Jak webové stránky udržují vaše hesla v bezpečí?

  • Michael Cain
  • 0
  • 2511
  • 505
reklama

Nyní zřídka jdeme měsíc, aniž bychom slyšeli o nějakém narušení dat; může to být aktuální služba, jako je Gmail Je váš účet Gmail mezi 42 miliony ověřených údajů? Je váš účet Gmail mezi 42 miliony ověřených údajů? nebo na něco, na co většina z nás zapomněla, jako je MySpace Facebook Tracks Everybody, MySpace Hacked ... [Tech News Digest] Facebook Tracks Všichni, MySpace Got Hacked ... [Tech News Digest] Facebook sleduje všechny po celém webu, miliony MySpace pověření jsou na prodej, Amazon přináší Alexa do vašeho prohlížeče, No Man's Sky trpí zpoždění a Pong Project se formuje. .

Faktor v našem zvyšujícím se povědomí o tom, jak naše soukromé informace vysává společnost Google Five Things Google pravděpodobně o vás ví Pět věcí Google pravděpodobně o vás ví, sociální média (zejména Facebook Facebook Ochrana osobních údajů: 25 věcí, které sociální síť zná o vás Facebook Privacy: 25 věcí, o kterých sociální síť ví o vás Facebook zná o nás překvapivé množství - informace, které dobrovolně dobrovolně poskytujeme. Z těchto informací můžete být zařazeni do demografických údajů, zaznamenat vaše „lajky“ a sledovat vztahy. Zde je 25 věcí, které Facebook ví o…) , a dokonce i naše vlastní chytré telefony Co je nejbezpečnější mobilní operační systém? Co je nejbezpečnější mobilní operační systém? Bojujeme o titul nejbezpečnějšího mobilního OS, máme: Android, BlackBerry, Ubuntu, Windows Phone a iOS. Který operační systém nejlépe bojuje proti online útokům? a nikdo vám nemůže vinit, že jste trochu paranoidní o tom, jak webové stránky pečují o něco tak důležitého, jako je vaše heslo. Vše, co potřebujete vědět o heslech Vše, co potřebujete vědět o heslech Hesla jsou důležitá a většina lidí o nich nevědí dost. Jak si vyberete silné heslo, všude použijete jedinečné heslo a všechny si pamatujete? Jak zabezpečíte své účty? Jak… .

Ve skutečnosti, pro klid mysli, je to něco, co každý potřebuje vědět ...

Nejhorší scénář: prostý text

Zvažte toto: Hlavní web byl hacknut. Kybernetičtí zločinci prošli všemi základními bezpečnostními opatřeními, která přijali, možná využívají nedostatky ve své architektuře. Jste zákazník. Tento web uložil vaše údaje. Naštěstí jste si byli jisti, že vaše heslo je bezpečné.

S výjimkou toho, že web ukládá vaše heslo jako prostý text.

Vždy to byla tikající bomba. Prostá textová hesla čekají na vyplenění. Nepoužívají žádný algoritmus, aby byly nečitelné. Hackeři to mohou číst stejně jednoduše, jako když čtete tuto větu.

Je to děsivá myšlenka, že? Nezáleží na tom, jak složité je vaše heslo, i když je to pi až 30 číslic: prostá textová databáze je seznam hesel každého, který je jasně uveden, včetně jakýchkoli dalších čísel a znaků, které používáte. I když hackeři ne crack na webu, opravdu chcete, aby správce viděl vaše důvěrné přihlašovací údaje?

# c4news

Vždy používám dobré a silné heslo, jako je Hercules nebo Titan, a nikdy jsem neměl žádné problémy ...

- Neobtěžujte se (@emilbordon) 16. srpna 2016

Možná si myslíte, že se jedná o velmi vzácný problém, ale odhadem 30% webových stránek elektronického obchodu používá tuto metodu “zajistit” vaše data - ve skutečnosti existuje celý blog věnovaný zvýraznění těchto pachatelů! Až do minulého roku si i NHL ukládala hesla tímto způsobem, stejně jako Adobe před závažným porušením.

Společnost McAfee překvapivě používá antivirovou ochranu a používá také prostý text.

Snadný způsob, jak zjistit, zda to web používá, je, pokud od vás ihned po registraci obdržíte e-mail s uvedením vašich přihlašovacích údajů. Velmi riskantní. V takovém případě můžete chtít změnit libovolné weby se stejným heslem a kontaktovat společnost, aby je upozornila, že jejich bezpečnost je znepokojující.

Neznamená to nutně, že je ukládají jako prostý text, ale je to dobrý indikátor - a stejně by neměli posílat takové věci v e-mailech. Mohou argumentovat, že mají firewally et al. chránit před kybernetickými zločinci, ale připomenout jim, že žádný systém není bezchybný a visí nad očekáváním ztráty zákazníků před nimi.

Brzy změní názor. Doufejme…

Ne tak dobré, jak to zní: Šifrování

Co tyto stránky dělají?

Mnoho z nich se obrátí na šifrování. Všichni jsme o tom slyšeli: zdánlivě nepropustný způsob kódování vašich informací a jejich nečitelnost, dokud nebudou představeny dva klíče - jeden, který držíte (to jsou vaše přihlašovací údaje), a druhý dotyčná společnost. Je to skvělý nápad, který byste měli dokonce implementovat do smartphonu. 7 důvodů, proč byste měli šifrovat data smartphonu. 7 důvodů, proč byste měli šifrovat data smartphonu šifrujete zařízení? Všechny hlavní operační systémy smartphonů nabízejí šifrování zařízení, ale měli byste je používat? Zde je důvod, proč je šifrování smartphonů užitečné a neovlivní to, jak používáte smartphone. a další zařízení.

Internet běží na šifrování: když vidíte HTTPS v URL HTTPS Everywhere: Použijte HTTPS namísto HTTP Kdy je to možné HTTPS Everywhere: Použijte HTTPS namísto HTTP Kdykoli to znamená, že web, na kterém se právě chystáte, používá vrstvu Secure Sockets Layer ( SSL) Co je to certifikát SSL a potřebujete jej? Co je to SSL certifikát a potřebujete jej? Prohlížení internetu může být děsivé, pokud se jedná o osobní údaje. Protokoly TLS (Transport Layer Security) k ověření připojení a spojení dat Jak se prohlížení webu stává ještě bezpečnějším Jak prohlížení webu se stává ještě bezpečnějším Máme certifikáty SSL, díky kterým můžeme poděkovat za naši bezpečnost a soukromí. Vaše nedávná porušení a nedostatky však mohla narušit vaši důvěru v kryptografický protokol. Naštěstí se SSL přizpůsobuje, inovuje - zde je návod. .

Ale i přes to, co jste možná slyšeli, nevěřte těmto 5 mýtům o šifrování! Nevěřte těchto 5 mýtů o šifrování! Šifrování zní složitě, ale je mnohem jednodušší, než si většina myslí. Přesto se možná budete cítit trochu příliš tmavě, abyste mohli šifrování používat, takže pojdeme o některých mýtech šifrování! , šifrování není dokonalé.

Whaddya znamená, že moje heslo nemůže obsahovat mezery ???

- Derek Klein (@rogue_analyst) 11. srpna 2016

Mělo by to být bezpečné, ale je to jen tak bezpečné, jako kde jsou uloženy klíče. Pokud web chrání váš klíč (tj. Heslo) pomocí vlastního, hacker by jej mohl odhalit, aby jej našel a dešifroval. Nalezení hesla by vyžadovalo poměrně malé úsilí zloděje; Proto jsou klíčové databáze masivním cílem.

V zásadě, pokud je jejich klíč uložen na stejném serveru jako váš, může být vaše heslo také ve formě prostého textu. Proto výše uvedený web PlainTextOffenders také uvádí služby, které používají reverzibilní šifrování.

Překvapivě jednoduché (ale ne vždy efektivní): Hašování

Teď se někam dostáváme. Hašování hesel zní jako nesmyslný žargon Tech žargon: Naučte se 10 nových slov naposledy přidaných do slovníku [Podivný a úžasný web] Tech Žargon: Naučte 10 nových slov, nedávno přidaných do slovníku [Podivný a skvělý web] Technologie je zdrojem mnoha nových slov . Pokud jste geek a milovník slov, budete milovat těchto deset, které byly přidány do online verze anglického slovníku Oxford. , ale je to prostě bezpečnější forma šifrování.

Místo uložení hesla jako prostého textu jej web spouští pomocí hashovací funkce, například MD5 Co všechno tento MD5 znamená, že látka ve skutečnosti znamená [Technologie vysvětleno] Co všechno tento MD5 ve skutečnosti znamená, že látka znamená [Technologie vysvětlena] Zde je kompletní rozbalení MD5, hashování a malý přehled počítačů a kryptografie. , Secure Hashing Algorithm (SHA) -1, nebo SHA-256, který jej transformuje do zcela jiné sady číslic; mohou to být čísla, písmena nebo jiné znaky. Vaše heslo může být IH3artMU0. To by se mohlo změnit na 7dVq $ @ ihT, a pokud se hacker vloupal do databáze, to je vše, co vidí. A funguje to jen jedním způsobem. Nemůžete to dekódovat zpět.

Bohužel to tak není že zajistit. Je to lepší než prostý text, ale pro počítačové zločince je to stále docela běžné. Klíčem je to, že určité heslo vytváří konkrétní hash. Má to dobrý důvod: pokaždé, když se přihlásíte pomocí hesla IH3artMU0, automaticky projde touto hashovací funkcí a web vám umožní přístup, pokud se hash a ten v databázi v databázi shodují.

To také znamená, že hackeři vyvinuli duhové tabulky, seznam hashů, které už ostatní používají jako hesla, že sofistikovaný systém může rychle projít jako útok brutální síly. Co jsou útoky brutální síly a jak se můžete chránit? Co jsou útoky hrubou silou a jak se můžete chránit? Pravděpodobně jste slyšeli frázi „útok hrubou silou“. Ale co to přesně znamená? Jak to funguje? A jak se proti tomu můžete chránit? Zde je to, co potřebujete vědět. . Pokud jste si vybrali šokově špatné heslo 25 hesel, kterým se musíte vyhnout, použijte WhatsApp zdarma ... [Tech News Digest] 25 hesel, kterým se musíte vyhnout, použijte WhatsApp zdarma ... [Tech News Digest] Lidé stále používají hrozná hesla, WhatsApp je nyní zcela zdarma, AOL zvažuje změnu názvu, Valve schvaluje fanouškou hru Half-Life a The Boy With a Camera for a Face. , to bude vysoko na duhových stolech a mohlo by se snadno popraskat; obskurnější - zvláště rozsáhlé kombinace - bude trvat déle.

Jak špatné to může být? V roce 2012 byl LinkedIn hacknut, co potřebujete vědět o úniku masivních účtů LinkedIn Co potřebujete vědět o úniku masivních účtů LinkedIn Hacker prodává 117 milionů hackovaných údajů na LinkedIn na webu Dark za zhruba 2 200 USD v bitcoinech. Kevin Shabazi, generální ředitel a zakladatel společnosti LogMeOnce, nám pomáhá porozumět tomu, co je ohroženo. . E-mailové adresy a jejich odpovídající hash byly vynechány. To je 177,5 milionů hashů, což ovlivňuje 164,6 milionů uživatelů. Možná přijdete na to, že to není příliš znepokojující: jsou to jen spousta náhodných číslic. Docela nerozluštitelné, že? Dva profesionální sušenky se rozhodly odebrat vzorek 6,4 milionu hashů a zjistit, co mohou udělat.

Rozbili 90% z nich za necelý týden.

Tak dobrý, jak to dostane: Solení a pomalé hasení

Žádný systém není nedobytný vyhýbat se, nebo osvědčeným postupům, pokud jde o… - hackeři budou přirozeně usilovat o rozbití nových bezpečnostních systémů - ale silnější techniky implementované nejbezpečnějšími weby Každý zabezpečený web to udělá pomocí vašeho hesla Heslo Už jste někdy přemýšleli, jak webové stránky chrání vaše heslo před porušením dat? jsou chytřejší hashe.

Solené hashe jsou založeny na praxi kryptografické nete, náhodné datové sady generované pro každé jednotlivé heslo, obvykle velmi dlouhé a velmi složité. Tyto další číslice jsou přidány na začátek nebo na konec hesla (nebo kombinace e-mail-heslo) před tím, než projde funkcí hash, aby bylo možné bojovat proti pokusům s použitím duhových tabulek.

Obecně nezáleží na tom, zda jsou soli uloženy na stejných serverech jako hash; prolomení sady hesel může být hackerům velmi náročné na čas, může být ještě těžší, pokud je vaše heslo příliš vysoké a komplikované. 6 tipů pro vytvoření nerozbitné heslo, které si můžete pamatovat 6 tipů pro vytvoření nerozbitného hesla, které si můžete pamatovat Pokud jsou vaše hesla není jedinečný a nerozbitný, můžete také otevřít přední dveře a pozvat lupiče na oběd. . Proto byste měli vždy používat silné heslo bez ohledu na to, do jaké míry důvěřujete bezpečnosti webu.

Webové stránky, které berou svou bezpečnost a navíc vaši bezpečnost zvláště vážně, se stále více mění jako pomalé hashování. Nejznámější hašovací funkce (MD5, SHA-1 a SHA-256) jsou již nějakou dobu a jsou široce využívány, protože se relativně snadno implementují a velmi rychle se aplikují hashovací metody.

Zacházejte s heslem jako se zubním kartáčkem, pravidelně jej měňte a nesdílejte!

- Anti-Bullying Pro (od charity The Diana Award) (@AntiBullyingPro) 13. srpna 2016

Zatímco stále používají soli, pomalé hashe jsou ještě lepší v boji proti všem útokům, které se spoléhají na rychlost; omezením hackerů na podstatně méně pokusů za sekundu jim zabrání déle, a tím se pokusí o menší pokusy, přičemž se vezme v úvahu také snížená úspěšnost. Počítačoví zločinci musí zvážit, zda stojí za to zaútočit na časově náročné systémy pomalého hašování poměrně “rychlé opravy”: zdravotnická zařízení mají obvykle menší zabezpečení 5 důvodů, proč se zvyšuje krádež lékařské identity 5 důvodů, proč se krádež lékařské identity zvyšuje podvodníci chtějí vaše osobní údaje a informace o bankovním účtu - věděli jste však, že vaše lékařské záznamy jsou pro ně také zajímavé? Zjistěte, co s tím můžete dělat. , například, takže data, která z nich lze získat, lze stále prodávat za překvapivé částky Zde je uvedeno, jak moc by se vaše identita mohla stát na tmavém webu Zde je, jak moc by se vaše identita mohla stát na tmavém webu je nepříjemné myslet na sebe jako komodita, ale všechny vaše osobní údaje, od jména a adresy až po údaje o bankovním účtu, stojí za to pro zločince online. Kolik stojí za to? .

Je to také velmi přizpůsobivé: pokud je systém vystaven zvláštnímu namáhání, může ještě dále zpomalit. Coda Hale, bývalý vývojář principů softwaru společnosti Microsoft, porovnává MD5 s pravděpodobně nejvýznamnější funkcí pomalého hašování, bcrypt (ostatní zahrnují PBKDF-2 a scrypt):

“Místo praskání hesla každých 40 sekund [jako u MD5], praskal bych je každých 12 let [když systém používá bcrypt]. Vaše hesla možná nepotřebují tento druh zabezpečení a možná budete potřebovat rychlejší porovnávací algoritmus, ale bcrypt vám umožňuje zvolit rovnováhu mezi rychlostí a bezpečností.”

A protože pomalé hashování může být stále implementováno za méně než sekundu, uživatelé by neměli být ovlivněni.

Proč tě to zajímá?

Používáme-li službu online, uzavíráme smlouvu o důvěře. Měli byste mít jistotu, že vaše osobní údaje jsou chráněny.

„Můj notebook je nastaven tak, aby vyfotil po třech nesprávných pokusech o zadání hesla“ pic.twitter.com/yBNzPjnMA2

- Kočky ve vesmíru (@CatsLoveSpace) 16. srpna 2016

Bezpečné uložení hesla Kompletní průvodce pro zjednodušení a zabezpečení vašeho života pomocí LastPass a Xmarks Kompletní průvodce pro zjednodušení a zabezpečení vašeho života pomocí LastPass a Xmarks Zatímco cloud znamená, že můžete snadno přistupovat k důležitým informacím, ať jste kdekoli, ale také to znamená, že mít spoustu hesel sledovat. Proto byl vytvořen LastPass. je obzvláště důležité. I přes četná varování mnozí z nás používají stejné pro různé weby, takže pokud například došlo k porušení Facebooku, byl váš Facebook hacknut? Zde je návod, jak to zjistit (a opravit) Byl váš Facebook hacknut? Zde je návod, jak to zjistit (a opravit) Existují kroky, které můžete podniknout, abyste zabránili hackerům na Facebooku, a věci, které můžete udělat v případě, že se váš Facebook hackne. , vaše přihlašovací údaje pro jakékoli jiné weby, které často používáte se stejným heslem, mohou být také otevřenou knihou pro počítačové zločince.

Objevili jste nějaké pachatele prostého textu? Které stránky implicitně důvěřujete? Co si myslíte, že je dalším krokem pro bezpečné uložení hesla?

Image Credits: Africa Studio / Shutterstock, Nesprávná hesla od Lulu Hoeller [Už není k dispozici]; Přihlášení od Automobile Italia; Soubory s hesly pro Linux od Christiaan Colen; a třepačka soli od Karyn Christner.




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.