Kako web stranice čuvaju vaše lozinke?

  • Lesley Fowler
  • 0
  • 3501
  • 724
Oglas

Sada rijetko idemo mjesec dana bez slušanja o nekoj vrsti kršenja podataka; mogla bi biti ažurna usluga kao što je Gmail. Je li vaš Gmail račun među 42 milijuna procurivih vjerodajnica? Je li vaš Gmail račun među 42 milijuna procurilih vjerodajnica? ili nešto na što su mnogi od nas zaboravili, poput MySpace-a Facebook Prati sve, MySpace Got Hacked… [Tech News Digest] Facebook prati sve, MySpace je hakiran… [Tech News Digest] Facebook prati sve na internetu, a milijuni MySpace vjerodajnica su na prodaju, Amazon donosi Alexa u vaš preglednik, No Man's Sky ne odgađa, a Pong Project dobiva oblik. .

Čimbenik u našoj sve većoj svjesnosti o načinu na koji naše privatne podatke vakuumira Google Five Things Google vjerovatno zna o vama pet stvari Google vjerovatno zna o vama, društvenim medijima (posebno Facebook Facebook Privacy: 25 stvari koje društvena mreža zna o vama Facebook Privacy: 25 stvari Društvena mreža zna o vama Facebook zna iznenađujuće količine o nama - informacije koje voljno volontiramo. Iz tih podataka možete ih podijeliti u demografske podatke, zabilježiti vaše "lajkove" i pratiti odnose. Evo 25 stvari o kojima Facebook zna ...) , pa čak i naši vrlo vlastiti pametni telefoni Što je najsigurniji mobilni operativni sustav? Koji je najsigurniji mobilni operativni sustav? Boreći se za titulu Najsigurnijeg mobilnog OS-a, imamo: Android, BlackBerry, Ubuntu, Windows Phone i iOS. Koji je operativni sustav najbolji u održavanju protiv internetskih napada? i nitko vas ne može kriviti što pomalo paranoično gledate kako web stranice brinu o nečem važnom kao što je vaša lozinka Sve što trebate znati o lozinkama Sve što trebate znati o lozinkama Lozinke su važne i većina ljudi o njima ne zna dovoljno. Kako odabrati jaku lozinku, koristiti jedinstvenu lozinku svuda i zapamtiti ih sve? Kako osigurati svoje račune? Kako… .

Zapravo, radi mira, ovo je sve što treba znati ...

Najgori scenarij: običan tekst

Razmotrite ovo: glavna web lokacija je hakirana. Kiber-kriminalci su probili bilo kakve osnovne sigurnosne mjere koje su potrebne, možda iskorištavajući nedostatak u njihovoj arhitekturi. Vi ste mušterija. To je web mjesto pohranilo vaše podatke. Srećom, sigurni ste da je zaporka sigurna.

Osim što web mjesto pohranjuje vašu zaporku kao običan tekst.

Uvijek je to bila bomba koja otkucava. Jednostavne tekstualne lozinke samo čekaju da budu opljačkane. Ne koriste algoritam kako bi ih učinili nečitljivim. Hakeri ga mogu pročitati jednostavno dok čitate ovu rečenicu.

Zastrašujuća je misao, zar ne? Nije važno koliko je zaporka složena, čak i ako ima pi do 30 znamenki: obična tekstualna baza podataka je popis svih lozinki, jasno ispisanih, uključujući sve dodatne brojeve i znakove koje koristite. Čak i ako hakeri nemoj probiti web mjesto, stvarno želite da administrator može vidjeti vaše povjerljive podatke za prijavu?

# c4news

Uvijek koristim dobru, snažnu lozinku, poput Herculesa ili Titana i nikad nisam imao problema ...

- Ne gnjavite (@emilbordon) 16. kolovoza 2016

Možda mislite da je to vrlo rijedak problem, ali procjenjuje se da 30% web lokacija e-trgovine koristi ovu metodu “siguran” vaši podaci - u stvari, postoji čitav blog posvećen isticanju ovih prijestupnika! Do prošle godine, čak je i NHL na taj način pohranjivao lozinke, kao što je to činio i Adobe prije velikog kršenja.

Šokantno je da tvrtka za zaštitu od virusa McAfee također koristi običan tekst.

Lagan način otkrivanja upotrebljava li web lokacija ovo je ako, odmah nakon prijave, od njih dobijete e-poštu s podacima o prijavi. Vrlo drsko. U tom slučaju možda ćete htjeti promijeniti bilo koju web lokaciju s istom lozinkom i kontaktirati tvrtku kako bi je upozorili da njihova sigurnost brine.

To ne mora nužno značiti da ih pohranjuju kao običan tekst, ali to je dobar pokazatelj - i oni zapravo nikako ne bi smjeli slati takve stvari u e-poštu. Možda će tvrditi da imaju vatrozidove i sur. kako bi se zaštitili od cyber-kriminalaca, ali podsjetite ih da nijedan sustav nije besprijekoran i prešućuje mogućnost gubitka kupaca pred sobom.

Uskoro će se predomisliti. Nadam se ...

Nije dobro koliko zvuči: Šifriranje

Pa što rade ove stranice?

Mnogi će se okrenuti šifriranju. Svi smo čuli za to: naizgled neprimjetan način skeniranja vaših podataka, čineći ih nečitljivim sve dok se ne predstave dva ključa - jedan kojeg držite (to su vaši podaci za prijavu), a drugi od strane dotične tvrtke. To je sjajna ideja, ona koju biste trebali implementirati i na svoj pametni telefon. 7 razloga zašto treba šifrirati podatke o vašem pametnom telefonu 7 razloga zašto treba šifrirati podatke pametnog telefona Šifrirate li svoj uređaj? Svi glavni operativni sustavi za pametne telefone nude šifriranje uređaja, no treba li ga koristiti? Evo zašto je šifriranje pametnog telefona vrijedno i neće utjecati na način na koji koristite svoj pametni telefon. i drugi uređaji.

Internet radi na šifriranju: kad HTTPS vidite u URL-u HTTPS svugdje: Koristite HTTPS umjesto HTTP kad je moguće HTTPS posvuda: Koristite HTTPS umjesto HTTP kad je to moguće, to znači da web mjesto na kojem koristite ili sloj sigurnih utičnica ( SSL) Što je SSL certifikat, a treba li vam? Što je SSL certifikat, a treba li vam? Pregledavanje Interneta može biti zastrašujuće kada su u pitanju osobni podaci. ili Sigurnost protokola sloja prijevoza (TLS) radi provjere veza i povezivanja podataka Kako pregledavanje web stranica postaje još sigurnije kako web pregledavanje postaje još sigurnije Imamo SSL certifikate za zahvalnost na sigurnosti i privatnosti. Ali nedavna kršenja i nedostaci možda su umanjili vaše povjerenje u kriptografski protokol. Srećom, SSL se prilagođava, nadograđuje - evo kako. .

Ali usprkos onome što ste možda čuli, ne vjerujte ovih 5 mitova o šifriranju! Ne vjerujte u ovih 5 mitova o šifriranju! Šifriranje zvuči složeno, ali daleko je izravnije nego što većina misli. Unatoč tome, možda ćete se osjećati previše u mraku da biste iskoristili šifriranje, pa razradimo neke mitove šifriranja! , šifriranje nije savršeno.

Što znači da moja lozinka ne može sadržavati povratne prostore ???

- Derek Klein (@rogue_analyst) 11. kolovoza 2016

Trebao bi biti siguran, ali siguran je samo koliko su ključevi pohranjeni. Ako web mjesto štiti vaš ključ (tj. Lozinku) koristeći svoj vlastiti, haker može izložiti taj drugi kako bi ga pronašao i dešifrirao. Lopov će zahtijevati relativno malo napora da pronađe vašu lozinku; zato su ključne baze podataka ogromna meta.

U osnovi, ako se njihov ključ pohrani na istom poslužitelju kao i vaš, zaporka bi također mogla biti u običnom tekstu. Zato gore spomenuta stranica PlainTextOffenders također navodi usluge koje koriste reverzibilno šifriranje.

Iznenađujuće jednostavno (ali ne uvijek učinkovito): sjeckanje

Sad smo negdje stigli. Hashing lozinki zvuči kao glupost žargon Tech Jargon: Saznajte 10 novih riječi koje su nedavno dodane u rječnik [čudno i divno web] Tech Jargon: naučite 10 novih riječi koje su nedavno dodane u rječnik [Weird & Wonderful Web] Tehnologija je izvor mnogih novih riječi , Ako ste ljubitelj genija i riječi, svidjet će vam se ovih deset koji su dodani internetskoj verziji engleskog rječnika u Oxfordu. , ali to je jednostavno sigurniji oblik šifriranja.

Umjesto da svoju lozinku pohranjuje kao običan tekst, web mjesto pokreće je pomoću hash funkcije, poput MD5 Što sve ovo MD5 stvari o hašpu zapravo znači [objasnjena tehnologija] Što sve ovo MD5 izdvajanje haljina zapravo znači [objasnjena tehnologija] Evo potpunog prikaza MD5, hashing i mali pregled računala i kriptografije. , Algoritam sigurnog hešinga (SHA) -1 ili SHA-256, koji ga pretvara u sasvim drugačiji skup znamenki; to mogu biti brojevi, slova ili bilo koji drugi znakovi. Vaša bi zaporka mogla biti IH3artMU0. To bi moglo prerasti u 7dVq $ @ ihT, a ako je haker provalio u bazu podataka, to je sve što mogu vidjeti. I djeluje samo na jedan način. Ne možete ga dekodirati natrag.

Nažalost, nije da siguran. Bolje je od običnog teksta, ali još uvijek je prilično standardno za cyber-kriminala. Ključno je što određena lozinka proizvodi određeni hash. Postoji dobar razlog za to: svaki put kada se prijavite sa lozinkom IH3artMU0, ona automatski prolazi kroz tu hash funkciju i web stranica vam omogućuje pristup ako se taj hash i onaj u bazi podataka web lokacije podudaraju.

To također znači da su hakeri razvili tablice duge, popis heševa, koje već koriste drugi kao lozinke, da se sofisticirani sustav može brzo probiti kao brutalan napad. Što su brutalni napadi i kako se možete zaštititi? Što su brutalni napadi i kako se možete zaštititi? Vjerojatno ste čuli frazu "grubi napad". Ali što to točno znači? Kako radi? I kako se možete zaštititi od toga? Evo što trebate znati. , Ako ste odabrali šokantno lošu lozinku 25 Lozinka koje trebate izbjegavati, koristite WhatsApp besplatno… [Tech News Digest] 25 lozinki koje trebate izbjegavati, WhatsApp koristite besplatno… [Tech News Digest] Ljudi i dalje koriste strašne lozinke, WhatsApp sada je potpuno besplatan, AOL razmišlja o promjeni imena, Valve odobrava obožavanu Half-Life igru ​​napravljenu od obožavatelja, a Dječak s kamerom za lice. , to će biti visoko na stolovima od duge i lako bi se moglo puknuti; opskurnije - posebno opsežne kombinacije - trajat će duže.

Koliko može biti loše? Još 2012., LinkedIn je hakiran Što trebate znati o masovnim LinkedIn računima Procuri ono što trebate znati o masivnim LinkedIn računima Procurivanje hakera prodaje 117 milijuna hakiranih LinkedIn-ovih vjerodajnica na Dark Webu za oko 2200 dolara u Bitcoin-u. Kevin Shabazi, izvršni direktor i osnivač LogMeOncea, pomaže nam da razumijemo samo ono što je u riziku. , Procurile su adrese e-pošte i njihovi odgovarajući heševi. To je 177,5 milijuna heševa, koji utječu na 164,6 milijuna korisnika. Možda ste shvatili da to nije previše briga: oni su samo gomila nasumičnih znamenki. Prilično nepristojno, zar ne? Dva profesionalna krekera odlučila su uzeti uzorak od 6,4 milijuna hešeta i vidjeti što mogu učiniti.

Provalili su ih 90% u samo nešto manje od tjedan dana.

Dobar kao što dobiva: soljenje i sporo uzimanje

Nijedan sustav nije neupadljiv Mythbusters: Opasni sigurnosni savjeti koje ne biste trebali slijediti Mythbusters: Opasni sigurnosni savjeti koje ne biste trebali slijediti Kada je u pitanju internetska sigurnost, svi i njihov rođak imaju savjete da vam ponude o najboljim softverskim paketima za instaliranje, dodiranim web lokacijama da se držite podalje ili najboljih praksi kada je u pitanju… - hakeri će prirodno raditi na probijanju bilo kojeg novog sigurnosnog sustava - ali jače tehnike implementirane na najsigurnijim web-lokacijama Svaka sigurna web-lokacija to učini sa svojom lozinkom Svaka sigurna web-lokacija to učini sa svojom Lozinka Jeste li se ikad zapitali kako web stranice čuvaju vašu lozinku od kršenja podataka? su pametniji hashe.

Slani heševi temelje se na kriptografskoj praksi, slučajnom skupu podataka koji se generiraju za svaku pojedinačnu lozinku, obično vrlo dugačak i vrlo složen. Te dodatne znamenke dodaju se na početku ili na kraju lozinke (ili kombinacije zaporki e-pošte) prije nego što prođe kroz hash funkciju, kako bi se suzbili pokušaji pomoću tablica duge..

Obično nije važno da li su soli pohranjene na istim poslužiteljima kao hashe; razbijanje niza lozinki hakerima može biti puno vremena, a još težim ako je vaša lozinka prekomjerna i komplicirana. 6 savjeta za stvaranje neraskidive lozinke kojih se možete sjetiti 6 savjeta za stvaranje neraskidive lozinke koje se možete sjetiti ako su vaše lozinke nije jedinstven i neraskidiv, možete otvoriti ulazna vrata i pozvati pljačkaše na ručak. , Zato biste uvijek trebali koristiti jaku lozinku, bez obzira koliko vjerujete u sigurnost web mjesta.

Web stranice koje uzimaju svoju, a uz to proširujuću i vašu sigurnost, posebno se sve više pretvaraju u sporo usporavanje kao dodatnu mjeru. Najpoznatije hash funkcije (MD5, SHA-1 i SHA-256) već su neko vrijeme i naširoko se koriste jer su relativno jednostavne za implementaciju i vrlo brzo primjenjuju hashe.

Tretirajte svoju lozinku poput četkice za zube, redovito je mijenjajte i ne dijelite!

- Anti-Bullying Pro (iz dobrotvorne nagrade The Diana Award) (@AntiBullyingPro) 13. kolovoza 2016

Iako se još uvijek primjenjuju soli, sporo sljepljivanje još je bolje u borbi protiv napada koji se oslanjaju na brzinu; ograničavanjem hakera na znatno manji broj pokušaja u sekundi, potrebno im je duže da provaliju, čineći pokušaje manje vrijednim, uzimajući u obzir i smanjenu stopu uspjeha. Kibernetski kriminalci moraju izračunati da li je vrijedno uspoređivati ​​dugotrajne sporo hash sustave “brzi popravci”: medicinske ustanove obično imaju manju sigurnost 5 razloga zbog kojih se krađa medicinskog identiteta povećava 5 razloga zašto se krađa medicinskog identiteta povećava prevaranti žele vaše osobne podatke i podatke o bankovnom računu - ali jeste li znali da ih vaši medicinski kartoni također zanimaju? Otkrijte što možete učiniti u vezi s tim. , na primjer, tako da se podaci od kojih se još uvijek mogu dobiti za iznenađujuće svote Evo evo koliko bi vaš identitet mogao biti vrijedan na mračnom webu Evo koliko može vaš identitet biti vrijedan na mračnom webu Nije ugodno razmišljati o sebi kao roba, ali svi vaši osobni podaci, od imena i adrese do podataka o bankovnom računu, vrijede nešto internetskim kriminalcima. Koliko vrijediš? .

Također je vrlo prilagodljiv: ako je sustav pod posebnim naporom, može se usporiti još više. Coda Hale, Microsoftov bivši Principle Software Developer, uspoređuje MD5 s možda najistaknutijom funkcijom sporog hash-a, bcryptom (drugi uključuju PBKDF-2 i skriptu):

“Umjesto da provalim lozinku svakih 40 sekundi [kao kod MD5], pukao bih ih svakih 12 godina [ili kada sustav koristi bcrypt]. Vaše lozinke možda ne trebaju takvu vrstu sigurnosti i možda će vam trebati brži algoritam za usporedbu, ali bcrypt vam omogućuje odabir ravnoteže brzine i sigurnosti.”

A budući da se spori hash i dalje može implementirati za manje od sekunde, na korisnike to ne bi trebalo utjecati.

Zašto je to važno?

Kada koristimo internetsku uslugu, sklapamo ugovor o povjerenju. Trebali biste biti sigurni kada znate da se vaši osobni podaci čuvaju.

"Moje je prijenosno računalo postavljeno za fotografiranje nakon tri pogrešna pokušaja lozinke" pic.twitter.com/yBNzPjnMA2

- Mačke u svemiru (@CatsLoveSpace) 16. kolovoza 2016

Pohranjivanje lozinke Potpuni vodič za pojednostavljenje i osiguranje vašeg života pomoću LastPass-a i Xmark-a Potpuni vodič za pojednostavljenje i osiguranje vašeg života s LastPass-om i Xmark-om Iako oblak znači da lako možete pristupiti svojim važnim podacima gdje god se nalazili, to također znači da imati puno lozinki za praćenje. Zbog toga je kreiran LastPass. posebno je važno. Unatoč brojnim upozorenjima, mnogi od nas isti koriste za različite web stranice, pa ako je, primjerice, došlo do kršenja Facebooka Je li vaš Facebook bio hakiran? Evo kako otkriti (i popraviti) je li vaš Facebook hakiran? Evo kako to reći (i popraviti) Postoje koraci koje možete poduzeti kako biste spriječili da vas netko hakira na Facebooku i stvari koje možete učiniti u slučaju da vaš Facebook bude hakiran. , podaci o prijavi za bilo koje druge web stranice na kojima često koristite istu lozinku mogu biti i otvorena knjiga za cyber-kriminala.

Jeste li otkrili nekog običnog prekršitelja teksta? Kojim web lokacijama implicitno vjerujete? Što mislite, sljedeći je korak za sigurno pohranjivanje lozinke?

Slikovni krediti: Afrički studio / Shutterstock, neispravne lozinke Lulu Hoellera [više nema dostupnih]; Prijava automobile Italia; Datoteke lozinki za Linux Christiaan Colen; i šejker soli Karyn Christner.




Još ne komentari

O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.