Jak webové stránky udržují vaše hesla v bezpečí?

reklama

Nyní zřídka jdeme měsíc, aniž bychom slyšeli o nějakém narušení dat; může to být aktuální služby, jako je Gmail Je váš účet Gmail mezi 42 miliony ověřených údajů? Přečtěte si více nebo na něco, na co většina z nás zapomněla, jako MySpace Facebook sleduje všechny, MySpace byl napaden... [Tech News Digest]Facebook sleduje všechny na webu, miliony MySpace pověření jsou na prodej, Amazon přináší Alexa do vašeho prohlížeče, No Man's Sky trpí zpoždění a Pong Project se formuje. Přečtěte si více .

Faktor v našem zvyšujícím se povědomí o tom, jak jsou naše soukromé informace vysavač Google Pět věcí, které Google pravděpodobně ví o vás Přečtěte si více , sociální média (zejména Facebook Ochrana osobních údajů na Facebooku: 25 věcí, které o vás sociální síť víFacebook o nás ví překvapivě - informace, které dobrovolně dobrovolně poskytneme. Na základě těchto informací můžete být zařazeni do demografických údajů, zaznamenat vaše „lajky“ a sledovat vztahy. Zde je 25 věcí, o kterých Facebook ví ... Přečtěte si více

), a dokonce naše vlastní chytré telefony Co je nejbezpečnější mobilní operační systém?Bojujeme o titul nejbezpečnějšího mobilního OS, máme: Android, BlackBerry, Ubuntu, Windows Phone a iOS. Který operační systém nejlépe bojuje proti online útokům? Přečtěte si více , a nikdo vám nemůže vyčítat, že jste trochu paranoidní o tom, jak se webové stránky starají o něco jako důležité jako heslo Vše, co potřebujete vědět o heslechHesla jsou důležitá a většina lidí o nich nevědí dost. Jak si vyberete silné heslo, všude použijete jedinečné heslo a všechny si pamatujete? Jak zabezpečíte své účty? Jak... Přečtěte si více .

Ve skutečnosti, pro klid mysli, je to něco, co každý potřebuje vědět ...

Nejhorší scénář: prostý text

Zvažte toto: Hlavní web byl hacknut. Kybernetičtí zločinci prošli všemi základními bezpečnostními opatřeními, která přijali, možná využívají nedostatky ve své architektuře. Jste zákazník. Tento web uložil vaše údaje. Naštěstí jste si byli jisti, že vaše heslo je bezpečné.

S výjimkou toho, že web ukládá vaše heslo jako prostý text.

Vždy to byla tikající bomba. Prostá textová hesla čekají na vyplenění. Nepoužívají žádný algoritmus, aby byly nečitelné. Hackeři to dokážou přečíst jednoduše tak, jak čtete tuto větu.

Je to děsivá myšlenka, že? Nezáleží na tom, jak složité je vaše heslo, i když je to až 30 číslic: prostá textová databáze je seznam hesel každého uživatele, který je jasně uveden, včetně jakýchkoli dalších čísel a znaků, které vás mají použití. I když hackeři ne crack na webu, opravdu chcete, aby administrátor viděl vaše důvěrné přihlašovací údaje?

# c4news

Vždy používám dobré a silné heslo, jako je Hercules nebo Titan, a nikdy jsem neměl žádné problémy ...

- Neobtěžujte se (@emilbordon) 16. srpna 2016

Možná si myslíte, že se jedná o velmi vzácný problém, ale odhadem 30% webových stránek elektronického obchodu používá tuto metodu k „zabezpečení“ vašich dat - ve skutečnosti existuje celý blog věnovaný zvýraznění těchto pachatelů! Až do minulého roku si i NHL ukládala hesla tímto způsobem, stejně jako Adobe před závažným porušením.

Šokující, firma na ochranu před viry, McAfee také používá prostý text.

Snadný způsob, jak zjistit, zda to web používá, je, pokud od vás ihned po registraci obdržíte e-mail s uvedením vašich přihlašovacích údajů. Velmi riskantní. V takovém případě můžete chtít změnit libovolné weby se stejným heslem a kontaktovat společnost, aby je upozornila, že jejich bezpečnost je znepokojující.

Neznamená to nutně, že je ukládají jako prostý text, ale je to dobrý ukazatel - a ve skutečnosti by neměly posílat takové věci v e-mailech. Mohou to argumentovat mají brány firewall et al. chránit před kybernetickými zločinci, ale připomenout jim, že žádný systém není bezchybný a visí nad tím, že se před nimi ztratí zákazníci.

Brzy změní názor. Doufejme…

Ne tak dobré, jak to zní: Šifrování

Co tyto stránky dělají?

Mnoho z nich se obrátí na šifrování. Všichni jsme o tom slyšeli: zdánlivě nepropustný způsob kódování vašich informací a jejich nečitelnost dokud nebudou dva klíče - jeden, který máte v držení (to jsou vaše přihlašovací údaje), a druhý dotyčná společnost prezentovány. Je to skvělý nápad, který byste měli dokonce implementovat do smartphonu 7 důvodů, proč byste měli šifrovat data ze smartphonuŠifrujete zařízení? Všechny hlavní operační systémy smartphonů nabízejí šifrování zařízení, ale měli byste je používat? Zde je důvod, proč je šifrování smartphonů užitečné a neovlivní to, jak používáte smartphone. Přečtěte si více a další zařízení.

Internet běží na šifrování: když vy viz HTTPS v URL HTTPS všude: Pokud je to možné, používejte místo HTTP HTTP Přečtěte si více , to znamená, že web, na kterém se nacházíte, používá buď Secure Sockets Layer (SSL) Co je to SSL certifikát a potřebujete jej?Prohlížení internetu může být děsivé, pokud se jedná o osobní údaje. Přečtěte si více nebo Protokoly TLS (Transport Layer Security) k ověřte spojení a propojte data Jak se webové prohlížení stává ještě bezpečnějšímMáme SSL certifikáty, které děkujeme za naši bezpečnost a soukromí. Vaše nedávná porušení a nedostatky však mohla narušit vaši důvěru v kryptografický protokol. Naštěstí se SSL přizpůsobuje, inovuje - zde je návod. Přečtěte si více .

Ale navzdory tomu, co jste možná slyšeli Nevěřte těchto 5 mýtů o šifrování!Šifrování zní složitě, ale je mnohem jednodušší, než si většina myslí. Přesto se možná budete cítit příliš temně na to, abyste mohli šifrování používat, takže pojdeme o některých mýtech šifrování! Přečtěte si více , šifrování není dokonalé.

Whaddya znamená, že moje heslo nemůže obsahovat backspace?

- Derek Klein (@rogue_analyst) 11. srpna 2016

Mělo by to být bezpečné, ale je to tak bezpečné, jako když jsou klíče uloženy. Pokud web chrání váš klíč (tj. Heslo) pomocí vlastního, hacker by jej mohl odhalit, aby jej našel a dešifroval. Nalezení hesla by vyžadovalo poměrně malé úsilí zloděje; Proto jsou klíčové databáze masivním cílem.

V zásadě, pokud je jejich klíč uložen na stejném serveru jako váš, může být vaše heslo také ve formě prostého textu. Proto výše uvedený web PlainTextOffenders také uvádí služby, které používají reverzibilní šifrování.

Překvapivě jednoduché (ale ne vždy efektivní): Hašování

Teď se někam dostaneme. Hashing hesla zní jako nesmyslný žargon Tech žargon: Naučte se 10 nových slov naposledy přidaných do slovníku [Podivný a skvělý web]Technologie je zdrojem mnoha nových slov. Pokud jste geek a milovník slov, budete milovat těchto deset, které byly přidány do online verze Oxfordského anglického slovníku. Přečtěte si více , ale je to prostě bezpečnější forma šifrování.

Místo ukládání hesla jako prostého textu jej web spouští skrz a hash funkce, jako MD5 Co to všechno vlastně znamená, že látka MD5 hasí [vysvětlení technologie]Zde je kompletní přehled MD5, hashování a malý přehled počítačů a kryptografie. Přečtěte si více , Secure Hashing Algorithm (SHA) -1, nebo SHA-256, který jej transformuje do zcela jiné sady číslic; mohou to být čísla, písmena nebo jiné znaky. Vaše heslo může být IH3artMU0. To by se mohlo změnit na 7dVq $ @ ihT, a pokud se hacker vloupal do databáze, to je vše, co vidí. A funguje to jen jedním způsobem. Nemůžete to dekódovat zpět.

Bohužel to tak není že zajistit. Je to lepší než prostý text, ale pro počítačové zločince je to stále docela běžné. Klíčem je to, že konkrétní heslo vytváří konkrétní hash. Má to dobrý důvod: pokaždé, když se přihlásíte pomocí hesla IH3artMU0, automaticky to projde prostřednictvím této hashovací funkce a web vám umožní přístup, pokud tento hash a ten v databázi webu zápas.

To také znamená, že hackeři vyvinuli duhové tabulky, seznam hashů, které už ostatní používají jako hesla, které může sofistikovaný systém rychle projít útok hrubou silou Co jsou útoky hrubou silou a jak se můžete chránit?Pravděpodobně jste slyšeli frázi „útok hrubou silou“. Ale co to přesně znamená? Jak to funguje? A jak se proti tomu můžete chránit? Zde je to, co potřebujete vědět. Přečtěte si více . Pokud jste si vybrali šokující špatné heslo 25 hesel, kterým se musíte vyhnout, použijte WhatsApp zdarma... [Tech News Digest]Lidé stále používají hrozná hesla, WhatsApp je nyní zcela zdarma, AOL zvažuje změnu svého názvu, Valve schvaluje fanoušky vyrobenou hru Half-Life a The Boy With a Camera for Face. Přečtěte si více , to bude vysoko na duhových stolech a mohlo by se snadno popraskat; obskurnější - zvláště rozsáhlé kombinace - bude trvat déle.

Jak špatné to může být? V roce 2012, LinkedIn byl hacknut Co potřebujete vědět o úniku z rozsáhlých účtů LinkedInHacker prodává 117 milionů hackovaných údajů na LinkedIn na webu Dark za zhruba 2 200 USD v bitcoinech. Kevin Shabazi, generální ředitel a zakladatel společnosti LogMeOnce, nám pomáhá porozumět tomu, co je ohroženo. Přečtěte si více . E-mailové adresy a jejich odpovídající hash byly vynechány. To je 177,5 milionů hashů, které ovlivňují 164,6 milionů uživatelů. Možná zjistíte, že to není příliš znepokojující: jsou to jen spousta náhodných číslic. Docela nerozluštitelné, že? Dva profesionální sušenky se rozhodly odebrat vzorek 6,4 milionu hashů a zjistit, co mohou udělat.

Ony prasklo 90% z nich za necelý týden.

Tak dobrý, jak to dostane: Solení a pomalé hasení

Žádný systém není impregnovatelný Mýty: Nebezpečné bezpečnostní rady, které byste neměli dodržovatPokud jde o zabezpečení internetu, každý a jejich bratranec mají rady, které vám mohou nabídnout nejlepší softwarové balíčky k instalaci, riskantní weby, na které se musíte vyhýbat, nebo osvědčené postupy, pokud jde o ... Přečtěte si více - hackeři budou přirozeně usilovat o rozbití nových bezpečnostních systémů - ale zavedené silnější techniky podle nejbezpečnějších webů Každý zabezpečený web to dělá svým heslemPřemýšleli jste někdy, jak webové stránky chrání vaše heslo před porušením dat? Přečtěte si více jsou chytřejší hashe.

Solené hashe jsou založeny na praxi kryptografické nete, náhodné datové sady generované pro každé jednotlivé heslo, obvykle velmi dlouhé a velmi složité. Tyto další číslice se přidávají na začátek nebo na konec hesla (nebo e-mailového hesla) kombinace) před tím, než projde hašovací funkcí, za účelem boje proti pokusům o použití duhové stoly.

Obecně nezáleží na tom, zda jsou soli uloženy na stejných serverech jako hash; praskání sady hesel může být pro hackery velmi náročné na čas, může být dokonce ještě přísnější, pokud je vaše heslo samotné je nadměrné a komplikované 6 tipů pro vytvoření nerozbitného hesla, které si můžete pamatovatPokud vaše hesla nejsou jedinečná a nerozbitná, můžete také otevřít přední dveře a pozvat lupiče na oběd. Přečtěte si více . Proto byste měli vždy používat silné heslo bez ohledu na to, do jaké míry důvěřujete bezpečnosti webu.

Webové stránky, které berou svou bezpečnost a navíc vaši bezpečnost zvláště vážně, se stále více mění jako pomalé hashování. Nejznámější hašovací funkce (MD5, SHA-1 a SHA-256) již dávno existují a jsou široce využívány, protože se relativně snadno implementují a hashe se aplikují velmi rychle.

Zacházejte s heslem jako se zubním kartáčkem, pravidelně jej měňte a nesdílejte!

- Anti-Bullying Pro (od charity The Diana Award) (@AntiBullyingPro) 13. srpna 2016

Zatímco stále používají soli, pomalé hashe jsou ještě lepší v boji proti jakýmkoli útokům, které se spoléhají na rychlost; omezením hackerů na podstatně méně pokusů za sekundu jim zabrání déle, a tím se pokusí o menší pokusy, přičemž se vezme v úvahu také snížená úspěšnost. Počítačoví zločinci musí zvážit, zda stojí za to útočit na časově náročné systémy pomalého hašování nad poměrně rychlými opravami: lékařské instituce mají obvykle menší zabezpečení 5 důvodů, proč krádež lékařské identity rostePodvodníci chtějí vaše osobní údaje a informace o bankovním účtu - ale věděli jste, že vaše lékařské záznamy jsou pro ně také zajímavé? Zjistěte, co s tím můžete dělat. Přečtěte si více například data, která by se zde mohla získat stále se prodávají za překvapivé částky Tady je, jak moc by se vaše identita mohla stát na temném webuJe nepříjemné myslet na sebe jako na komoditu, ale všechny vaše osobní údaje, od jména a adresy až po údaje o bankovním účtu, stojí za to pro zločince online. Kolik stojí za to? Přečtěte si více .

Je také velmi přizpůsobivý: pokud je systém vystaven zvláštnímu namáhání, může se ještě více zpomalit. Coda Hale, Bývalý vývojář principů softwaru společnosti Microsoft, porovnává MD5 s pravděpodobně nejvýznamnější funkcí pomalého hašování, bcrypt (ostatní zahrnují PBKDF-2 a scrypt):

„Namísto toho, abych každých 40 sekund praskal heslo [jako u MD5], praskal bych je každých 12 let [když systém používá brypt]. Vaše hesla možná nepotřebují tento druh zabezpečení a možná budete potřebovat rychlejší srovnávací algoritmus, ale bcrypt vám umožňuje zvolit rovnováhu mezi rychlostí a bezpečností. “

A protože pomalé hashování může být stále implementováno za méně než sekundu, uživatelé by neměli být ovlivněni.

Proč tě to zajímá?

Používáme-li službu online, uzavíráme smlouvu o důvěře. Měli byste mít jistotu, že vaše osobní údaje jsou chráněny.

„Můj notebook je nastaven tak, aby vyfotil po třech nesprávných pokusech o zadání hesla“ pic.twitter.com/yBNzPjnMA2

- Kočky ve vesmíru (@CatsLoveSpace) 16. srpna 2016

Bezpečné uložení hesla Kompletní průvodce pro zjednodušení a zabezpečení vašeho života pomocí LastPass a XmarksPřestože cloud znamená, že máte snadný přístup k důležitým informacím, ať jste kdekoli, znamená to také, že máte spoustu hesel, která byste měli sledovat. Proto byl vytvořen LastPass. Přečtěte si více je obzvláště důležité. I přes četná varování mnozí z nás používají stejné pro různé weby, takže pokud existuje například porušení Facebooku Byl váš Facebook napaden? Zde je návod, jak to zjistit (a opravit)Můžete podniknout kroky, abyste zabránili hackerství na Facebooku, a věci, které můžete udělat v případě, že se váš Facebook hackne. Přečtěte si více , vaše přihlašovací údaje pro jakékoli jiné weby, které často používáte se stejným heslem, mohou být také otevřenou knihou pro počítačové zločince.

Objevili jste nějaké pachatele prostého textu? Které stránky implicitně důvěřujete? Jaký je podle vás další krok k bezpečnému uložení hesla?

Image Credits: Africa Studio / Shutterstock, Nesprávná hesla od Lulu Hoeller [Už není k dispozici]; Přihlášení od Automobile Italia; Soubory s hesly systému Linux od Christiaan Colen; a třepačka soli od Karyn Christner.