Hvordan holder websteder dine adgangskoder sikre?

Reklame

Vi går nu sjældent en måned uden at høre om en slags dataovertrædelse; det kan være en ajourført service som Gmail Er din Gmail-konto blandt 42 millioner lækage-legitimationsoplysninger? Læs mere eller noget de fleste af os har glemt, som MySpace Facebook sporer alle, MySpace blev hacket... [Tech News Digest]Facebook sporer alle overalt på nettet, millioner af MySpace-legitimationsoplysninger er til salg, Amazon bringer Alexa til din browser, No Man's Sky lider en forsinkelse, og Pong Project tager form. Læs mere .

Faktor i vores stigende opmærksomhed på måderne vores private oplysninger er på støvsuges af Google Fem ting, som Google sandsynligvis ved om dig Læs mere , sociale medier (især Facebook Facebook-privatliv: 25 ting, som det sociale netværk ved dig omFacebook ved en overraskende mængde om os - information, vi gerne frivilligt. Fra disse oplysninger kan du blive opdelt i en demografisk, dine "lide" optaget og relationer overvåget. Her er 25 ting Facebook ved om ... Læs mere

), og endda vores helt egne smartphones Hvad er det mest sikre mobile operativsystem?Kæmper for titlen på Mest Secure Mobile OS, vi har: Android, BlackBerry, Ubuntu, Windows Phone og iOS. Hvilket operativsystem er bedst til at holde sit eget mod onlineangreb? Læs mere , og ingen kan bebrejde dig for at være lidt paranoid over, hvordan websteder ser efter noget som vigtig som din adgangskode Alt hvad du behøver at vide om adgangskoderAdgangskoder er vigtige, og de fleste mennesker ved ikke nok om dem. Hvordan vælger du en stærk adgangskode, bruger en unik adgangskode overalt og husker dem alle? Hvordan sikrer du dine konti? Hvordan... Læs mere .

Faktisk for ro i sindet er dette noget, alle har brug for at vide ...

Det værste tilfælde: Almindelig tekst

Overvej dette: Et større websted er blevet hacket. Cyberkriminelle har gennemgået alle grundlæggende sikkerhedsforanstaltninger, det træffer, måske drage fordel af en fejl i deres arkitektur. Du er en kunde. Dette sted har gemt dine detaljer. Heldigvis har du fået sikkerhed for, at din adgangskode er sikker.

Undtagen dette sted gemmer din adgangskode som almindelig tekst.

Det var altid en tikkende bombe. Almindelige tekst adgangskoder venter bare på at blive plyndret. De bruger ingen algoritme for at gøre dem uleselige. Hackere kan læse den så simpelt som du læser denne sætning.

Det er en skræmmende tanke, er det ikke? Det betyder ikke noget, hvor kompleks din adgangskode er, selvom den er til 30 cifre: en almindelig tekstdatabase er en liste over alles adgangskoder, tydeligt stavet, inklusive de yderligere numre og tegn, du har brug. Selvom hackere gør ikke knæk webstedet, vil du virkelig have, at administrator skal kunne se dine fortrolige loginoplysninger?

# c4news

Jeg bruger altid en god, stærk adgangskode som Hercules eller Titan, og jeg har aldrig haft nogen problemer ...

- Gør det ikke (@emilbordon) 16. august 2016

Du synes måske, at dette er et meget sjældent problem, men anslået 30% af eCommerce-websteder bruger denne metode til at "sikre" dine data - faktisk er der en hele blog dedikeret til at fremhæve disse lovovertrædere! Indtil sidste år lagrede selv NHL adgangskoder på denne måde, ligesom Adobe gjorde før en større krænkelse.

Chockerende, virusbeskyttelsesfirma, McAfee bruger også almindelig tekst.

En nem måde at finde ud af, om et websted bruger dette, er, hvis du lige efter tilmelding modtager en e-mail fra dem med dine loginoplysninger. Meget dodgy. I dette tilfælde ønsker du måske at ændre alle websteder med den samme adgangskode og kontakte firmaet for at advare dem om, at deres sikkerhed er bekymrende.

Det betyder ikke nødvendigvis, at de gemmer dem som almindelig tekst, men det er en god indikator - og de burde virkelig ikke sende den slags ting i e-mails alligevel. De kan muligvis argumentere for det de har firewalls et al. for at beskytte mod cyberkriminelle, men mind dem om, at intet system er fejlfrit og dingler udsigten til at miste kunder foran dem.

De vil snart ombestemme sig. Forhåbentlig…

Ikke så godt som det lyder: Kryptering

Så hvad disse websteder gør?

Mange vil henvende sig til kryptering. Vi har alle hørt om det: en tilsyneladende uigennemtrængelig måde at kryptere dine oplysninger og gøre dem uleselig indtil to nøgler - en af ​​dig (det er dine loginoplysninger) og den anden af ​​det pågældende firma - er fremlagde. Det er en dejlig idé, som du endda bør implementere på din smartphone 7 grunde til, at du skal kryptere dine smartphone-dataKrypterer du din enhed? Alle større smartphone-operativsystemer tilbyder enhedskryptering, men skal du bruge den? Her er grunden til, at smartphone-kryptering er umagen værd og påvirker ikke den måde, du bruger din smartphone. Læs mere og andre enheder.

Internettet kører med kryptering: når du se HTTPS i URL'en HTTPS overalt: Brug HTTPS i stedet for HTTP, når det er muligt Læs mere , betyder det, at det websted, du er på, bruger enten en Secure Sockets Layer (SSL) Hvad er et SSL-certifikat, og har du brug for et?Det kan være skræmmende at surfe på internettet, når det drejer sig om personlige oplysninger. Læs mere eller TLS-protokoller til transport verificer forbindelser og virvar data Hvordan webbrowsing bliver endnu mere sikkerVi har SSL-certifikater, som vi takker for vores sikkerhed og privatliv. Men nylige overtrædelser og mangler kan muligvis have brudt din tillid til den kryptografiske protokol. Heldigvis tilpasser SSL sig og opgraderes - her er hvordan. Læs mere .

Men på trods af hvad du måske har hørt Tro ikke på disse 5 myter om kryptering!Kryptering lyder kompleks, men er langt mere ligetil, end de fleste tror. Ikke desto mindre føler du dig måske lidt for i mørke til at gøre brug af kryptering, så lad os buste nogle krypteringsmyter! Læs mere , kryptering er ikke perfekt.

Whaddya betyder, at min adgangskode ikke kan indeholde backspaces ???

- Derek Klein (@rogue_analyst) 11. august 2016

Det skal være sikkert, men det er kun så sikkert som hvor nøglerne er gemt. Hvis et websted beskytter din nøgle (dvs. adgangskode) ved hjælp af deres egen, kan en hacker udsætte sidstnævnte for at finde den førstnævnte og dekryptere den. Det ville kræve relativt lille indsats fra en tyv at finde din adgangskode; det er derfor, nøgledatabaser er et massivt mål.

Grundlæggende, hvis deres nøgle er gemt på den samme server som din, kan din adgangskode lige så godt være i almindelig tekst. Derfor nævner det nævnte PlainTextOffenders-sted også tjenester, der bruger reversibel kryptering.

Overraskende enkel (men ikke altid effektiv): Hashing

Nu kommer vi et sted. Hashing-adgangskoder lyder som nonsens-jargon Teknisk jargon: Lær 10 nye ord, der for nylig er tilføjet til ordbogen [Mærkelig og vidunderlig web]Teknologi er kilden til mange nye ord. Hvis du er en nørd og en ordelsker, vil du elske disse ti, der blev føjet til onlineversionen af ​​Oxford English Dictionary. Læs mere , men det er simpelthen en mere sikker form for kryptering.

I stedet for at gemme din adgangskode som almindelig tekst, kører et websted det gennem en hash-funktion, ligesom MD5 Hvad alt dette MD5 Hash-stof faktisk betyder [Teknologi forklaret]Her er en fuld nedslidning af MD5, hashing og et lille overblik over computere og kryptografi. Læs mere , Secure Hashing Algorithm (SHA) -1 eller SHA-256, som omdanner den til et helt andet sæt cifre; disse kan være tal, bogstaver eller andre tegn. Dit kodeord kan være IH3artMU0. Det kan blive 7dVq $ @ ihT, og hvis en hacker brød ind i en database, er det alt, hvad de kan se. Og det fungerer kun en måde. Du kan ikke afkode det tilbage.

Desværre er det ikke at sikker. Det er bedre end almindelig tekst, men det er stadig ret standard for cyberkriminelle. Nøglen er, at en bestemt adgangskode producerer en bestemt hash. Der er en god grund til det: hver gang du logger ind med adgangskoden IH3artMU0, passerer den automatisk gennem denne hash-funktion, og webstedet giver dig adgang til, hvis den hash og den i stedets database match.

Det betyder også, at hackere har udviklet regnbue-borde, en liste over hasjer, der allerede er brugt af andre som adgangskoder, og som et sofistikeret system hurtigt kan køre igennem som et brute-force-angreb Hvad er angreb fra brute Force, og hvordan kan du beskytte dig selv?Du har sandsynligvis hørt udtrykket "brute force attack". Men hvad betyder det nøjagtigt? Hvordan virker det? Og hvordan kan du beskytte dig selv mod det? Her er hvad du har brug for at vide. Læs mere . Hvis du har valgt en chokerende dårligt kodeord 25 adgangskoder, du skal undgå, brug WhatsApp gratis... [Tech News Digest]Folk bruger stadig forfærdelige adgangskoder, WhatsApp er nu helt gratis, AOL overvejer at ændre navn, Valve godkender et fan-made Half-Life-spil og The Boy With a Camera for a Face. Læs mere , det vil være højt på regnbue bordene og kunne let blive revnet; mere obskure dem - især omfattende kombinationer - vil tage længere tid.

Hvor dårligt kan det være? Tilbage i 2012, LinkedIn blev hacket Hvad du har brug for at vide om den enorme lække på LinkedIn-kontiEn hacker sælger 117 millioner hackede LinkedIn-legitimationsoplysninger på Dark web for omkring $ 2.200 i Bitcoin. Kevin Shabazi, administrerende direktør og grundlægger af LogMeOnce, hjælper os med at forstå, hvad der er i fare. Læs mere . E-mail-adresser og deres tilsvarende hash blev lækket. Det er 177,5 millioner hash, der påvirker 164,6 millioner brugere. Du synes måske, at det ikke er for meget af bekymring: De er bare en masse tilfældige cifre. Temmelig ubeskrivelig, ikke? To professionelle krakkere besluttede at tage en prøve på 6,4 millioner hash og se, hvad de kunne gøre.

De krakede 90% af dem om en knap uge.

Så godt som det bliver: Saltning og langsomt hash

Intet system er imprægnerbart Mythbusters: Farlige sikkerhedsråd, som du ikke bør følgeNår det kommer til internetsikkerhed, har alle og deres fætter råd til at tilbyde dig de bedste softwarepakker, der skal installeres, uhyggelige websteder, du skal holde dig fri af eller bedste praksis, når det kommer til ... Læs mere - hackere vil naturligvis arbejde for at knække eventuelle nye sikkerhedssystemer - men de stærkere teknikker implementeret af de mest sikre steder Hvert sikkert websted gør dette med din adgangskodeHar du nogensinde undret dig over, hvordan websteder holder dit kodeord sikkert mod brud på data? Læs mere er smartere hasjer.

Saltede hashes er baseret på praksis med en kryptografisk nonce, et tilfældigt datasæt, der genereres for hvert individuelt kodeord, typisk meget langt og meget komplekst. Disse yderligere cifre føjes til begyndelsen eller slutningen af ​​en adgangskode (eller e-mail-adgangskode kombinationer), før den passerer gennem hashfunktionen for at bekæmpe forsøg, der er gjort ved hjælp af regnbue borde.

Det betyder generelt ikke noget, om saltene opbevares på de samme servere som hashes; At knække et sæt adgangskoder kan være enormt tidskrævende for hackere, gjort endnu hårdere, hvis din adgangskoden i sig selv er overdreven og kompliceret 6 tip til oprettelse af en ikke-brytbar adgangskode, som du kan huskeHvis dine adgangskoder ikke er unikke og uknuselige, kan du lige så godt åbne hoveddøren og invitere røverne ind til frokost. Læs mere . Derfor skal du altid bruge en stærk adgangskode, uanset hvor meget du stoler på et websteds sikkerhed.

Websteder, der tager deres sikkerhed, og ved at udvide deres, særlig alvorligt, vender sig i stigende grad til langsomme hasjer som en ekstra foranstaltning. De bedst kendte hashfunktioner (MD5, SHA-1 og SHA-256) har været omkring et stykke tid og er vidt brugt, fordi de er relativt lette at implementere og anvender hash meget hurtigt.

Behandl dit kodeord som din tandbørste, skift det regelmæssigt og del ikke det!

- Anti-mobning Pro (fra velgørenhed The Diana Award) (@AntiBullyingPro) 13. august 2016

Mens der stadig anvendes salte, er langsom hash endnu bedre til at bekæmpe eventuelle angreb, der er afhængige af hastighed; ved at begrænse hackere til betydeligt færre forsøg pr. sekund, tager det dem længere tid at knække, hvilket gør forsøgene mindre værd, også i betragtning af den nedsatte succesrate. Cyberkriminelle er nødt til at afveje, om det er værd at angribe tidskrævende langsom hashsystemer over relativt "hurtige rettelser": medicinske institutioner har typisk mindre sikkerhed 5 grunde til, at medicinsk identitetstyveri øgesSvindlere vil have dine personlige oplysninger og bankkontooplysninger - men vidste du, at dine medicinske poster også er af interesse for dem? Find ud af, hvad du kan gøre ved det. Læs mere for eksempel, så data, der kunne fås derfra, kan sælges stadig for overraskende summer Her er hvor meget din identitet kan være værd på det mørke webDet er ubehageligt at tænke på dig selv som en vare, men alle dine personlige oplysninger, fra navn og adresse til bankkontodetaljer, er noget værd for online kriminelle. Hvor meget er du værd? Læs mere .

Det er også meget tilpasningsdygtigt: hvis et system er under særlig belastning, kan det bremse endnu mere. Coda Hale, Microsofts tidligere Principle Software Developer, sammenligner MD5 med måske den mest bemærkelsesværdige langsom hash-funktion, bcrypt (andre inkluderer PBKDF-2 og scrypt):

”I stedet for at knække en adgangskode hvert 40 sekund [som med MD5], vil jeg knække dem hvert 12. år eller deromkring [når et system bruger bcrypt]. Dine adgangskoder har muligvis ikke brug for den slags sikkerhed, og du har muligvis brug for en hurtigere sammenligningsalgoritme, men bcrypt giver dig mulighed for at vælge din balance mellem hastighed og sikkerhed. ”

Og fordi en langsom hash stadig kan implementeres på mindre end et sekund, bør brugerne ikke blive berørt.

Hvorfor betyder det noget?

Når vi bruger en onlinetjeneste, indgår vi en tillidsaftale. Du skal være sikker på, at dine personlige oplysninger holdes sikre.

"Min bærbare computer er indstillet til at tage et billede efter tre forkerte adgangskodeforsøg" pic.twitter.com/yBNzPjnMA2

- Katte i rummet (@CatsLoveSpace) 16. august 2016

Opbevar din adgangskode sikkert Den komplette guide til forenkling og sikring af dit liv med LastPass og XmarksMens skyen betyder, at du nemt kan få adgang til dine vigtige oplysninger, uanset hvor du er, betyder det også, at du har en masse adgangskoder at holde styr på. Derfor blev LastPass oprettet. Læs mere er især vigtigt. På trods af adskillige advarsler bruger mange af os den samme til forskellige websteder, så hvis der f.eks. en Facebook-overtrædelse Er din Facebook blevet hacket? Sådan fortælles (og rettes det)Der er trin, du kan tage for at forhindre, at der bliver hacket på Facebook, og ting, du kan gøre i tilfælde af, at din Facebook bliver hacket. Læs mere , kan dine loginoplysninger for andre sider, som du ofte bruger den samme adgangskode, også være en åben bog for cyberkriminelle.

Har du opdaget nogen almindelige tekstforbrydere? Hvilke websteder stoler du implicit på? Hvad tror du er det næste trin til sikker adgangskodeopbevaring?

Billedkreditter: Africa Studio / Shutterstock, forkerte adgangskoder af Lulu Hoeller [ikke længere tilgængelig]; Login af Automobile Italia; Linux-adgangskodefiler af Christiaan Colen; og salt ryster af Karyn Christner.