Kuinka verkkosivustot pitävät salasanasi turvassa?

Mainos

Menemme nyt harvoin kuukauden kuulematta jonkinlaisesta tietorikkomuksesta; se saattaa olla ajan tasalla kuten Gmail Onko Gmail-tilisi 42 miljoonan vuotaneen käyttöoikeustiedon joukossa? Lue lisää tai jotain mitä useimmat meistä ovat unohtaneet, kuten MySpace Facebook seuraa kaikkia, MySpace on hakkeroitu... [Tech News Digest]Facebook seuraa kaikkia verkossa, miljoonia MySpace-tunnisteita on myytävänä, Amazon tuo Alexan selaimeesi, No Man's Sky kärsii viiveestä ja Pong-projekti muodostaa. Lue lisää .

Tekijä lisäämällä tietoisuuttamme siitä, miten yksityiset tiedot ovat Googlen imuroima Viisi asiaa, jonka Google todennäköisesti tietää sinusta Lue lisää , sosiaalinen media (erityisesti Facebook Facebook-tietosuoja: 25 asiaa, jonka sosiaalinen verkosto tietää sinustaFacebook tietää meistä yllättävän paljon - tietoa, jonka vapaaehtoisena tarjoamme. Näiden tietojen perusteella voit jakaa väestöryhmään, tallentaa tykkääsi ja seurata suhteitasi. Tässä on 25 asiaa, josta Facebook tietää ... Lue lisää

), ja jopa omat älypuhelimet Mikä on turvallisin mobiili käyttöjärjestelmä?Taistelee Eniten suojattu mobiili-OS-tittelistä, meillä on: Android, BlackBerry, Ubuntu, Windows Phone ja iOS. Mikä käyttöjärjestelmä pystyy parhaiten pitämään omansa verkkohyökkäyksiä vastaan? Lue lisää , eikä kukaan voi syyttää sinua siitä, että olet hieman vainoharhainen siitä, kuinka verkkosivustot pitävät jotain tärkeä salasanana Kaikki mitä sinun on tiedettävä salasanoistaSalasanat ovat tärkeitä, ja useimmat ihmiset eivät tiedä niistä riittävästi. Kuinka valitset vahvan salasanan, käytät yksilöllistä salasanaa kaikkialla ja muistat ne kaikki? Kuinka suojaat tilisi? Kuinka ... Lue lisää .

Itse asiassa mielenrauhaa varten tämä on asia, joka kaikkien on tiedettävä…

Pahin tapaus: Pelkkä teksti

Harkitse tätä: Suuri verkkosivusto on hakkeroitu. Tietoverkkorikolliset ovat rikkonut kaikki tarvittavat turvatoimenpiteet, ehkä hyödyntäen puutetta arkkitehtuurissaan. Olet asiakas. Sivusto on tallentanut tietosi. Onneksi salasanasi on varma, että olet varma.

Paitsi että sivusto tallentaa salasanasi selkeänä tekstinä.

Se oli aina tikittävä pommi. Pelkkää tekstiä sisältävät salasanat odottavat vain ryöstämistä. He eivät käytä mitään algoritmeja tehdäkseen niistä lukukelvottomia. Hakkerit voivat lukea sen yhtä helposti kuin luet tätä lausetta.

Se on pelottava ajatus, eikö niin? Sillä ei ole väliä kuinka monimutkainen salasanasi on, vaikka sen pituus olisi 30 merkkiä: selkeän tekstin tietokanta on luettelo kaikkien salasanoista, jotka on kirjoitettu selkeästi, mukaan lukien kaikki ylimääräiset numerot ja merkit käyttää. Vaikka hakkerit älä murtaa sivusto, haluatko todella järjestelmänvalvojan näkevän luottamukselliset kirjautumistietosi?

# c4news

Käytän aina hyvää, vahvaa salasanaa, kuten Hercules tai Titan, eikä minulla ole koskaan ollut ongelmia ...

- Älä vaivaudu (@emilbordon) 16. elokuuta 2016

Saatat ajatella, että tämä on hyvin harvinainen ongelma, mutta arviolta 30% verkkokauppasivustoista käyttää tätä menetelmää tietosi suojaamiseen - itse asiassa on olemassa koko blogi, joka on tarkoitettu näiden rikoksentekijöiden esiin tuomiseen! Viime vuoteen saakka jopa NHL tallensi salasanoja tällä tavalla, kuten Adobe ennen suurta rikkomusta.

Ymmärtäväisesti, virustorjuntayritys, McAfee käyttää myös selkeää tekstiä.

Helppo tapa selvittää, käyttääkö sivusto tätä, on se, että heti ilmoittautumisen jälkeen saat heiltä sähköpostia, jossa luetellaan kirjautumistietosi. Hyvin haiseva. Tässä tapauksessa saatat haluta vaihtaa kaikki samat salasanat sisältävät sivustot ja ottaa yhteyttä yritykseen hälyttääkseen heidän tietoturvansa olevan huolestuttava.

Se ei välttämättä tarkoita, että he tallentavat ne pelkkänä tekstinä, mutta se on hyvä indikaattori - ja heidän ei todellakaan pitäisi enää lähettää tällaista asiaa sähköposteissa. He voivat väittää, että heillä on palomuurit et ai. suojellakseen tietoverkkorikollisia vastaan, mutta muistuttamaan heitä siitä, että mikään järjestelmä ei ole virheetön ja roikkuu mahdollisuuteen menettää asiakkaita heidän edessään.

He muuttavat pian mieltään. Toivon mukaan…

Ei niin hyvä kuin kuulostaa: Salaus

Joten mitä nämä sivustot tekevät?

Monet kääntyvät salaamiseen. Olemme kaikki kuulleet siitä: näennäisesti läpäisemätön tapa sekoittaa tietosi ja tehdä niistä lukemattomia kunnes kaksi avainta - toinen, joka on sinun hallussaan (jotka ovat kirjautumistietosi) ja toinen kyseessä olevan yrityksen - ovat esittelyyn. Se on loistava idea, jonka sinun pitäisi jopa tasata toteuttaa älypuhelimellasi 7 syytä, miksi sinun pitäisi salata älypuhelimesi tiedotSalatko laitteesi? Kaikki suuret älypuhelinten käyttöjärjestelmät tarjoavat laitteiden salauksen, mutta pitäisikö sinun käyttää sitä? Tästä syystä älypuhelimen salaus kannattaa, eikä se vaikuta älypuhelimen käyttötapaan. Lue lisää ja muut laitteet.

Internet toimii salauksella: kun sinä katso HTTPS URL-osoitteessa HTTPS kaikkialla: Käytä HTTPS: ää HTTP: n sijasta, kun mahdollista Lue lisää , eli sivustosi, jossa käytät joko Suojattu pistokekerros (SSL) Mikä on SSL-varmenne ja tarvitsetko sitä?Internetin selaaminen voi olla pelottavaa, kun kyse on henkilökohtaisista tiedoista. Lue lisää tai TLS (Transport Layer Security) -protokollat tarkista yhteydet ja lisää tietoja Kuinka Web-selaaminen on tulossa entistä turvallisemmaksiMeillä on SSL-sertifikaatit kiittääksemme turvallisuudestamme ja yksityisyydestämme. Mutta viimeaikaiset rikkomukset ja puutteet ovat saattaneet sulkea luottamuksesi salaustekniikkaan. Onneksi SSL mukautuu, sitä päivitetään - tässä miten. Lue lisää .

Mutta huolimatta siitä, mitä olet ehkä kuullut Älä usko näitä 5 salausta koskevaa myyttiä!Salaus kuulostaa monimutkaiselta, mutta on paljon selkeämpää kuin useimmat ajattelevat. Voit kuitenkin tuntea olosi liian pimeässä käyttääksesi salausta, joten lykätä joitain salausmyytejä! Lue lisää , salaus ei ole täydellinen.

Whaddya tarkoittaa, että salasanani ei voi sisältää takaisinpalautuksia ???

- Derek Klein (@rogue_analyst) 11. elokuuta 2016

Sen pitäisi olla turvallinen, mutta se on vain yhtä turvallinen kuin missä näppäimet tallennetaan. Jos verkkosivusto suojaa avainta (ts. Salasanaa) omallaan, hakkeri voi paljastaa jälkimmäisen löytääkseen entisen ja purkaaksesi sen. Vaatii suhteellisen vähän vaivaa varkaalta salasanasi löytämiseksi; siksi avaintietokannat ovat valtava kohde.

Periaatteessa, jos heidän avaimesi on tallennettu samalle palvelimelle kuin sinun, salasanasi voi olla samoin tekstimuodossa. Siksi edellä mainitussa PlainTextOffenders -sivustossa luetellaan myös palvelut, jotka käyttävät palautuvaa salausta.

Yllättävän yksinkertainen (mutta ei aina tehokas): Hajautus

Nyt olemme menossa jonnekin. Hajautussalasanat kuulostaa hölynpöivältä žargonilta Tekninen jurgon: Opi 10 uutta sanaa, jotka on äskettäin lisätty sanakirjaan [omituinen ja upea verkko]Teknologia on lähde monille uusille sanoille. Jos olet nörtti ja sanan rakastaja, rakastat näitä kymmentä, jotka lisättiin Oxford English Dictionary -sivuston online-versioon. Lue lisää , mutta se on yksinkertaisesti turvallisempi salausmuoto.

Sen sijaan, että tallentaisit salasanasi selkeänä tekstinä, sivusto suorittaa sen a hash-toiminto, kuten MD5 Mitä tämä kaikki MD5: n räjähdysasiat tosiasiallisesti tarkoittaa [tekniikka selitetty]Tässä on MD5: n täydellinen loppuminen, yhdistelmä ja pieni yleiskuva tietokoneista ja salaus. Lue lisää , Secure Hashing Algorithm (SHA) -1 tai SHA-256, joka muuntaa sen aivan eri numeroksi; nämä voivat olla numeroita, kirjaimia tai mitä tahansa muita merkkejä. Salasanasi voi olla IH3artMU0. Se saattaa muuttua 7dVq $ @ ihT: ksi, ja jos hakkeri murtui tietokantaan, se on kaikki mitä he voivat nähdä. Ja se toimii vain yhdellä tavalla. Et voi purkaa sitä takaisin.

Valitettavasti se ei ole että turvallinen. Se on parempi kuin pelkkä teksti, mutta se on silti melko standardi verkkorikollisille. Tärkeintä on, että tietty salasana tuottaa tietyn hash. Tähän on hyvä syy: joka kerta kun kirjaudut sisään salasanalla IH3artMU0, se ohittaa automaattisesti tuon hash-toiminnon kautta ja verkkosivusto antaa sinulle pääsyn, jos kyseinen hash ja se on sivuston tietokannassa ottelu.

Se tarkoittaa myös, että hakkerit ovat kehittäneet sateenkaaritaulukoita, luettelon hashista, joita muut ovat jo käyttäneet salasanoina, että hienostunut järjestelmä voi nopeasti käydä läpi raa'an voiman hyökkäys Mitä ovat raa'at joukkohyökkäykset ja kuinka voit suojautua?Olet todennäköisesti kuullut lauseen "raa'at joukkohyökkäykset". Mutta mitä se tarkalleen tarkoittaa? Kuinka se toimii? Ja kuinka voit suojautua sinulta sitä vastaan? Tässä on mitä sinun täytyy tietää. Lue lisää . Jos olet valinnut järkyttävän huono salasana 25 salasanaa, joita sinun on vältettävä, käytä WhatsAppia ilmaiseksi... [Tech News Digest]Ihmiset käyttävät jatkuvasti kauheita salasanoja, WhatsApp on nyt täysin ilmainen, AOL harkitsee nimensä vaihtamista, Valve hyväksyy faneille tehdyn Half-Life-pelin ja Poika kameralla kasvot varten. Lue lisää , joka on korkealla sateenkaaripöydällä ja voidaan helposti murtaa; epäselvämmät - etenkin laajat yhdistelmät - vie kauemmin.

Kuinka paha se voi olla? Vuonna 2012 LinkedIniin hakkeroitiin Mitä sinun on tiedettävä massiivisesta LinkedIn-tilistä, vuotoHakkeri myy 117 miljoonaa hakkeroitua LinkedIn-käyttöoikeustietoa Dark-verkossa noin 2200 dollarilla Bitcoinissa. LogMeOnce-toimitusjohtaja ja perustaja Kevin Shabazi auttaa meitä ymmärtämään juuri sitä, mikä on vaarassa. Lue lisää . Sähköpostiosoitteet ja niitä vastaavat tiivisteet olivat vuotaneet. Se on 177,5 miljoonaa räjähdystä, joka vaikuttaa 164,6 miljoonaan käyttäjään. Saatat kuvitella, että se ei ole liikaa huolta: ne ovat vain kuorma satunnaisia ​​numeroita. Melko käsittämätöntä, eikö niin? Kaksi ammattilaiskehittäjää päätti ottaa näytteen 6,4 miljoonasta hashista ja nähdä, mitä he voisivat tehdä.

Ne murtunut 90% heistä vähän alle viikossa.

Niin hyvä kuin se saa: suolaaminen ja hidas hashes

Mikään järjestelmä ei ole kyllästämätön Mythbusters: Vaaralliset turvallisuusohjeet, joita sinun ei tule noudattaaInternet-tietoturvan suhteen jokaisella ja heidän serkkullaan on neuvoja tarjota sinulle parhaista asennettavista ohjelmistopaketeista, ikävistä sivustoista pysyä poissa tai parhaista käytännöistä, kun kyse on ... Lue lisää - Hakkerit luonnollisesti pyrkivät murtamaan kaikki uudet turvajärjestelmät - mutta vahvemmat tekniikat on toteutettu turvallisimpien sivustojen kautta Jokainen suojattu verkkosivusto tekee tämän salasanallasiOletko koskaan miettinyt, kuinka verkkosivustot pitävät salasanasi turvassa tietorikkomuksilta? Lue lisää ovat älykkäämpiä hashia.

Suolatut tiivisteet perustuvat salaustekniikan, joka on jokaiselle yksittäiselle salasanalle generoidun satunnaisen tietojoukon, tyypillisesti erittäin pitkä ja erittäin monimutkainen käytäntöön. Nämä ylimääräiset numerot lisätään salasanan (tai sähköpostin salasanan) alkuun tai loppuun yhdistelmät) ennen kuin se menee hash-toiminnon läpi, jotta voidaan torjua sateenkaaripöydät.

Sillä ei yleensä ole väliä, tallennetaanko suoloja samoille palvelimille kuin hash; salasanojen murtaaminen voi olla hakkereille erittäin aikaa vievää, ja se on entistä tiukempi salasana itsessään on liiallinen ja monimutkainen 6 vinkkiä murtumattoman salasanan luomiseenJos salasanasi eivät ole ainutlaatuisia ja murtumattomia, saatat yhtä hyvin avata oven ja kutsua ryöstäjät lounaalle. Lue lisää . Siksi sinun on aina käytettävä vahvaa salasanaa riippumatta siitä, kuinka luotat sivuston turvallisuuteen.

Verkkosivustot, jotka ottavat tietoturvan erityisen vakavasti, kääntyvät yhä enemmän hitaisiin tiivisteisiin lisätoimenpiteenä. Tunnetuimmat hash-toiminnot (MD5, SHA-1 ja SHA-256) ovat olleet jo jonkin aikaa, ja niitä käytetään laajasti, koska niiden toteuttaminen on suhteellisen helppoa ja levittää hashia erittäin nopeasti.

Käsittele salasanaasi kuten hammasharja, vaihda se säännöllisesti ja älä jaa sitä!

- Kiusaamisen vastainen ammattilainen (hyväntekeväisyysjärjestöltä The Diana Award) (@AntiBullyingPro) 13. elokuuta 2016

Vaikka hitaat tiivisteet levittävät edelleen suoloja, ne ovat vieläkin tehokkaampia torjumaan nopeuteen perustuvia hyökkäyksiä; rajoittamalla hakkereita huomattavasti vähemmän yrityksiin sekunnissa, vie he kauemmin murtumaan, mikä tekee yrityksistä vähemmän arvoisia ottaen huomioon myös alhaisemman onnistumisprosentin. Tietoverkkorikollisten on punnittava, kannattaako hyökätä aikaa vievään hitaaseen hash-järjestelmään suhteellisen "pikakorjausten" avulla: lääketieteellisissä laitoksissa on yleensä vähemmän turvallisuutta 5 syytä, miksi lääketieteellisten henkilöllisyysvarkauksien määrä lisääntyyHuijarit haluavat henkilökohtaisia ​​tietojasi ja pankkitilisi tietojasi - mutta tiesitkö, että potilastiedot kiinnostavat myös heitä? Ota selvää, mitä voit tehdä asialle. Lue lisää esimerkiksi, jotta sieltä saatavat tiedot voivat myydään edelleen yllättävinä summina Tässä on kuinka paljon henkilöllisyytesi voi olla arvoinen pimeässä verkossaOn epämiellyttävää ajatella itseäsi hyödykkeenä, mutta kaikki henkilökohtaiset tietosi, nimestä ja osoitteesta pankkitilitietoihin, ovat jotain arvoinen verkkorikollisille. Kuinka paljon olet arvoinen? Lue lisää .

Se on myös erittäin mukautuva: jos järjestelmä on tietyssä rasituksessa, se voi hidastua entisestään. Coda Hale, Microsoftin entinen periaateohjelmistokehittäjä, vertaa MD5: tä mahdollisesti merkittävimpään hitaaseen hash-toimintoon, bcrypt (toiset sisältävät PBKDF-2: n ja salauksen):

”Sen sijaan, että murtaisin salasanat 40 sekunnin välein [kuten MD5: ssä], minä hakasin ne noin 12 vuoden välein [kun järjestelmä käyttää bcryptä]. Salasanasi eivät ehkä tarvitse tällaista suojausta ja saatat tarvita nopeamman vertailualgoritmin, mutta bcrypt antaa sinun valita nopeuden ja turvallisuuden tasapainon. "

Ja koska hidas tiiviste voidaan silti toteuttaa alle sekunnissa, käyttäjiä ei pitäisi muuttaa.

Miksi sillä on väliä?

Kun käytämme verkkopalvelua, solmimme luottamussopimuksen. Sinun pitäisi olla turvallinen tietäessäsi, että henkilökohtaiset tietosi ovat turvassa.

"Kannettava tietokone on asetettu ottamaan kuvaa kolmen väärän salasanayrityksen jälkeen" pic.twitter.com/yBNzPjnMA2

- Kissat avaruudessa (@CatsLoveSpace) 16. elokuuta 2016

Tallenna salasanasi turvallisesti Täydellinen opas elämäsi yksinkertaistamiseen ja turvaamiseen LastPassilla ja XmarksillaVaikka pilvi tarkoittaa, että pääset helposti tärkeisiin tietoihisi missä tahansa, se tarkoittaa myös, että sinulla on paljon salasanoja, joiden avulla voit seurata. Siksi LastPass luotiin. Lue lisää on erityisen tärkeä. Huolimatta lukuisista varoituksista, monet meistä käyttävät samaa eri sivustoille, joten jos esimerkiksi Facebook-rikkomus Onko Facebookisi hakkeroitu? Näin kerrot (ja korjaat sen)Voit suorittaa askeleita estääksesi hakkeroinnin Facebookissa, ja asioita, joita voit tehdä, jos Facebookisi hakkeroituu. Lue lisää , kirjautumistietosi muille sivustoille, joissa käytät usein samaa salasanaa, saattavat myös olla avoin kirja verkkorikollisille.

Oletko löytänyt selviä tekstiä rikoksentekijöitä? Mihin sivustoihin luotat epäsuorasti? Mikä on mielestäsi seuraava askel turvalliselle salasanan tallennukselle?

Kuvalainat: Africa Studio / Shutterstock, väärät salasanat Lulu Hoeller [Ei enää saatavilla]; Kirjaudu sisään Automobile Italia; Christiaan Colenin Linux-salasanatiedostot; ja Karyn Christnerin suola ravistelija.