Как уебсайтовете пазят вашите пароли?

реклама

Сега рядко ходим месец, без да чуваме за някакво нарушение на данните; може да е актуален услуга като Gmail Вашият Gmail акаунт сред 42 милиона изтеглени идентификационни данни? Прочетете още или нещо, за което повечето от нас са забравили, като MySpace Facebook проследява всички, MySpace се хакна... [Tech News Digest]Facebook проследява всички в мрежата, милиони MySpace идентификационни данни са готови за продажба, Amazon внася Alexa в браузъра ви, No Man's Sky не търпи забавяне и Pong Project се оформя. Прочетете още .

Фактор в нашата все по-голяма информираност за начините, по които е нашата лична информация прахосмукачка от Google Пет неща, които Google вероятно знае за вас Прочетете още , социална медия (по-специално Facebook Поверителност на Facebook: 25 неща, които социалната мрежа знае за васФейсбук знае изненадваща сума за нас - информация, която доброволно доброволно даваме. От тази информация можете да бъдете нарязани на демографски, вашите "харесвания", записани и взаимоотношенията. Ето 25 неща, които Facebook знае за ... Прочетете още

), и дори нашите собствени смартфони Коя е най-сигурната мобилна операционна система?Биейки се за титлата на Most Secure Mobile OS, ние имаме: Android, BlackBerry, Ubuntu, Windows Phone и iOS. Коя операционна система е най-добрата, за да се държи срещу онлайн атаки? Прочетете още и никой не може да ви обвинява, че сте малко параноични за това как уебсайтовете гледат на нещо като важно като парола Всичко, което трябва да знаете за паролитеПаролите са важни и повечето хора не знаят достатъчно за тях. Как да изберете силна парола, да използвате уникална парола навсякъде и да ги запомните всички? Как да защитите своите акаунти? Как... Прочетете още .

Всъщност, за спокойствие, това е нещо, което всеки трябва да знае ...

Най-лошият сценарий: Обикновен текст

Обмислете това: Основен уебсайт е взломен. Киберпрестъпниците пробиха всички основни мерки за сигурност, които може да предприеме, може би се възползват от недостатък в архитектурата си. Вие сте клиент. Този сайт съхранява вашите данни. За щастие, уверени сте, че вашата парола е защитена.

Освен, че сайтът съхранява паролата ви като обикновен текст.

Винаги беше тиктакаща бомба. Обикновените пароли за текст просто чакат да бъдат разграбени. Те не използват алгоритъм, за да ги направят нечетливи. Хакерите могат да го прочетат толкова просто, колкото четете това изречение.

Страшна мисъл е, нали? Няма значение колко сложна е паролата ви, дори и да е пио до 30 цифри: обикновена текстова база данни е списък на паролите за всички, ясно изписани, включително каквито и допълнителни номера и знаци използвате. Дори и хакери не напуснете сайта, наистина ли искате администраторът да може да вижда вашите поверителни данни за вход?

# c4news

Винаги използвам добра, силна парола, като Херкулес или Титан и никога не съм имала проблеми ...

- Не се притеснявайте (@emilbordon) 16 август 2016 г.

Може да мислите, че това е много рядък проблем, но приблизително 30% от уебсайтовете за електронна търговия използват този метод, за да „защитят“ вашите данни - всъщност има цял блог, посветен на изтъкването на тези нарушители! До миналата година дори NHL запазваше паролите по този начин, както и Adobe преди сериозно нарушение.

Шокиращо, фирма за защита от вируси, McAfee също използва обикновен текст.

Лесен начин да разберете дали даден сайт използва това е, ако веднага след като се регистрирате, получите имейл от тях, в който се посочват данните ви за вход. Много извратено. В този случай може да искате да промените всички сайтове със същата парола и да се свържете с компанията, за да ги предупредите, че сигурността им е тревожна.

Това не означава непременно, че ги съхраняват като обикновен текст, но това е добър индикатор - и те така или иначе не бива да изпращат подобни неща в имейли. Те могат да аргументират това имат защитни стени и др. за да се защитят от киберпрестъпници, но им напомнете, че никоя система не е безупречна и разклатете перспективата да загубите клиенти пред тях.

Скоро ще променят мнението си. Да се ​​надяваме…

Не толкова добър, колкото звучи: Шифроване

И така, какво правят тези сайтове?

Мнозина ще се обърнат към криптиране. Всички сме чували за него: на пръв поглед непроницаем начин да разтърсиш информацията си и да я направи нечетлива докато не са два ключа - единият, държан от вас (това са вашите данни за вход), а другият от въпросната компания представени. Страхотна идея, такава, която дори трябва реализирайте на вашия смартфон 7 причини защо трябва да шифровате данните си от смартфонШифровате ли устройството си? Всички основни операционни системи за смартфони предлагат криптиране на устройството, но трябва ли да го използвате? Ето защо шифроването на смартфони си заслужава и няма да повлияе на начина, по който използвате вашия смартфон. Прочетете още и други устройства.

Интернет работи на криптиране: когато вие вижте HTTPS в URL адреса HTTPS навсякъде: Използвайте HTTPS вместо HTTP, когато е възможно Прочетете още , това означава, че сайтът, на който сте, използва или двата Слой за сигурни гнезда (SSL) Какво е SSL сертификат и имате ли нужда от такъв?Сърфирането в Интернет може да бъде страшно, когато става въпрос за лична информация. Прочетете още или протоколи за сигурност на транспортния слой (TLS) до проверете връзките и прехвърлете данни Как уеб сърфирането става още по-сигурноИмаме SSL сертификати, благодаря за сигурността и поверителността. Но последните нарушения и недостатъци може би са намалили доверието ви в криптографския протокол. За щастие, SSL се адаптира, надгражда се - ето как. Прочетете още .

Но въпреки това, което може би сте чували Не вярвайте на тези 5 мита за криптирането!Шифроването звучи сложно, но е много по-ясно, отколкото повечето си мислят. Независимо от това, може да се почувствате малко в тъмното, за да се възползвате от криптиране, така че нека да разрушим някои митове за криптиране! Прочетете още , криптирането не е перфектно.

Whaddya означава, че паролата ми не може да съдържа задни пространства ???

- Дерек Клайн (@rogue_analyst) 11 август 2016 г.

Тя трябва да е безопасна, но е толкова сигурна, колкото и къде се съхраняват ключовете. Ако уебсайт защитава вашия ключ (т.е. парола), използвайки техния собствен, хакер може да разкрие последния, за да намери първия и да го декриптира. Това ще изисква сравнително малко усилия от крадец, за да намери паролата си; Ето защо ключовите бази данни са огромна цел.

По принцип, ако ключът им се съхранява на същия сървър като вашия, вашата парола може също да бъде в обикновен текст. Ето защо гореспоменатият сайт PlainTextOffenders също изброява услуги, които използват обратимо криптиране.

Изненадващо просто (но не винаги ефективно): хеширане

Сега стигаме някъде. Хеширане на пароли звучи като глупост жаргон Tech Jargon: Научете 10 нови думи, добавени наскоро към речника [Странни и прекрасни мрежи]Технологията е източник за много нови думи. Ако сте любител на маниака и думите, ще харесате тези десет, които бяха добавени към онлайн версията на Оксфордския английски речник. Прочетете още , но това е просто по-сигурна форма на криптиране.

Вместо да съхранява паролата си като обикновен текст, сайтът я изпълнява през хеш функция, като MD5 Какво всъщност означава всичко това MD5 хеш неща [обяснена технология]Ето пълен срив на MD5, хеширане и малък преглед на компютрите и криптографията. Прочетете още , Алгоритъм за сигурно хеширане (SHA) -1 или SHA-256, който го превръща в съвсем различен набор от цифри; това могат да бъдат числа, букви или всякакви други знаци. Вашата парола може да бъде IH3artMU0. Това може да се превърне в 7dVq $ @ ihT и ако хакер влезе в база данни, това е всичко, което виждат. И работи само по един начин. Не можете да го декодирате обратно.

За съжаление не е така че осигуряване. По-добре е от обикновен текст, но все пак е доста стандартен за киберпрестъпниците. Ключът е, че конкретна парола създава конкретен хеш. Има добра причина за това: всеки път, когато влизате с паролата IH3artMU0, тя автоматично преминава чрез тази хеш функция и уебсайтът ви позволява да получите достъп до този хеш и този в базата данни на сайта съвпада.

Това означава също, че хакерите са разработили таблици за дъгата, списък на хешовете, които вече се използват от други като пароли, че усъвършенстваната система може бързо да премине като атака с груба сила Какво представляват грубите нападения и как можете да се защитите?Вероятно сте чували израза „груба атака“. Но какво точно означава това? Как работи? И как можете да се предпазите от него? Ето какво трябва да знаете. Прочетете още . Ако сте избрали шокиращо лоша парола 25 пароли, които трябва да избягвате, използвайте WhatsApp безплатно... [Tech News Digest]Хората продължават да използват ужасни пароли, WhatsApp вече е напълно безплатен, AOL обмисля да промени името си, Valve одобрява направена от фен игра Half-Life и The Boy With Camera for Face. Прочетете още , това ще бъде високо на дъговите маси и може лесно да се напука; по-неясните - особено обширни комбинации - ще отнемат повече време.

Колко лошо може да бъде? През 2012 г. LinkedIn беше хакнат Какво трябва да знаете за изтичането на масивни акаунти в LinkedInХакер продава 117 милиона хакнати идентификационни данни на LinkedIn в тъмната мрежа за около 2200 долара в биткойн. Кевин Шабази, главен изпълнителен директор и основател на LogMeOnce, ни помага да разберем какво точно е изложено на риск. Прочетете още . Имейл адресите и съответните им хешове бяха изтекли. Това е 177,5 милиона хешове, засягащи 164,6 милиона потребители. Може да разберете, че това не е прекалено притеснително: те са просто множество случайни цифри. Доста неразгадаемо, нали? Двама професионални крекери решиха да вземат проба от 6,4 милиона хеша и да видят какво могат да направят.

Те напука 90% от тях само за една седмица.

Толкова добре, колкото получава: осоляване и бавни хеши

Нито една система не е непревземаема Mythbusters: Опасни съвети за сигурност, които не трябва да следватеЩо се отнася до сигурността в Интернет, всеки и техният братовчед има съвет да ви предложи най-добрите софтуерни пакети, които да инсталирате, извратени сайтове, за да не се подчинявате или най-добрите практики, когато става въпрос за ... Прочетете още - хакерите естествено ще работят за взлома на всякакви нови системи за сигурност - но по-силните техники, приложени от най-сигурните сайтове Всеки защитен уебсайт прави това с вашата паролаЗамисляли ли сте се как уебсайтовете пазят паролата ви от нарушаване на данните? Прочетете още са по-умни хешове.

Солените хешове се основават на практиката на криптографско понятие, произволен набор от данни, генериран за всяка отделна парола, обикновено много дълъг и много сложен. Тези допълнителни цифри се добавят към началото или края на парола (или имейл парола комбинации) преди да премине през хеш функцията, за да се бори с опитите, направени чрез дъгови маси.

По принцип няма значение дали солите се съхраняват на същите сървъри като хешовете; Пропукването на набор от пароли може да отнеме много време за хакерите, което ще стане още по-трудно, ако вашата самата парола е прекомерна и сложна 6 съвета за създаване на нечуплива парола, която можете да запомнитеАко вашите пароли не са уникални и нечупливи, може да отворите входната врата и да поканите разбойниците за обяд. Прочетете още . Ето защо винаги трябва да използвате силна парола, независимо колко се доверявате на сигурността на сайта.

Уебсайтовете, които вземат своята, и като разширите вашата сигурност, особено сериозно, все повече се обръщат към бавни хешове като допълнителна мярка. Най-известните хеш-функции (MD5, SHA-1 и SHA-256) съществуват известно време и са широко използвани, тъй като са сравнително лесни за изпълнение и прилагат хешовете много бързо.

Отнасяйте се с паролата си като с четката си за зъби, сменяйте я редовно и не я споделяйте!

- Anti-Bullying Pro (от благотворителна награда The Diana Award) (@AntiBullyingPro) 13 август 2016 г.

Въпреки че все още прилагате соли, бавните хеши са още по-добри в борбата с всякакви атаки, които разчитат на бързина; ограничавайки хакерите до значително по-малко опити в секунда, отнема им повече време, за да се прокраднат, като по този начин правят опитите по-малко струващи, като се има предвид и понижената степен на успех. Киберпрестъпниците трябва да преценят дали си струва да атакуват отнемащи бавно хеш системи над сравнително „бързи корекции“: медицинските институции обикновено имат по-малка сигурност 5 причини, поради които кражбата на медицинска идентичност се увеличаваИзмамниците искат вашите лични данни и информация за банковата сметка - но знаете ли, че медицинските ви досиета също ги интересуват? Разберете какво можете да направите за това. Прочетете още например, така че данните, които могат да бъдат получени от там, могат все още се продават за изненадващи суми Ето колко може да струва вашата идентичност в тъмната мрежаНеудобно е да мислите за себе си като стока, но всички ваши лични данни, от име и адрес до данни за банкова сметка, струват нещо за онлайн престъпниците. Колко струваш? Прочетете още .

Освен това е много адаптивен: ако системата е подложена на особено напрежение, тя може да се забави още повече. Кода Хейл, Бившият разработчик на принципа на софтуера на Microsoft, сравнява MD5 с може би най-забележимата бавна хеш функция, bcrypt (други включват PBKDF-2 и скрипт):

„Вместо да напуквам парола на всеки 40 секунди [както при MD5], бих ги разбивал на всеки 12 години или по-късно [когато системата използва bcrypt]. Възможно е паролите ви да не се нуждаят от такъв вид сигурност и може да ви е необходим по-бърз алгоритъм за сравнение, но bcrypt ви позволява да изберете баланса на скоростта и сигурността. “

И тъй като бавното хеш все още може да се реализира за по-малко от секунда, потребителите не трябва да бъдат засегнати.

Защо има значение?

Когато използваме онлайн услуга, сключваме договор за доверие. Трябва да сте в безопасност, като знаете, че личната ви информация се пази.

„Моят лаптоп е настроен да прави снимка след три неправилни опита за парола“ pic.twitter.com/yBNzPjnMA2

- Котки в космоса (@CatsLoveSpace) 16 август 2016 г.

Запазване на паролата ви безопасно Пълното ръководство за опростяване и обезопасяване на живота ви с LastPass и XmarkДокато облакът означава, че можете лесно да получите достъп до важната си информация, където и да сте, това също означава, че имате много пароли, за да следите. Ето защо LastPass е създаден. Прочетете още е особено важно. Въпреки многобройните предупреждения, много от нас използват една и съща за различни сайтове, така че ако има, например, нарушение във Facebook Вашият Facebook е хакнат? Ето как да кажете (и да го поправите)Има стъпки, които можете да предприемете, за да предотвратите хакване във Facebook, и неща, които можете да направите в случай, че вашият Facebook бъде хакнат. Прочетете още , вашите данни за вход за всички други сайтове, които често използвате същата парола, също могат да бъдат отворена книга за киберпрестъпници.

Открихте ли обикновен нарушител на текст? На кои сайтове се доверяваш неявно? Коя според вас е следващата стъпка за сигурно съхранение на парола?

Имидж кредити: Африканско студио / Shutterstock, неправилни пароли от Лулу Хоелър [няма по-дълги налични]; Вход от Automobile Italia; Файлове с парола за Linux от Christiaan Colen; и солен шейкър от Karyn Christner.