsvarende hash blev lækket. Det er 177,5 millioner hash, der påvirker 164,6 millioner brugere. Du kan måske regne med, at det ikke er for meget af bekymring: de er bare en masse tilfældige cifre. Temmelig ubeskrivelig, ikke? To professionelle krakkere besluttede at tage en prøve på 6,4 millioner hash og se, hvad de kunne gøre.

De knækkede 90% af dem på en knap uge.

Så godt som det bliver: Saltning og langsomt hash

Intet system kan imprægneres Mythbusters: Farlige sikkerhedsrådgivning, du ikke bør følge Mythbusters: Farlige sikkerhedsrådgivning, du ikke bør følge Når det kommer til internetsikkerhed, har alle og deres fætter råd til at tilbyde dig de bedste softwarepakker til at installere, dodgy sites at holde sig fri fra eller bedste praksis, når det kommer til… - hackere vil naturligvis arbejde for at knække eventuelle nye sikkerhedssystemer - men de stærkere teknikker implementeret af de mest sikre websteder Hvert sikkert websted gør dette med din adgangskode Hvert sikkert websted gør dette med din Adgangskode Har du nogensinde spekuleret på, hvordan websteder holder dit kodeord sikkert mod brud på data? er smartere hasjer.

Saltede hashes er baseret på praksis med en kryptografisk nonce, et tilfældigt datasæt genereret for hvert individuelt kodeord, typisk meget langt og meget komplekst. Disse yderligere cifre føjes til begyndelsen eller slutningen af ​​en adgangskode (eller e-mail-adgangskodekombinationer), før den passerer gennem hash-funktionen for at bekæmpe forsøg, der er gjort ved hjælp af regnbue-tabeller.

Det betyder generelt ikke noget, om saltene opbevares på de samme servere som hashes; At knække et sæt adgangskoder kan være enormt tidskrævende for hackere, gjort det endnu hårdere, hvis dit kodeord i sig selv er overdreven og kompliceret. 6 tip til oprettelse af en ikke-brytbar adgangskode, som du kan huske 6 tip til oprettelse af en uknuselig adgangskode, som du kan huske, hvis dine adgangskoder er ikke unik og uknuselig, kan du lige så godt åbne hoveddøren og invitere røverne ind til frokost. . Derfor skal du altid bruge en stærk adgangskode, uanset hvor meget du stoler på et websteds sikkerhed.

Websteder, der tager deres sikkerhed, og ved at udvide deres, særlig alvorligt, vender sig i stigende grad til langsomme hash som en ekstra foranstaltning. De bedst kendte hashfunktioner (MD5, SHA-1 og SHA-256) har været omkring et stykke tid, og er vidt brugt, fordi de er relativt lette at implementere og anvender hash meget hurtigt.

Behandl dit kodeord som din tandbørste, skift det regelmæssigt og del ikke det!

- Anti-mobning Pro (fra velgørenhed The Diana Award) (@AntiBullyingPro) 13. august 2016

Mens der stadig anvendes salte, er langsom hash endnu bedre til at bekæmpe eventuelle angreb, der er afhængige af hastighed; ved at begrænse hackere til betydeligt færre forsøg pr. sekund, tager det længere tid at knække, hvilket gør forsøgene mindre værd, også i betragtning af den nedsatte succesrate. Cyberkriminelle er nødt til at afveje, om det er værd at angribe tidskrævende langsom hashsystemer sammenligneligt “hurtige rettelser”: medicinske institutioner har typisk mindre sikkerhed 5 Årsager til, at medicinsk identitetstyveri øges 5 grunde til, at medicinsk identitetstyveri øges Svindlere vil have dine personlige oplysninger og bankkontooplysninger - men vidste du, at dine medicinske poster også er af interesse for dem? Find ud af, hvad du kan gøre ved det. for eksempel, så data, der kunne fås derfra, kan stadig sælges for overraskende summer Her er hvor meget din identitet kan være værd på det mørke web. Her er hvor meget din identitet kan være værd på den mørke web Det er ubehageligt at tænke på dig selv som en vare, men alle dine personlige oplysninger, fra navn og adresse til bankkontodetaljer, er værd noget for online kriminelle. Hvor meget er du værd? .

Det er også meget tilpasningsdygtigt: hvis et system er under særlig belastning, kan det bremse endnu mere. Coda Hale, Microsofts tidligere Principle Software Developer, sammenligner MD5 med måske den mest bemærkelsesværdige langsom hash-funktion, bcrypt (andre inkluderer PBKDF-2 og scrypt):

“I stedet for at knække en adgangskode hvert 40. sekund [som med MD5], vil jeg knække dem hvert 12. år eller deromkring [når et system bruger bcrypt]. Dine adgangskoder har muligvis ikke brug for den slags sikkerhed, og du har muligvis brug for en hurtigere sammenligningsalgoritme, men bcrypt giver dig mulighed for at vælge din balance mellem hastighed og sikkerhed.”

Og fordi en langsom hash stadig kan implementeres på mindre end et sekund, bør brugerne ikke blive berørt.

Hvorfor betyder det noget?

Når vi bruger en onlinetjeneste, indgår vi en tillidsaftale. Du skal være sikker på, at dine personlige oplysninger holdes sikre.

"Min bærbare computer er indstillet til at tage et billede efter tre forkerte adgangskoderforsøg" pic.twitter.com/yBNzPjnMA2

- Katte i rummet (@CatsLoveSpace) 16. august 2016

Opbevaring af din adgangskode sikkert Den komplette guide til forenkling og sikring af dit liv med LastPass og Xmarks Den komplette guide til at forenkle og sikre dit liv med LastPass og Xmarks Mens skyen betyder, at du nemt kan få adgang til dine vigtige oplysninger, uanset hvor du er, betyder det også, at du har mange adgangskoder at holde styr på. Derfor blev LastPass oprettet. er især vigtigt. På trods af adskillige advarsler bruger mange af os den samme til forskellige websteder, så hvis der f.eks. Er et Facebook-brud Er din Facebook blevet hacket? Sådan fortæller (og rettes det) er din Facebook blevet hacket? Her er, hvordan du fortæller (og ordner det) Der er trin, du kan tage for at forhindre, at der bliver hacket på Facebook, og ting, du kan gøre i tilfælde af, at din Facebook bliver hacket. , kan dine loginoplysninger for andre websteder, som du ofte bruger den samme adgangskode, også være en åben bog for cyberkriminelle.

Har du opdaget nogen almindelige tekstforbrydere? Hvilke websteder stoler du implicit på? Hvad tror du er det næste trin til sikker adgangskodeopbevaring?

Billedkreditter: Africa Studio / Shutterstock, forkerte adgangskoder af Lulu Hoeller [ikke længere tilgængelig]; Login af Automobile Italia; Linux-adgangskodefiler af Christiaan Colen; og salt ryster af Karyn Christner.




Endnu ingen kommentarer

Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.