Hvordan holder nettsteder dine passord sikkert?
Vi går sjelden i en måned uten å høre om noe slags brudd på data; Det kan være en oppdatert tjeneste som Gmail Er Gmail-kontoen din blant 42 millioner lekkede legitimasjon? Er Gmail-kontoen din blant 42 millioner lekkede legitimasjon? Les mer eller noe de fleste av oss har glemt, for eksempel MySpace Facebook Tracks Alle, MySpace Fikk Hacked ... [Tech News Digest] Facebook Tracks Alle, MySpace Fikk Hacked ... [Tech News Digest] Facebook sporer alle på nettet, millioner av MySpace legitimasjonsbeskrivelser er oppe, Amazon bringer Alexa til din nettleser, No Man's Sky lider en forsinkelse, og Pong Project tar form. Les mer .
Faktor i vår økende bevissthet om hvordan våre private opplysninger støvsuges av Google Five Things Google sikkert vet om deg fem ting Google sikkert vet om deg Les mer, sosiale medier (spesielt Facebook Facebook Personvern: 25 ting Det sosiale nettverket vet om deg Facebook Personvern: 25 ting Det sosiale nettverket vet om deg Facebook vet en overraskende mengde om oss - informasjon vi frivillig frivillig. Fra den informasjonen kan du bli slått inn i en demografisk, "likes" registrert og relasjoner overvåket. Her er 25 ting Facebook vet om ... Les mer), og til og med våre helt egne smartphones Hva er det mest sikre mobile operativsystemet? Hva er det sikreste mobile operativsystemet? Kampen for tittelen Most Secure Mobile OS har vi: Android, BlackBerry, Ubuntu, Windows Phone og iOS. Hvilket operativsystem er det beste ved å holde sine egne mot onlineangrep? Les mer, og ingen kan klandre deg for å være litt paranoid om hvordan nettsteder ser etter noe så viktig som passordet Alt du trenger å vite om passord Alt du trenger å vite om passord Passord er viktige, og de fleste vet ikke nok om dem. Hvordan velger du et sterkt passord, bruker et unikt passord overalt, og husk dem alle? Hvordan sikrer du kontoene dine? Hvordan ... Les mer .
Faktisk, for fred i sinnet, er dette noe alle trenger å vite ...
Det verste tilfelle scenariet: Vanlig tekst
Tenk på dette: Et stort nettsted har blitt hacket. Cyberkriminelle har brutt gjennom noen grunnleggende sikkerhetsforanstaltninger som trengs, kanskje dra nytte av en feil i deres arkitektur. Du er kunde. Det nettstedet har lagret dine detaljer. Heldigvis har du vært trygg på at passordet ditt er sikkert.
Bortsett fra det nettstedet lagrer du passordet ditt som vanlig tekst.
Det var alltid en tikkende bombe. Vanlige tekstpassord venter bare på å bli plundret. De bruker ingen algoritme for å gjøre dem uleste. Hackere kan lese det så enkelt som du leser denne setningen.
Det er en skummelt tanke, ikke sant? Det spiller ingen rolle hvor komplisert passordet ditt er, selv om det er pi til 30 siffer: En ren tekstdatabase er en liste over alles passord, stavet klart ut, inkludert hvilke tilleggsnumre og tegn du bruker. Selv om hackere ikke sprekk nettstedet, vil du virkelig ha admin for å kunne se dine konfidensielle innloggingsdetaljer?
# c4news
Jeg bruker alltid et godt, sterkt passord, som Hercules eller Titan, og jeg har aldri hatt noen problemer ...
- Ikke bry deg (@emilbordon) 16. august 2016
Du tror kanskje dette er et svært sjeldent problem, men anslagsvis 30% av eCommerce-nettsteder bruker denne metoden til “sikre” dine data - faktisk er det en hel blogg dedikert til å markere disse lovbrytere! Inntil forrige år lagret selv NHL lagrede passord på denne måten, som gjorde Adobe før et stort brudd.
Støtende, virusbeskyttelsesfirma, bruker McAfee også ren tekst.
En enkel måte å finne ut om et nettsted bruker dette er hvis du, etter at du har registrert deg, mottar en epost fra dem som angir innloggingsopplysningene dine. Veldig dodgy. I så fall vil du kanskje endre nettsteder med samme passord og kontakte firmaet for å varsle dem om at deres sikkerhet er bekymringsfull.
Det betyr ikke nødvendigvis at de lagrer dem som ren tekst, men det er en god indikator - og de burde egentlig ikke sende slike ting i e-post uansett. De kan hevde at de har brannmurer et al. å beskytte mot cyberkriminelle, men minne dem om at ingen system er feilfri og dingle muligheten til å miste kunder foran dem.
De vil snart ombestemme seg. Forhåpentligvis ...
Ikke så bra som det lyder: Kryptering
Så hva disse nettstedene gjør?
Mange vil vende seg til kryptering. Vi har alle hørt om det: en tilsynelatende ugjennomtrengelig måte å forklare informasjonen din på, slik at den blir uleselig inntil to nøkler - en av deg (det er dine innloggingsdetaljer), og den andre av det aktuelle firmaet - presenteres. Det er en god ide, en som du selv bør implementere på smarttelefonen. 7 Grunner til at du bør kryptere smarttelefondataene dine 7 grunner til at du bør kryptere smarttelefondataene dine. Skriver du inn enheten din? Alle de viktigste smarttelefonoperativsystemene tilbyr enhetskryptering, men skal du bruke den? Det er derfor smarttelefonkryptering er verdifullt, og vil ikke påvirke måten du bruker smarttelefonen på. Les mer og andre enheter.
Internett kjører på kryptering: Når du ser HTTPS i URL-adressen HTTPS overalt: Bruk HTTPS i stedet for HTTP når mulig HTTPS overalt: Bruk HTTPS i stedet for HTTP Når mulig Les mer, betyr det at nettstedet du bruker, bruker enten de faste stikkontaktene Layer (SSL) Hva er et SSL-sertifikat, og trenger du en? Hva er et SSL-sertifikat, og trenger du en? Bla gjennom Internett kan være skummelt når personlig informasjon er involvert. Les mer eller Transport Layer Security (TLS) -protokoller for å bekrefte tilkoblinger og oppdatere data Hvordan Web Browsing blir enda sikrere Hvordan Web Browsing blir enda sikrere Vi har SSL-sertifikater for å takke for vår sikkerhet og personvern. Men nyere brudd og feil kan ha dyttet din tillit til kryptografisk protokoll. Heldigvis tilpasser SSL, blir oppgradert - her er hvordan. Les mer .
Men til tross for det du kanskje har hørt, ikke tro disse 5 myter om kryptering! Ikke tro disse 5 myter om kryptering! Kryptering høres komplisert, men er langt enklere enn de fleste tror. Likevel kan du føle deg litt for mørk for å gjøre bruk av kryptering, så la oss bytte noen krypteringsmyter! Les mer, kryptering er ikke perfekt.
Whaddya mener at passordet mitt ikke kan inneholde backspaces ???
- Derek Klein (@rogue_analyst) 11. august 2016
Det skal være trygt, men det er bare like sikkert som hvor nøklene er lagret. Hvis et nettsted beskytter nøkkelen (dvs. passord) ved å bruke sine egne, kan en hacker avsløre sistnevnte for å finne den tidligere og dekryptere den. Det ville kreve relativt liten innsats fra en tyv for å finne passordet ditt; Derfor er nøkkeldatabaser et enormt mål.
I utgangspunktet, hvis nøkkelen er lagret på samme server som din, kan passordet ditt også ligge i ren tekst. Derfor lister nevnte PlainTextOffenders-side også tjenester som bruker reversibel kryptering.
Overraskende Enkel (men ikke alltid effektiv): Hashing
Nå kommer vi et sted. Hashing passord lyder som nonsensjargong Tech Jargon: Learn 10 New Words Oversett til Nylig lagt Til ordboken [Weird & Wonderful Web] Tech Jargon: Learn 10 New Words Oversett til Nylig lagt Til ordboken [rare & Wonderful Web] Teknologi er kilden til mange nye ord . Hvis du er en geek og en ordelsker, vil du elske disse ti som ble lagt til den elektroniske versjonen av Oxford English Dictionary. Les mer, men det er bare en sikrere form for kryptering.
I stedet for å lagre passordet som vanlig tekst, kjører et nettsted det via en hash-funksjon, som MD5. Hva alt dette MD5 Hash-stoff egentlig betyr [Teknologi forklart] Hva alt dette MD5 Hash-stoff egentlig betyr [Teknologi forklart] Her er en full nedtur av MD5, hashing og en liten oversikt over datamaskiner og kryptografi. Les mer, Secure Hashing Algorithm (SHA) -1, eller SHA-256, som forvandler den til et helt annet sett med siffer; disse kan være tall, bokstaver eller andre tegn. Ditt passord kan være IH3artMU0. Det kan bli til 7dVq $ @ ihT, og hvis en hacker brøt inn i en database, er det alt de kan se. Og det fungerer bare en måte. Du kan ikke dekode den tilbake.
Dessverre er det ikke at sikre. Det er bedre enn vanlig tekst, men det er fortsatt ganske standard for cyberkriminelle. Nøkkelen er at et bestemt passord produserer en bestemt hash. Det er en god grunn til det: hver gang du logger inn med passordet IH3artMU0, går det automatisk gjennom denne hash-funksjonen og nettstedet gir deg tilgang hvis den hash og den som er i nettstedets database samsvarer.
Det betyr også at hackere har utviklet regnbuebord, en liste over hash, som allerede er brukt av andre som passord, at et sofistikert system raskt kan gå gjennom som et brutalt kraftangrep. Hva er brutal kraftangrep og hvordan kan du beskytte deg selv? Hva er brute Force Attacks, og hvordan kan du beskytte deg selv? Du har sikkert hørt uttrykket "brute force attack". Men hva betyr det egentlig? Hvordan virker det? Og hvordan kan du beskytte deg mot det? Her er hva du trenger å vite. Les mer . Hvis du har valgt et sjokkerende dårlig passord 25 passord du trenger å unngå, bruk WhatsApp gratis ... [Tech News Digest] 25 passord du må unngå, bruk WhatsApp gratis ... [Tech News Digest] Folk fortsetter å bruke forferdelige passord, WhatsApp er nå helt fri, AOL vurderer å bytte navn, Valve godkjenner et fan-laget Half-Life-spill, og The Boy With a Camera for Face. Les mer, det vil være høyt på regnbuebordene og kan lett bli sprukket; mer dunkle - spesielt omfattende kombinasjoner - vil ta lengre tid.
Hvor dårlig kan det være? Tilbake i 2012 ble LinkedIn hacket Hva du trenger å vite om de massive LinkedIn-kontoene Lekkasje Det du trenger å vite om Massive LinkedIn-kontoer Lekkasje En hacker selger 117 millioner hackede LinkedIn-referanser på Dark web for rundt $ 2 200 i Bitcoin. Kevin Shabazi, administrerende direktør og grunnlegger av LogMeOnce, hjelper oss å forstå hva som er i fare. Les mer . E-postadresser og deres tilhørende hashes ble lekket. Det er 177.5 million hash, som rammer 164,6 millioner brukere. Du kan finne ut at det ikke er for mye av en bekymring: de er bare en last av tilfeldige sifre. Ganske uutslettelig, ikke sant? To profesjonelle kjeks bestemte seg for å ta et utvalg på 6,4 millioner hash og se hva de kunne gjøre.
De knuste 90% av dem i løpet av en uke.
Så godt som det blir: Salting og langsomme hashes
Ingen system er ugjennomtrengelig Mythbusters: Farlig sikkerhetstips Du bør ikke følge Mythbusters: Farlig sikkerhetsrådgivning Du bør ikke følge Når det gjelder internett sikkerhet, har alle og deres fetter råd til å tilby deg de beste programvarepakker for å installere dodgy nettsteder å være fri for eller beste praksis når det gjelder ... Les mer - hackere vil selvsagt arbeide for å knekke nye sikkerhetssystemer - men de sterkere teknikkene som implementeres av de sikreste nettstedene. Hver sikker nettside gjør dette med passordet ditt Hver sikker nettside gjør dette Med ditt passord Har du noen gang lurt på hvordan nettsteder holder passordet ditt trygt fra databrudd? Les mer er smartere hash.
Saltede hashes er basert på praksis av en kryptografisk nonce, et tilfeldig datasett som er generert for hvert enkelt passord, vanligvis veldig lang og svært komplisert. Disse ekstra tallene legges til begynnelsen eller slutten av et passord (eller e-postkombinasjoner) før det går gjennom hash-funksjonen, for å bekjempe forsøk som gjøres ved hjelp av regnbuebord.
Det spiller vanligvis ingen rolle om saltene lagres på de samme serverne som hashes; sprekk et sett med passord kan være svært tidkrevende for hackere, gjort enda tøffere hvis passordet ditt selv er overdrevet og komplisert 6 tips for å lage et ubrytelig passord som du kan huske 6 tips for å lage et ubrytelig passord som du kan huske hvis passordene dine er Ikke unikt og ubrytelig, du kan like godt åpne inngangsdøren og invitere røvere til lunsj. Les mer . Derfor bør du alltid bruke et sterkt passord, uansett hvor mye du stoler på sikkerheten til et nettsted.
Nettsteder som tar deres, og i forlengelse, din sikkerhet, spesielt seriøst, blir i stadig større grad til langsomme hasher som et tiltak. De mest kjente hashfunksjonene (MD5, SHA-1 og SHA-256) har eksistert lenge, og er mye brukt fordi de er relativt enkle å implementere, og bruker hashes veldig fort.
Behandle passordet ditt som tannbørsten, endre det regelmessig og ikke dele det!
- Anti-mobbing Pro (fra veldedighet Diana Award) (@AntiBullyingPro) 13. august 2016
Mens du fortsatt bruker salter, er treg hash enda bedre å bekjempe angrep som er avhengige av hastighet; ved å begrense hackere til vesentlig færre forsøk per sekund, tar det dem lengre tid å sprekke, og dermed gjør forsøk mindre verdt det, og vurderer også den reduserte suksessraten. Cyberkriminelle må veie opp om det er verdt å angripe tidkrevende sakte hash-systemer over relativt “raske løsninger”: medisinske institusjoner har vanligvis mindre sikkerhet 5 grunner til at medisinsk identitetstyveri øker 5 grunner til at medisinsk identitetstyveri øker svindlere Ønsker dine personlige opplysninger og bankkontoinformasjon - men visste du at legevaktene dine også er av interesse for dem? Finn ut hva du kan gjøre med det. Les Mer for eksempel, slik at data som kan hentes derfra, fortsatt kan selges på for overraskende summer. Her er hvor mye identiteten din kan være verdt på den mørke weben. Her er hvor mye identiteten din kan være verdt på den mørke weben. Det er ubehagelig å tenke av deg selv som en vare, men alle dine personlige detaljer, fra navn og adresse til bankkontooplysninger, er verdt noe for online kriminelle. Hvor mye er du verdt? Les mer .
Det er også veldig adaptivt: Hvis et system er under spesiell belastning, kan det bremse ytterligere. Coda Hale, Microsofts tidligere programvareutvikler, sammenligner MD5 med kanskje den mest bemerkelsesverdige sakte hashfunksjonen, bcrypt (andre inkluderer PBKDF-2 og kryptert):
“I stedet for å spre et passord hvert 40 sekund [som med MD5], ville jeg knekke dem hver 12. år eller så [når et system bruker bcrypt]. Passordene dine trenger kanskje ikke den typen sikkerhet, og du kan trenge en raskere sammenligningsalgoritme, men bcrypt lar deg velge din balanse mellom fart og sikkerhet.”
Og fordi en sakte hash fortsatt kan implementeres på mindre enn et sekund, bør brukerne ikke bli påvirket.
Hvorfor betyr det?
Når vi bruker en onlinetjeneste, inngår vi en kontrakt av tillit. Du bør være trygg i viten om at dine personlige opplysninger blir holdt sikre.
"Min laptop er satt opp for å ta et bilde etter tre feilpassede forsøk på passord" pic.twitter.com/yBNzPjnMA2
- Katter i rommet (@CatsLoveSpace) 16. august 2016
Lagre passordet ditt sikkert Den komplette håndboken for å forenkle og sikre livet ditt med LastPass og Xmarks Den komplette håndboken for å forenkle og sikre livet ditt med LastPass og Xmarks Mens skyen betyr at du lett kan få tilgang til viktig informasjon uansett hvor du er, betyr det også at du ha mange passord for å holde styr på. Det er derfor LastPass ble opprettet. Les mer er spesielt viktig. Til tross for mange advarsler bruker mange av oss det samme for forskjellige nettsteder, så hvis det for eksempel er et Facebook-brudd, har Facebook vært hacket? Her er hvordan du forteller (og fikser det) Har Facebook vært hacket? Her er hvordan du forteller (og løser det) Det er skritt du kan ta for å hindre å bli hacket på Facebook, og ting du kan gjøre i tilfelle Facebook blir hacket. Les mer, innloggingsdetaljer for andre nettsteder som du ofte bruker samme passord, kan også være en åpen bok for cyberkriminelle.
Har du oppdaget noen vanlige tekstbruddsmenn? Hvilke nettsteder stoler du på implisitt? Hva synes du er det neste trinnet for sikker passordoppbevaring?
Image Credits: Afrika Studio / Shutterstock, Feil passord av Lulu Hoeller; Logg inn av Automobile Italia; Linux passordfiler av Christiaan Colen; og salt shaker av Karyn Christner.
Utforsk mer om: Kryptering, Online personvern, Online sikkerhet.