Kaip svetainės saugo slaptažodžius?

Skelbimas

Dabar mes retai einame mėnesį negirdėdami apie kažkokius duomenų pažeidimus; tai gali būti šiuolaikiška tokią paslaugą kaip „Gmail“ Ar jūsų „Gmail“ paskyroje yra 42 milijonai nutekėjusių kredencialų? Skaityti daugiau ar tai, apie ką dauguma iš mūsų pamiršo, kaip „MySpace“ „Facebook“ stebi visus, „MySpace“ įsilaužė... [Techninių žinių santrauka]„Facebook“ stebi visus žiniatinklyje, parduodami milijonai „MySpace“ kredencialų, „Amazon“ atidaro „Alexa“ į jūsų naršyklę, „No Man's Sky“ kenčia vėlavimą, o „Pong Project“ formuojasi. Skaityti daugiau .

Tai, kad vis geriau suprantame, kokia yra mūsų asmeninė informacija išsiurbė „Google“ Penki dalykai, kuriuos „Google“ tikriausiai žino apie jus Skaityti daugiau , socialinė žiniasklaida (ypač „Facebook“ „Facebook“ privatumas: 25 dalykai, kuriuos socialinis tinklas žino apie jus„Facebook“ žino apie mus stebinančią sumą - informaciją, kurią mes noriai savanoriaujame. Remdamiesi ta informacija galite suskirstyti į demografinius rodiklius, įrašyti „patinka“ ir stebėti santykius. Štai 25 dalykai, apie kuriuos „Facebook“ žino ...

Skaityti daugiau ), Ir netgi patys mūsų išmanieji telefonai Kas yra saugiausia mobilioji operacinė sistema?Kovodami dėl saugiausios mobiliosios OS titulo, turime: „Android“, „BlackBerry“, „Ubuntu“, „Windows Phone“ ir „iOS“. Kuri operacinė sistema geriausiai saugo savo nuo internetinių atakų? Skaityti daugiau , ir niekas negali jūsų kaltinti, kad esate šiek tiek paranojiškas dėl to, kaip svetainės prižiūri kažką panašaus svarbu kaip slaptažodis Viskas, ką reikia žinoti apie slaptažodžiusSlaptažodžiai yra svarbūs ir dauguma žmonių jų nepakankamai žino. Kaip pasirinkti tvirtą slaptažodį, visur naudoti unikalų slaptažodį ir juos visus atsiminti? Kaip apsaugote savo sąskaitas? Kaip ... Skaityti daugiau .

Tiesą sakant, norint ramiai tai žinoti reikia kiekvienam ...

Blogiausias scenarijus: paprastas tekstas

Apsvarstykite tai: buvo nulaužta pagrindinė svetainė. Kibernetiniai nusikaltėliai pasinaudojo bet kuriomis pagrindinėmis saugumo priemonėmis, kurių prireikia, galbūt pasinaudojo savo architektūros spraga. Jūs esate klientas. Šioje svetainėje buvo saugoma jūsų informacija. Laimei, jūs buvote tikri, kad jūsų slaptažodis yra saugus.

Išskyrus tai, kad svetainė jūsų slaptažodį saugo kaip paprastą tekstą.

Visada tai buvo tiksinanti bomba. Paprasto teksto slaptažodžiai tiesiog laukia, kol bus išplėšti. Jie nenaudoja jokio algoritmo, kad jie būtų neįskaitomi. Piratai gali ją skaityti taip pat paprastai, kaip ir jūs skaitote šį sakinį.

Tai bauginanti mintis, ar ne? Nesvarbu, koks sudėtingas yra jūsų slaptažodis, net jei jį sudaro 30 skaitmenų: paprasto teksto duomenų bazė yra visų slaptažodžių sąrašas, surašytas aiškiai, įskaitant visus papildomus skaičius ir simbolius naudoti. Net jei įsilaužėliai nereikia nulaužti svetainę, ar tikrai norite, kad administratorius matytų jūsų konfidencialią prisijungimo informaciją?

# c4naujienos

Aš visada naudoju gerą, stiprų slaptažodį, pavyzdžiui, „Hercules“ ar „Titan“, ir niekada neturėjau problemų ...

- Nesivargink (@emilbordon) 2016 m. Rugpjūčio 16 d

Galite pamanyti, kad tai labai reta problema, tačiau maždaug 30% el. Prekybos svetainių naudoja šį metodą jūsų duomenims „apsaugoti“ - iš tikrųjų yra visas tinklaraštis, skirtas pabrėžti šiuos skriaudėjus! Iki praėjusių metų net NHL tokiu būdu saugojo slaptažodžius, kaip tai darė „Adobe“ prieš didelį pažeidimą.

Stulbinančiai, apsaugos nuo virusų įmonė, „McAfee“ taip pat naudoja paprastą tekstą.

Paprastas būdas sužinoti, ar svetainė tai naudoja, jei tik užsiregistravę iš jų gausite el. Laišką, kuriame bus nurodyta jūsų prisijungimo informacija. Labai nedrąsus. Tokiu atveju galbūt norėsite pakeisti bet kurias svetaines su tuo pačiu slaptažodžiu ir susisiekti su įmone, kad įspėtų jas apie jų saugumą.

Tai nebūtinai reiškia, kad jie juos saugo kaip paprastą tekstą, tačiau tai yra geras rodiklis - ir jie iš tikrųjų neturėtų tokiu būdu siųsti el. Laiškų. Jie gali tai teigti jie turi ugniasienes et al. apsisaugoti nuo kibernetinių nusikaltėlių, tačiau priminkite jiems, kad jokia sistema nėra nepriekaištinga ir užgožia galimybę prarasti klientus priešais juos.

Jie netrukus persigalvos. Tikiuosi ...

Ne taip gerai, kaip atrodo: šifravimas

Taigi, ką daro šios svetainės?

Daugelis kreipsis į šifravimą. Mes visi apie tai girdėjome: atrodo, kad nepastebimas jūsų informacijos šifravimo būdas, padarant ją neįskaitomą kol bus du klavišai - vienas, kurį laikote jūs (tai jūsų prisijungimo duomenys), o kitas - nagrinėjamos įmonės pristatė. Tai puiki idėja, kurią turėtum net įgyvendinti įgyvendinti savo išmaniajame telefone 7 priežastys, kodėl turėtumėte užšifruoti savo išmaniųjų telefonų duomenisAr šifruojate savo įrenginį? Visos pagrindinės išmaniųjų telefonų operacinės sistemos siūlo įrenginio šifravimą, tačiau ar jūs turėtumėte juo naudotis? Štai kodėl išmaniųjų telefonų šifravimas yra vertas ir neturės įtakos jūsų išmaniojo telefono naudojimui. Skaityti daugiau ir kiti prietaisai.

Internetas veikia šifruodamas: kai tu žiūrėkite HTTPS URL HTTPS visur: naudokite HTTPS, o ne HTTP, kai įmanoma Skaityti daugiau , tai reiškia, kad svetainė, kurioje naudojatės, naudoja arba Saugus lizdas (SSL) Kas yra SSL sertifikatas ir ar jums jo reikia?Naršymas internete gali būti baisus, kai naudojama asmeninė informacija. Skaityti daugiau arba TLS (Transport Layer Security) protokolus patikrinti ryšius ir sugadinti duomenis Kaip interneto naršymas tampa dar saugesnisMes turime SSL sertifikatus, norėdami padėkoti už mūsų saugumą ir privatumą. Tačiau pastarieji pažeidimai ir trūkumai galėjo paneigti jūsų pasitikėjimą kriptografiniu protokolu. Laimei, SSL prisitaiko, yra tobulinamas - štai kaip. Skaityti daugiau .

Bet nepaisant to, ką galbūt girdėjai Netikėkite šiais 5 mitais apie šifravimą!Šifravimas skamba sudėtingai, tačiau yra daug tiesesnis, nei dauguma mano. Nepaisant to, jūs galite jaustis pernelyg tamsoje, kad galėtumėte naudoti šifravimą, todėl sunaikinkime kelis šifravimo mitus! Skaityti daugiau , šifravimas nėra tobulas.

Whaddya reiškia, kad mano slaptažodyje negali būti užpakalinių taškų ???

- Derekas Kleinas (@rogue_analyst) 2016 m. Rugpjūčio 11 d

Jis turėtų būti saugus, tačiau saugus tik ten, kur saugomi raktai. Jei svetainė saugo jūsų raktą (t. Y. Slaptažodį) naudodama savo, įsilaužėlis gali paviešinti pastarąjį, kad rastų pirmąjį ir jį iššifruotų. Reikėtų palyginti nedaug vagio pastangų, norint surasti savo slaptažodį; Štai kodėl pagrindinės duomenų bazės yra didžiulis tikslas.

Iš esmės, jei jų raktas yra saugomas tame pačiame serveryje kaip ir jūsų, jūsų slaptažodis taip pat gali būti paprastas tekstas. Štai kodėl minėtoje „PlainTextOffenders“ svetainėje taip pat pateikiamos paslaugos, kurios naudoja grįžtamąjį šifravimą.

Stebina paprasta (bet ne visada efektyvu): maišos

Dabar mes kur nors einame. Maišymo slaptažodžiai skamba kaip nesąmoningas žargonas Techninis žargonas: išmokite 10 naujų žodžių, neseniai pridėtų prie žodyno [Keistas ir nuostabus internetas]Technologija yra daugelio naujų žodžių šaltinis. Jei esate geekas ir žodžių mėgėjas, jums patiks šie dešimt, kurie buvo įtraukti į internetinę Oksfordo anglų žodyno versiją. Skaityti daugiau , tačiau tai paprasčiau saugesnė šifravimo forma.

Užuot saugoję slaptažodį kaip paprastą tekstą, svetainė jį paleidžia per maišos funkcija, kaip MD5 Ką iš tikrųjų reiškia visa tai, kas nutiko MD5, [paaiškinta apie technologiją]Čia yra visas MD5 sunaikinimas, maišos ir nedidelė kompiuterių ir kriptografijos apžvalga. Skaityti daugiau , Saugusis maišos algoritmas (SHA) -1 arba SHA-256, kuris jį paverčia visiškai kitokiu skaitmenų rinkiniu; tai gali būti skaičiai, raidės ar bet kokie kiti ženklai. Jūsų slaptažodis gali būti IH3artMU0. Tai gali virsti „7dVq $ @ ihT“, o jei įsilaužėlis įsilaužė į duomenų bazę, tai yra viskas, ką jie gali pamatyti. Ir tai veikia tik viena kryptimi. Negalite jo atkoduoti.

Deja, taip nėra kad saugus. Tai geriau nei paprastas tekstas, tačiau jis vis dar yra gana standartinis elektroniniams nusikaltėliams. Svarbiausia, kad konkretus slaptažodis sukuria konkrečią maišos formą. Tam yra svari priežastis: kiekvieną kartą prisijungiant naudojant slaptažodį IH3artMU0, jis automatiškai praeina naudodami tą maišos funkciją, ir svetainė leidžia jums pasiekti, jei tas maišos ir tas yra svetainės duomenų bazėje rungtynės.

Tai taip pat reiškia, kad įsilaužėliai yra sukūrę vaivorykštės lenteles, maišos sąrašą, kurį kiti jau naudoja kaip slaptažodžius, kad sudėtinga sistema galėtų greitai veikti kaip žiaurios jėgos išpuolis Kas yra žiaurūs jėgos išpuoliai ir kaip galite apsisaugoti?Jūs tikriausiai girdėjote frazę „brutalios jėgos išpuolis“. Bet ką tiksliai tai reiškia? Kaip tai veikia? Ir kaip jūs galite apsisaugoti nuo to? Štai ką reikia žinoti. Skaityti daugiau . Jei pasirinkote šokiruojamai blogas slaptažodis 25 slaptažodžiai, kurių reikia vengti, naudokite „WhatsApp“ nemokamai... [Techninių žinių santrauka]Žmonės nuolat naudojasi baisiais slaptažodžiais, „WhatsApp“ dabar yra visiškai nemokama, AOL svarsto galimybę pakeisti savo vardą, „Valve“ patvirtina gerbėjų sukurtą žaidimą „Half-Life“ ir „Berniukas su kamera veidui“. Skaityti daugiau , tai bus aukštai ant vaivorykštės stalų ir juos būtų galima lengvai nulaužti; labiau neaiškūs - ypač plačios kombinacijos - užtruks ilgiau.

Kaip blogai tai gali būti? Dar 2012 m. „LinkedIn“ buvo nulaužta Ką reikia žinoti apie didžiulį „LinkedIn“ sąskaitų nutekėjimąHakeris „Dark“ žiniatinklyje parduoda apie 117 milijonų nulaužtų „LinkedIn“ kredencialų už maždaug 2200 dolerių „Bitcoin“. Kevinas Shabazi, „LogMeOnce“ generalinis direktorius ir įkūrėjas, padeda mums suprasti, kas rizikuoja. Skaityti daugiau . Buvo nutekinti el. Pašto adresai ir juos atitinkančios maišos. Tai 177,5 mln. Maišos, paveikę 164,6 mln. Vartotojų. Galite pastebėti, kad tai ne per daug rūpestis: jie yra tik daugybė atsitiktinių skaitmenų. Gana nesąžiningas, tiesa? Du profesionalūs krekeriai nusprendė paimti 6,4 milijono maišos mėginių ir pažiūrėti, ką jie galėtų padaryti.

Jie nulaužė 90% jų per mažiau nei savaitę.

Kaip gerai, kai jis gaunamas: sūdymas ir lėtas maišos

Nei viena sistema nėra neįveikiama Mitų kūrėjai: pavojingi patarimai dėl saugumo, kurių neturėtumėte laikytisKalbant apie interneto saugumą, kiekvienas ir jų pusbrolis turi patarimų, kaip jums pasiūlyti geriausius įdiegiamus programinės įrangos paketus, vengiančias svetaines ir geriausios praktikos pavyzdžius ... Skaityti daugiau - Piratai natūraliai stengsis nulaužti bet kokias naujas apsaugos sistemas, tačiau bus įdiegta stipresnė technika saugiausiose svetainėse Kiekviena saugi svetainė tai daro su jūsų slaptažodžiuAr kada susimąstėte, kaip svetainės apsaugo jūsų slaptažodį nuo duomenų pažeidimų? Skaityti daugiau yra protingesni maišos.

Sūdytos maišos yra pagrįstos šifravimo principo, atsitiktinių duomenų rinkinio, sugeneruoto kiekvienam atskiram slaptažodžiu, praktika, paprastai labai ilgas ir labai sudėtingas. Šie papildomi skaitmenys pridedami prie slaptažodžio (arba el. Pašto slaptažodžio) pradžios arba pabaigos deriniai), kol ji praeina per maišos funkciją, kad būtų kovojama su bandymais, naudojant vaivorykštės stalai.

Paprastai nesvarbu, ar druskos yra laikomos tuose pačiuose serveriuose kaip ir maišos; nulaužti slaptažodžių rinkinį įsilaužėliams gali prireikti daug laiko, todėl jie taps dar sunkesni slaptažodis yra per didelis ir sudėtingas 6 patarimai, kaip sukurti nenutrūkstamą slaptažodį, kurį galėtumėte atsimintiJei slaptažodžiai nėra unikalūs ir nesulaužomi, galite atidaryti priekines duris ir pakviesti plėšikus pietums. Skaityti daugiau . Štai kodėl jūs visada turėtumėte naudoti tvirtą slaptažodį, nesvarbu, kiek pasitikite svetainės saugumu.

Tinklalapiai, kurie ypač rimtai vertina savo ir, be kita ko, jūsų saugumą, vis dažniau kreipiasi į lėtą derinimą kaip papildomą priemonę. Geriausiai žinomos maišos funkcijos (MD5, SHA-1 ir SHA-256) jau kurį laiką yra plačiai naudojamos, nes jas gana lengva įgyvendinti ir maišos pritaikomos labai greitai.

Su savo slaptažodžiu elkitės kaip su dantų šepetėliu, reguliariai jį keiskite ir nebendrinkite!

- Kova su patyčiomis (iš labdaros organizacijos „Diana Award“) (@AntiBullyingPro) 2016 m. Rugpjūčio 13 d

Vis dar tepdami druskas, lėti maišos dar geriau padeda įveikti bet kokius išpuolius, kurie priklauso nuo greičio; ribojant įsilaužėlių skaičių iki daug mažiau bandymų per sekundę, jiems prireikia ilgesnio nulaužimo, todėl bandymai tampa mažiau vertingi, atsižvelgiant ir į mažesnį sėkmės procentą. Kibernetiniai nusikaltėliai turi pasverti, ar verta užpulti daug laiko reikalaujančią lėtą maišos sistemą, palyginti su „greitaisiais taisymais“: medicinos įstaigos paprastai turi mažiau saugumo 5 priežastys, kodėl padaugėja medicininės tapatybės vagysčiųSukčiai nori jūsų asmeninės informacijos ir banko sąskaitos informacijos - bet ar žinojai, kad ir tavo medicininiai įrašai juos domina? Sužinokite, ką galite su tuo padaryti. Skaityti daugiau , pavyzdžiui, kad duomenys, kuriuos buvo galima gauti iš ten, yra vis tiek bus parduodama už stebinančias sumas Štai, kiek jūsų tapatybės gali būti vertos „tamsiajame internete“Nemalonu galvoti apie save kaip prekę, tačiau visa jūsų asmeninė informacija, pradedant vardu ir adresu, baigiant banko sąskaitos informacija, yra verta ko nors nusikaltėliams internete. Kiek tu verta? Skaityti daugiau .

Tai taip pat labai pritaikoma: jei sistema patiria tam tikrą įtampą, ji gali dar labiau sulėtėti. Coda Hale, Buvęs „Microsoft“ pagrindinis programinės įrangos kūrėjas, palygina MD5 su bene ryškiausia lėto maišos funkcija „bcrypt“ (kiti apima „PBKDF-2“ ir „šifruoti“):

„Užuot nulaužęs slaptažodį kas 40 sekundžių [kaip su MD5], aš juos nulaužčiau maždaug kas 12 metų [kai sistema naudoja„ bcrypt “]. Jūsų slaptažodžiams gali būti nereikalinga tokia apsauga ir gali reikėti greitesnio palyginimo algoritmo, tačiau „bcrypt“ leidžia pasirinkti greičio ir saugumo balansą. “

Kadangi lėtas maišos būdas vis dar gali būti įgyvendintas greičiau nei per sekundę, vartotojams tai neturėtų būti daroma.

Kodėl tai svarbu?

Kai mes naudojame internetinę paslaugą, mes sudarome pasitikėjimo sutartį. Turėtumėte būti saugūs žinodami, kad jūsų asmeninė informacija yra saugi.

"Mano nešiojamasis kompiuteris yra nustatytas fotografuoti po trijų neteisingų slaptažodžio bandymų" pic.twitter.com/yBNzPjnMA2

- Katės kosmose (@CatsLoveSpace) 2016 m. Rugpjūčio 16 d

Saugiai saugokite savo slaptažodį Išsamus jūsų gyvenimo supaprastinimo ir užtikrinimo su „LastPass“ ir „Xmarks“ vadovasNors debesis reiškia, kad galite lengvai pasiekti svarbią informaciją bet kur, bet tai taip pat reiškia, kad turite daug slaptažodžių, kuriuos galite sekti. Štai kodėl buvo sukurtas „LastPass“. Skaityti daugiau yra ypač svarbus. Nepaisant daugybės įspėjimų, daugelis iš mūsų naudoja tą patį skirtingoms svetainėms, taigi, jei yra, „Facebook“ pažeidimas Ar jūsų „Facebook“ buvo nulaužtas? Štai kaip sužinoti (ir išspręsti)Yra keletas žingsnių, kuriuos galite atlikti, kad išvengtumėte įsilaužimo „Facebook“, ir dalykų, kuriuos galite padaryti, jei jūsų „Facebook“ įsilaužta. Skaityti daugiau , jūsų prisijungimo duomenys visose kitose svetainėse, kuriose dažnai naudojatės tuo pačiu slaptažodžiu, taip pat gali būti atvira knyga elektroniniams nusikaltėliams.

Ar atradai paprastų tekstų pažeidėjų? Kuriomis svetainėmis netiesiogiai pasitikite? Kaip manote, koks yra kitas saugios slaptažodžio saugojimo žingsnis?

Kreditai vaizdams: „Africa Studio“ / „Shutterstock“, neteisingi slaptažodžiai, kuriuos pateikė Lulu Hoeller [nebėra]; Prisijungimas „Automobile Italia“; „Christiaan Colen“ „Linux“ slaptažodžių failai; ir druskos purtyklė Karyn Christner.