Kā vietnes aizsargā jūsu paroles?

Reklāma

Tagad mēs reti paejam mēnesi, nedzirdot par kaut kādiem datu pārkāpumiem; tas varētu būt aktuāls pakalpojumu, piemēram, Gmail Vai jūsu Gmail konts ir starp 42 miljoniem noplūdušu akreditācijas datu? Lasīt vairāk vai par kaut ko vairums no mums ir aizmirsuši, piemēram, MySpace Facebook izseko visiem, MySpace Got Hacked... [Tehnisko ziņu kopsavilkums]Facebook izseko visus tīmeklī, miljoniem MySpace akreditācijas datu ir nopērkami, Amazon atved Alexa uz jūsu pārlūkprogrammu, No Man's Sky cieš nokavēšanos, un Pong Project iegūst formu. Lasīt vairāk .

Tas ir faktors, kas palielina izpratni par mūsu privātās informācijas veidiem nosūc Google Piecas lietas, kuras Google, iespējams, zina par jums Lasīt vairāk , sociālie mēdiji (īpaši Facebook Facebook konfidencialitāte: 25 lietas, ko sociālais tīkls zina par jumsFacebook par mums zina pārsteidzoši daudz - informāciju, kuru labprāt labprāt izmantojam. Izmantojot šo informāciju, jūs varat iedalīt demogrāfiskā situācijā, reģistrēt "patīk" un pārraudzīt attiecības. Šeit ir 25 lietas, ko Facebook zina par ... Lasīt vairāk

), un pat mūsu pašu viedtālruņi Kāda ir visdrošākā mobilā operētājsistēma?Cīņa par visdrošākās mobilās OS titulu mums ir: Android, BlackBerry, Ubuntu, Windows Phone un iOS. Kura operētājsistēma vislabāk izturas pret tiešsaistes uzbrukumiem? Lasīt vairāk , un neviens nevar jūs vainot, ka esat mazliet paranoisks attiecībā uz to, kā vietnes rūpējas par kaut ko tādu svarīga kā parole Viss, kas jums jāzina parolēmParoles ir svarīgas, un vairums cilvēku par tām nezina pietiekami daudz. Kā izvēlēties spēcīgu paroli, visur lietot unikālu paroli un atcerēties tās visas? Kā jūs aizsargājat savus kontus? Kā... Lasīt vairāk .

Patiesībā sirdsmieram tas ir kaut kas visiem jāzina ...

Sliktākā gadījuma scenārijs: vienkāršs teksts

Apsveriet šo iespēju: liela vietne ir uzlauzta. Kibernoziedznieki ir izlauzuši visus nepieciešamos drošības pasākumus, iespējams, izmantojuši savas arhitektūras nepilnības. Jūs esat klients. Šajā vietnē ir saglabāta jūsu informācija. Par laimi, jūs esat pārliecināts, ka jūsu parole ir droša.

Izņemot to, ka vietne jūsu paroli glabā kā vienkāršu tekstu.

Tā vienmēr bija kutinoša bumba. Vienkārša teksta paroles tikai gaida izlaupīšanu. Viņi neizmanto algoritmu, lai padarītu tos neizlasāmus. Hakeri to var lasīt tikpat vienkārši, cik jūs lasāt šo teikumu.

Tā ir biedējoša doma, vai ne? Nav svarīgi, cik sarežģīta ir jūsu parole, pat ja tā sastāv no 30 cipariem: vienkārša teksta datu bāze ir skaidri izteiktu visu paroļu saraksts, ieskaitot visus papildu numurus un rakstzīmes izmantot. Pat ja hakeri nevajag kreka vietnē, vai jūs tiešām vēlaties, lai administrators redzētu jūsu konfidenciālo pieteikšanās informāciju?

# c4jaunumi

Es vienmēr izmantoju labu, spēcīgu paroli, piemēram, Hercules vai Titan, un man nekad nav bijušas problēmas ...

- Neuztraucieties (@emilbordon) 2016. gada 16. augusts

Jūs varētu domāt, ka tā ir ļoti reta problēma, taču aptuveni 30% e-komercijas vietņu izmanto šo metodi, lai “aizsargātu” jūsu datus - patiesībā pastāv viss emuārs, kas veltīts šo likumpārkāpēju izcelšanai! Līdz pagājušajam gadam pat NHL šādā veidā glabāja paroles, tāpat kā Adobe pirms liela pārkāpuma.

Šokējoši, vīrusu aizsardzības firma, McAfee izmanto arī vienkāršu tekstu.

Vienkāršs veids, kā noskaidrot, vai vietne to izmanto, ir tad, ja tikai pēc reģistrēšanās no viņiem saņemat e-pastu, kurā norādīta jūsu pieteikšanās informācija. Ļoti dīvains. Tādā gadījumā jūs varētu vēlēties mainīt vietnes ar to pašu paroli un sazināties ar uzņēmumu, lai brīdinātu viņus, ka viņu drošība ir satraucoša.

Tas nebūt nenozīmē, ka viņi tos glabā kā vienkāršu tekstu, bet tas ir labs rādītājs - un viņiem tik un tā nevajadzētu sūtīt e-pastus. Viņi var to iebilst viņiem ir ugunsmūri un citi. lai aizsargātu pret kibernoziedzniekiem, taču atgādiniet viņiem, ka neviena sistēma nav nevainojama un aizkavē iespēju zaudēt klientus viņu priekšā.

Viņi drīz mainīs savas domas. Cerams ...

Ne tik labi, kā izklausās: šifrēšana

Tātad, ko šīs vietnes dara?

Daudzi pievērsīsies šifrēšanai. Mēs visi par to esam dzirdējuši: šķietami necaurlaidīgs veids, kā kodēt jūsu informāciju, padarot to neizlasāmu līdz atrodas divi taustiņi - viens, kas jums pieder (tā ir jūsu pieteikšanās informācija), bet otrs - attiecīgais uzņēmums pasniegts. Tā ir lieliska ideja, kas jums pat vajadzētu paturēt ieviest viedtālrunī 7 iemesli, kāpēc jums vajadzētu šifrēt viedtālruņa datusVai jūs šifrējat savu ierīci? Visas lielākās viedtālruņu operētājsistēmas piedāvā ierīces šifrēšanu, bet vai jums tas ir jāizmanto? Lūk, kāpēc viedtālruņa šifrēšana ir vērtīga, un tā neietekmēs viedtālruņa lietošanas veidu. Lasīt vairāk un citas ierīces.

Internets darbojas ar šifrēšanu: kad jūs skatīt vietrādī URL HTTPS HTTPS visur: kad iespējams, izmantojiet HTTPS, nevis HTTP Lasīt vairāk , tas nozīmē, ka vietne, kurā atrodaties, izmanto vai nu Drošs ligzdu slānis (SSL) Kas ir SSL sertifikāts, un vai jums tas ir vajadzīgs?Interneta pārlūkošana var būt biedējoša, ja ir iesaistīta personiskā informācija. Lasīt vairāk vai transporta slāņa drošības (TLS) protokoli pārbaudiet savienojumus un sakopojiet datus Kā Web pārlūkošana kļūst vēl drošākaMums ir SSL sertifikāti, lai pateiktos par mūsu drošību un privātumu. Bet nesenie pārkāpumi un trūkumi, iespējams, liedza jūsu uzticību kriptogrāfijas protokolam. Par laimi SSL pielāgojas, tiek modernizēts - lūk, kā. Lasīt vairāk .

Bet neskatoties uz to, ko jūs, iespējams, esat dzirdējuši Neticiet šiem 5 mītiem par šifrēšanu!Šifrēšana izklausās sarežģīta, taču ir daudz tiešāka, nekā vairums domā. Neskatoties uz to, jūs varētu justies pārāk tumsā, lai izmantotu šifrēšanu, tāpēc pārmetīsim dažus šifrēšanas mītus! Lasīt vairāk , šifrēšana nav pilnīga.

Whaddya nozīmē, ka manā parolē nedrīkst būt atstarpes taustiņi ???

- Dereks Kleins (@rogue_analyst) 2016. gada 11. augusts

Tam vajadzētu būt drošam, bet tikai tikpat drošam kā tur, kur tiek glabāti taustiņi. Ja vietne aizsargā jūsu atslēgu (t.i., paroli), izmantojot savu, hakeris var atklāt pēdējo, lai atrastu pirmo un to atšifrētu. Lai atrastu savu paroli, zaglis prasa salīdzinoši maz pūļu; tāpēc galvenās datu bāzes ir milzīgs mērķis.

Būtībā, ja viņu atslēga tiek glabāta uz tā paša servera kā jūsu, jūsu parole varētu būt arī vienkāršā tekstā. Tāpēc iepriekš minētajā vietnē PlainTextOffenders ir uzskaitīti arī pakalpojumi, kas izmanto atgriezenisku šifrēšanu.

Pārsteidzoši vienkārši (bet ne vienmēr efektīvi): jaukšana

Tagad mēs kaut kur nokļūstam. Jaukšanas paroles izklausās pēc muļķības žargonā Tehniskais žargons: iemācieties 10 jaunus vārdus, kas nesen pievienoti vārdnīcai [Dīvaini un lieliski Web]Tehnoloģija ir avots daudziem jauniem vārdiem. Ja esat geeks un vārdu cienītājs, jums patiks šie desmit, kas tika pievienoti Oksfordas angļu vārdnīcas tiešsaistes versijai. Lasīt vairāk , bet tas ir vienkārši drošāks šifrēšanas veids.

Tā vietā, lai saglabātu paroli kā vienkāršu tekstu, vietne to palaiž caur jaucējfunkcija, piemēram, MD5 Ko patiesībā nozīmē viss šis MD5 sajaukums [skaidrojums par tehnoloģiju]Šeit ir pilns MD5 izbeigšanās, sajaukšana un neliels datoru un kriptogrāfijas pārskats. Lasīt vairāk , Drošais apvienošanas algoritms (SHA) -1 vai SHA-256, kas to pārveido par pilnīgi atšķirīgu ciparu kopu; tie var būt cipari, burti vai jebkuras citas rakstzīmes. Jūsu parole varētu būt IH3artMU0. Tas varētu pārvērsties par 7dVq $ @ ihT, un, ja hakeris ielauzās datu bāzē, tas ir viss, ko viņi var redzēt. Un tas darbojas tikai vienā virzienā. Jūs to nevarat atšifrēt.

Diemžēl tā nav ka droša. Tas ir labāk nekā vienkāršs teksts, taču tas joprojām ir diezgan standarts kibernoziedzniekiem. Galvenais ir tas, ka konkrēta parole rada noteiktu jaucienu. Tam ir labs iemesls: katru reizi, kad piesakāties ar paroli IH3artMU0, tā automātiski pāriet izmantojot šo hash funkciju, un vietne ļauj jums piekļūt, ja šī hash un vietnes datu bāzē esošā sakritība.

Tas arī nozīmē, ka hakeri ir izstrādājuši varavīksnes tabulas, hash sarakstu, ko citi jau izmantojuši kā paroles, ko sarežģīta sistēma var ātri palaist cauri brutālu spēku uzbrukums Kas ir brutālie spēka uzbrukumi un kā jūs varat sevi pasargāt?Jūs, iespējams, esat dzirdējis frāzi "brutālu spēku uzbrukums". Bet ko tieši tas nozīmē? Kā tas darbojas? Un kā jūs varat pasargāt sevi no tā? Lūk, kas jums jāzina. Lasīt vairāk . Ja esat izvēlējies a šokējoši slikta parole 25 paroles, no kurām jums jāizvairās, izmantojiet WhatsApp bez maksas... [Tehnisko ziņu kopsavilkums]Cilvēki turpina izmantot briesmīgās paroles, WhatsApp tagad ir pilnīgi bezmaksas, AOL apsver iespēju mainīt savu vārdu, Valve apstiprina fanu veidotu spēli Half-Life un The Boy With a Camera for Face. Lasīt vairāk , kas atrodas augstu uz varavīksnes galdiem un būtu viegli sašķelts; neskaidrāki - īpaši plašas kombinācijas - prasīs ilgāku laiku.

Cik slikti tas var būt? Atpakaļ 2012. gadā LinkedIn tika uzlauzts Kas jāzina par lielo LinkedIn kontu noplūdiHakeris Dark tīmeklī pārdod 117 miljonus uzlauztu LinkedIn akreditācijas datubāzi par aptuveni 2200 dolāriem Bitcoin. Kevins Šabaži, LogMeOnce izpilddirektors un dibinātājs, palīdz mums saprast tikai to, kas ir apdraudēts. Lasīt vairāk . Tika noplūst e-pasta adreses un tām atbilstošās sajaukšanas iespējas. Tas ir 177,5 miljoni hash, ietekmē 164,6 miljonus lietotāju. Varētu secināt, ka tas nerada pārāk lielas bažas: tie ir tikai nejaušu ciparu slodze. Diezgan neizsakāms, vai ne? Divi profesionāli krekeri nolēma ņemt 6,4 miljonu hash paraugu un redzēt, ko viņi varētu darīt.

Viņi uzlauzti 90% no tiem nedaudz mazāk kā nedēļas laikā.

Tik labi, kā tas izpaužas: sālīšana un lēna hashes

Neviena sistēma nav piesūcināma Mythbusters: Bīstami padomi par drošību, kas jums nevajadzētu ievērotRunājot par interneta drošību, ikvienam un viņa māsīcai ir padoms, kas jums piedāvā labākās instalējamās programmatūras paketes, izvairīgās vietnes, kurās nezināt, vai paraugpraksi, kad runa ir par ... Lasīt vairāk - Hakeri, protams, strādās, lai uzlauztu jebkādas jaunas drošības sistēmas, taču tiek izmantotas spēcīgākas metodes pa visdrošākajām vietnēm Katru drošu vietni to dara ar savu paroliVai esat kādreiz domājis, kā vietnes aizsargā jūsu paroli no datu pārkāpumiem? Lasīt vairāk ir gudrākas hashes.

Sālītas hashes ir balstītas uz kriptogrāfijas principa izmantošanu - izlases datu kopu, kas ģenerēta katrai parolei, parasti ļoti gara un ļoti sarežģīta. Šie papildu cipari tiek pievienoti paroles (vai e-pasta paroles) sākumam vai beigām kombinācijas), pirms tā iziet caur hash funkciju, lai apkarotu mēģinājumus, izmantojot varavīksnes galdi.

Parasti nav nozīmes tam, vai sāļi tiek glabāti uz tiem pašiem serveriem kā ar hashēm; paroļu kopuma uzlaušana hakeriem var būt ļoti laikietilpīga, padarot to vēl stingrāku, ja jūsu pati parole ir pārmērīga un sarežģīta 6 padomi nesalaužamas paroles izveidošanai, kuru varat atcerētiesJa jūsu paroles nav unikālas un nav salaužamas, jūs varētu arī atvērt durvis un uzaicināt laupītājus pusdienās. Lasīt vairāk . Tāpēc vienmēr ir jāizmanto spēcīga parole neatkarīgi no tā, cik uzticaties vietnes drošībai.

Vietnes, kas īpaši nopietni uztver savu drošību, paplašinot jūsu drošību, arvien vairāk sāk pievērsties lēnām kopsavilkumiem. Vispazīstamākās jaucējfunkcijas (MD5, SHA-1 un SHA-256) ir bijušas jau kādu laiku un tiek plaši izmantotas, jo tās ir salīdzinoši viegli izpildāmas, un hases lieto ļoti ātri.

Apieties ar paroli tāpat kā ar zobu suku, regulāri nomainīt to un nedalīties ar to!

- pret iebiedēšanu vērsta programma (no labdarības balvas “The Diana Award”) (@AntiBullyingPro) 2016. gada 13. augusts

Kaut arī joprojām tiek izmantoti sāļi, lēni sajaukumi vēl labāk apkaro uzbrukumus, kas paļaujas uz ātrumu; ierobežojot hakeru darbību līdz ievērojami mazāk mēģinājumiem sekundē, to uzlaušana prasa ilgāku laiku, tādējādi mēģinājumi kļūst mazāk vērtīgi, ņemot vērā arī pazemināto panākumu līmeni. Kibernoziedzniekiem ir jānosver, vai ir vērts uzbrukt laikietilpīgajai lēno jaucējzīmju sistēmai, izmantojot salīdzinoši “ātros labojumus”: medicīnas iestādēm parasti ir mazāka drošība 5 iemesli, kāpēc pieaug medicīniskās identitātes zādzību skaitsScammers vēlas iegūt jūsu personisko informāciju un bankas konta informāciju - bet vai jūs zinājāt, ka viņus interesē arī jūsu medicīniskā dokumentācija? Uzziniet, ko jūs varat darīt. Lasīt vairāk piemēram, lai varētu iegūt datus, ko no turienes var iegūt joprojām tiks pārdots par pārsteidzošām summām Lūk, cik daudz jūsu identitāte varētu būt vērts tumšajā tīmeklīNav neērti domāt par sevi kā preci, taču visa jūsu personiskā informācija, sākot no vārda un adreses līdz bankas konta informācijai, ir kaut kas vērts tiešsaistes noziedzniekiem. Cik tu esi vērts? Lasīt vairāk .

Tas ir arī ļoti adaptīvs: ja kāda sistēma ir īpaši noslogota, tā var palēnināties vēl vairāk. Coda Hale, Microsoft bijušais programmatūras izstrādes pamatprincipu izstrādātājs, MD5 salīdzina ar, iespējams, visievērojamāko lēnās jaucējfunkcijas bcrypt (citi ietver PBKDF-2 un šifrēt):

“Tā vietā, lai uzlauztu paroli ik pēc 40 sekundēm [tāpat kā MD5], es tos uzlaužu ik pēc 12 gadiem [kad sistēma izmanto bcrypt]. Iespējams, ka jūsu parolēm nav nepieciešama šāda veida drošība, un jums var būt nepieciešams ātrāks salīdzināšanas algoritms, taču bcrypt ļauj jums izvēlēties ātruma un drošības līdzsvaru. ”

Un tā kā lēnu sajaukšanos joprojām var īstenot mazāk nekā sekundē, lietotājus tas nedrīkst ietekmēt.

Kāpēc tas ir svarīgi?

Kad mēs izmantojam tiešsaistes pakalpojumu, mēs noslēdzam uzticības līgumu. Jums vajadzētu būt drošam, zinot, ka jūsu personīgā informācija tiek aizsargāta.

"Mans klēpjdators ir iestatīts fotografēšanai pēc trim nepareiziem paroles mēģinājumiem" pic.twitter.com/yBNzPjnMA2

- Kaķi kosmosā (@CatsLoveSpace) 2016. gada 16. augusts

Droši glabājiet paroli Pilnīga rokasgrāmata savas dzīves vienkāršošanai un nodrošināšanai ar LastPass un XmarksLai gan mākonis nozīmē, ka jūs varat viegli piekļūt svarīgai informācijai, lai kur jūs atrastos, tas nozīmē arī to, ka jums ir daudz paroļu, kuras varat izsekot. Tāpēc tika izveidots LastPass. Lasīt vairāk ir īpaši svarīgi. Neskatoties uz daudzajiem brīdinājumiem, daudzi no mums izmanto to pašu dažādām vietnēm, tāpēc, ja, piemēram, Facebook pārkāpums Vai jūsu Facebook ir uzlauzts? Lūk, kā pateikt (un labot)Ir dažas darbības, kuras varat veikt, lai novērstu uzlauzšanu Facebook, un lietas, kuras varat darīt, ja jūsu Facebook tiek uzlauzts. Lasīt vairāk , jūsu pieteikšanās informācija par visām citām vietnēm, kurās jūs bieži izmantojat to pašu paroli, varētu būt arī atvērta grāmata kibernoziedzniekiem.

Vai esat atklājuši vienkārša teksta pārkāpējus? Kurām vietnēm jūs netieši uzticaties? Kāds, jūsuprāt, ir nākamais solis drošai paroļu glabāšanai?

Attēlu kredīti: Africa Studio / Shutterstock, Lulu Hoeller nepareiza parole [vairs nav pieejama]; Pieteikšanās Automobile Italia; Kristiana Kolena Linux paroli faili; un sāls kratītājs - Karīna Kristnere.