Kako web stranice čuvaju vaše lozinke?

Oglas

Sada rijetko idemo mjesec dana bez slušanja o nekakvom kršenju podataka; možda je ažuriran usluga kao što je Gmail Je li vaš Gmail račun među 42 milijuna procurilih vjerodajnica? Čitaj više ili nešto o čemu smo većina zaboravili, poput MySpacea Facebook prati sve, MySpace je hakiran... [Tech News Digest]Facebook prati sve na Internetu, milijuni MySpace vjerodajnica su na prodaju, Amazon donosi Alexa u vaš preglednik, No Man's Sky ne kasni, a Pong Project dobiva oblik. Čitaj više .

Čimbenik naše sve veće svijesti o načinima privatnih podataka usisava Google Pet stvari koje Google vjerojatno zna o vama Čitaj više , društveni mediji (posebno Facebook Facebook privatnost: 25 stvari koje društvena mreža zna za vasFacebook zna iznenađujuće količine o nama - informacije koje voljno volontiramo. Na temelju tih podataka možete ih razabrati u demografske podatke, zabilježiti svoje "lajkove" i pratiti odnose. Evo 25 stvari o kojima Facebook zna ... Čitaj više ), pa čak naših vlastitih pametnih telefona

Koji je najsigurniji mobilni operativni sustav?Boreći se za titulu Najsigurnijeg mobilnog OS-a, imamo: Android, BlackBerry, Ubuntu, Windows Phone i iOS. Koji je operativni sustav najbolji u održavanju mrežnih napada? Čitaj više i nitko vas ne može kriviti što ste pomalo paranoični u pogledu izgleda web stranica važan kao zaporka Sve što trebate znati o lozinkamaLozinke su važne i većina ljudi ih ne zna dovoljno. Kako odabrati jaku lozinku, koristiti jedinstvenu lozinku svuda i zapamtiti ih sve? Kako osigurati svoje račune? Kako... Čitaj više .

Zapravo, radi mira, ovo je sve što moraju znati ...

Najgori scenarij: običan tekst

Razmotrite ovo: glavna web stranica je hakirana. Kiber-kriminalci su probili bilo kakve osnovne sigurnosne mjere koje su potrebne, možda iskorištavajući nedostatak u svojoj arhitekturi. Vi ste mušterija. To je web mjesto pohranilo vaše podatke. Srećom, sigurni ste da je zaporka sigurna.

Osim što web mjesto pohranjuje vašu lozinku kao običan tekst.

Uvijek je to bila bomba koja otkucava. Jednostavne lozinke za tekst tek čekaju da ih pljačkaju. Ne koriste algoritam kako bi ih učinili nečitljivim. Hakeri ga mogu pročitati jednostavno kao što čitate ovu rečenicu.

Zastrašujuća je misao, zar ne? Nije važno koliko je zaporka složena, čak i ako ima pik od 30 znamenki: obična tekstualna baza podataka je popis svih zaporki, jasno napisan, uključujući sve dodatne brojeve i znakove koristiti. Čak i ako hakeri nemoj pokrenuti web mjesto, da li stvarno želite da administrator može vidjeti vaše povjerljive podatke za prijavu?

# c4news

Uvijek koristim dobru, snažnu lozinku, poput Herculesa ili Titana i nikad nisam imao problema ...

- Ne gnjavi (@emilbordon) 16. kolovoza 2016

Možda mislite da je to vrlo rijedak problem, ali oko 30% web lokacija e-trgovine koristi ovu metodu da "osigura" vaše podatke - u stvari, postoji cijeli blog posvećen isticanju ovih prijestupnika! Do prošle godine, čak je i NHL na taj način pohranjivao lozinke, kao što je to činio i Adobe prije velikog kršenja.

Šokantno, tvrtka za zaštitu od virusa, McAfee također koristi običan tekst.

Lagan način otkrivanja upotrebljava li web lokacija ovo je ako, odmah nakon prijave, od njih dobijete e-poštu s podacima o prijavi. Vrlo drsko. U tom slučaju možda ćete htjeti promijeniti bilo koju web lokaciju s istom lozinkom i kontaktirati tvrtku kako bi je upozorili da njihova sigurnost brine.

To ne mora nužno značiti da ih pohranjuju kao običan tekst, ali to je dobar pokazatelj - i oni zapravo ne bi trebali nikako slati takve stvari u e-poštu. Oni to mogu tvrditi imaju zaštitne zidove i sur. kako bi se zaštitili od cyber-kriminalaca, ali podsjetite ih da nijedan sustav nije besprijekoran i prešućuje mogućnost gubitka kupaca pred sobom.

Uskoro će se predomisliti. Nadam se ...

Nije dobro kao što zvuči: Šifriranje

Pa što rade ove stranice?

Mnogi će se okrenuti šifriranju. Svi smo čuli za to: naizgled neprimjetan način skeniranja vaših podataka, čineći ga nečitljivim. sve dok ne budu dva ključa - jedan kojeg držite (koji su vaši podaci za prijavu), a drugi dotična tvrtka predstavljeni. To je sjajna ideja, ona koju biste trebali implementirajte na svom pametnom telefonu 7 razloga zbog kojih biste trebali šifrirati podatke pametnog telefonaŠifrirate li svoj uređaj? Svi glavni operativni sustavi za pametne telefone nude šifriranje uređaja, no treba li ga koristiti? Evo zašto je šifriranje pametnog telefona vrijedno i neće utjecati na način na koji koristite svoj pametni telefon. Čitaj više i drugi uređaji.

Internet radi na šifriranju: kada vi pogledajte HTTPS u URL-u HTTPS posvuda: Koristite HTTPS umjesto HTTP-a kada je to moguće Čitaj više , to znači da web mjesto na kojem se nalazite koristi ili Sloj sigurnih utičnica (SSL) Što je SSL certifikat, a treba li vam?Pregledavanje Interneta može biti zastrašujuće kada su u pitanju osobni podaci. Čitaj više ili protokola sigurnosti prijevoza (TLS) do provjerite veze i pomiješajte podatke Kako web pregledavanje postaje još sigurnijeImamo SSL certifikate za zahvalnost na našoj sigurnosti i privatnosti. Ali nedavna kršenja i nedostaci možda su umanjili vaše povjerenje u kriptografski protokol. Srećom, SSL se prilagođava, nadograđuje - evo kako. Čitaj više .

Ali usprkos onome što ste možda čuli Ne vjerujte u ovih 5 mitova o šifriranju!Šifriranje zvuči složeno, ali daleko je izravnije nego što većina misli. Unatoč tome, možda ćete se osjećati previše u mraku da biste iskoristili šifriranje, pa razuvjerimo neke mitove šifriranja! Čitaj više , šifriranje nije savršeno.

Što znači da moja lozinka ne može sadržavati povratne prostore ???

- Derek Klein (@rogue_analyst) 11. kolovoza 2016

Trebao bi biti siguran, ali siguran je samo tamo gdje su ključevi pohranjeni. Ako web mjesto štiti vaš ključ (tj. Lozinku) koristeći svoj vlastiti, haker može otkrivati ​​taj drugi kako bi ga pronašao i dešifrirao. Lopov će zahtijevati relativno malo napora da pronađe vašu lozinku; da su zato ključne baze podataka velika meta.

U osnovi, ako se njihov ključ pohrani na istom poslužitelju kao i vaš, zaporka bi također mogla biti u običnom tekstu. To je razlog zašto gore spomenuta PlainTextOffenders web stranica također navodi usluge koje koriste reverzibilno šifriranje.

Iznenađujuće jednostavno (ali ne uvijek učinkovito): sjeckanje

Sada idemo negdje. Hashing lozinke zvuči poput glupog žargona Tech Jargon: naučite 10 novih riječi koje su nedavno dodane u rječnik [čudno i divno web]Tehnologija je izvor mnogih novih riječi. Ako ste ljubitelj genija i riječi, svidjet će vam se ovih deset koji su dodani internetskoj verziji engleskog rječnika u Oxfordu. Čitaj više , ali to je jednostavno sigurniji oblik šifriranja.

Umjesto da svoju lozinku pohranjuje kao običan tekst, web mjesto pokreće je kroz hash funkcija, poput MD5 Što sve ovo MD5 hash stvari zapravo znači [objašnjena tehnologija]Evo potpunog propadanja MD5, hash-a i malog pregleda računala i kriptografije. Čitaj više , Algoritam sigurnog hešinga (SHA) -1 ili SHA-256, koji ga pretvara u potpuno drugačiji skup znamenki; to mogu biti brojevi, slova ili bilo koji drugi znakovi. Vaša bi zaporka mogla biti IH3artMU0. To bi moglo prerasti u 7dVq $ @ ihT, a ako je haker provalio u bazu podataka, to je sve što mogu vidjeti. I djeluje samo na jedan način. Ne možete ih dekodirati natrag.

Nažalost, nije da siguran. Bolji je od običnog teksta, ali još je prilično standardan za cyber-kriminala. Ključno je što određena lozinka proizvodi određeni hash. Postoji dobar razlog za to: svaki put kad se prijavite sa zaporkom IH3artMU0, ona automatski prolazi putem te hash funkcije i web mjesto omogućuje vam pristup ako je taj hash i onaj u bazi podataka web lokacije podudaraju.

To također znači da su hakeri razvili tablice duge, popis heševa, koji su drugi već koristili kao lozinke, da će se sofisticirani sustav brzo moći provući kao napad brutalnim silama Što su brutalni napadi i kako se možete zaštititi?Vjerojatno ste čuli frazu "grubi napad". Ali što, točno, to znači? Kako radi? I kako se možete zaštititi od toga? Evo što trebate znati. Čitaj više . Ako ste odabrali šokantno loša lozinka 25 Lozinke koje trebate izbjegavati, WhatsApp koristite besplatno... [Tech News Digest]Ljudi i dalje koriste grozne lozinke, WhatsApp je sada potpuno besplatan, AOL razmišlja o promjeni imena, Valve odobrava obožavateljsku Half-Life igru ​​i Dečko s kamerom za lice. Čitaj više , to će biti visoko na duginim stolovima i lako bi se moglo puknuti; opskurnije - posebno opsežne kombinacije - trajat će duže.

Koliko može biti loše? U 2012., LinkedIn je hakiran Što trebate znati o masovnom curenju LinkedIn računaHaker prodaje 117 milijuna hakiranih LinkedIn-ovih vjerodajnica na Dark Webu za oko 2200 dolara bitcoina. Kevin Shabazi, izvršni direktor i osnivač LogMeOncea, pomaže nam da razumijemo samo ono što je u riziku. Čitaj više . Procurile su adrese e-pošte i njihovi odgovarajući heševi. To je 177,5 milijuna heševa, koji utječu na 164,6 milijuna korisnika. Možda ćete shvatiti da to nije previše briga: oni su samo gomila nasumičnih znamenki. Prilično nepristojno, zar ne? Dva profesionalna krekera odlučila su uzeti uzorak od 6,4 milijuna hešeta i vidjeti što mogu učiniti.

Oni puknuo 90% njih za nešto manje od tjedan dana.

Dobar kao što dobiva: soljenje i sporo uzimanje

Nijedan sustav nije neupadljiv Mythbusters: Opasni sigurnosni savjeti koje ne biste trebali slijeditiKada je u pitanju internetska sigurnost, svi i njihov rođak imaju savjete da vam ponude o najboljim softverskim paketima za instalaciju, dodiranim web lokacijama za koje se treba izbjegavati ili o najboljim praksama kada je u pitanju ... Čitaj više - hakeri će prirodno raditi na provaljivanju novih sigurnosnih sustava - ali primijenjene jače tehnike putem najsigurnijih web mjesta Svaka sigurna web stranica to čini sa svojom lozinkomJeste li se ikad zapitali kako web stranice čuvaju vašu lozinku od kršenja podataka? Čitaj više su pametniji hashei.

Slani heševi temelje se na kriptografskoj praksi, slučajnom skupu podataka koji se generiraju za svaku pojedinačnu lozinku, obično vrlo dugo i vrlo složeno. Te dodatne znamenke dodaju se na početku ili kraju zaporke (ili e-adrese) kombinacije) prije nego što prođe kroz hash funkciju, kako bi se borio protiv pokušaja korištenih duge stolove.

Obično nije važno da li su soli pohranjene na istim poslužiteljima kao hashe; Probijanje niza lozinki može biti puno vremena za hakere, a još je teže ako i vaš sama lozinka je pretjerana i složena 6 savjeta za stvaranje neraskidive lozinke koje se možete sjetitiAko vaše lozinke nisu jedinstvene i neraskidive, možete otvoriti ulazna vrata i pozvati pljačkaše na ručak. Čitaj više . Zbog toga biste uvijek trebali koristiti jaku lozinku, bez obzira koliko vjerujete u sigurnost web lokacije.

Web stranice koje uzimaju svoju, a uz to proširujuću i vašu sigurnost, posebno se sve više pretvaraju u sporo usporavanje kao dodatnu mjeru. Najpoznatije hash funkcije (MD5, SHA-1 i SHA-256) već su neko vrijeme i naširoko se koriste jer su relativno jednostavne za implementaciju i vrlo brzo se primjenjuju heševi.

Tretirajte svoju lozinku poput četkice za zube, redovito je mijenjajte i ne dijelite!

- Protu-bullying Pro (iz dobrotvorne nagrade The Diana Award) (@AntiBullyingPro) 13. kolovoza 2016

Iako se još uvijek primjenjuju soli, sporo sljepljivanje još je bolje u borbi protiv napada koji se oslanjaju na brzinu; ograničavanjem hakera na znatno manji broj pokušaja u sekundi, potrebno im je duže da provaliju, čineći pokušaje manje vrijednim, uzimajući u obzir i smanjenu stopu uspjeha. Kibernetski kriminalci moraju odrediti da li je vrijedno napasti vremenski sporije hash sustave na relativno "brzim rješenjima": medicinske ustanove obično imaju manju sigurnost 5 razloga zašto se krađa medicinskog identiteta povećavaPrijevare žele vaše osobne podatke i podatke o bankovnom računu - ali jeste li znali da ih zanimaju i vaši medicinski kartoni? Otkrijte što možete učiniti u vezi s tim. Čitaj više , na primjer, podaci koji se od tamo mogu dobiti još uvijek se prodaju za iznenađujuće iznose Evo koliko vaš identitet može biti vrijedan na mračnom webuNije neugodno sebe smatrati robom, ali svi vaši osobni podaci, od imena i adrese do podataka o bankovnom računu, vrijede nešto od internetskih kriminalaca. Koliko vrijediš? Čitaj više .

Također je vrlo prilagodljiv: ako je sustav pod posebnim naporom, može se usporiti još više. Coda Hale, Microsoftov bivši Principle Software Developer, uspoređuje MD5 s možda najistaknutijom funkcijom sporog hash-a, bcryptom (drugi uključuju PBKDF-2 i skriptu):

"Umjesto da provalim lozinku svakih 40 sekundi [kao kod MD5], puknuo bih ih svakih 12 godina [ili kada sustav koristi bcrypt]. Vaše lozinke možda ne trebaju takvu vrstu sigurnosti i možda će vam trebati brži algoritam za usporedbu, ali bcrypt vam omogućuje da odaberete ravnotežu brzine i sigurnosti. "

A budući da se spori hash i dalje može implementirati za manje od sekunde, na korisnike to ne bi trebalo utjecati.

Zašto je to važno?

Kada koristimo internetsku uslugu, sklapamo ugovor o povjerenju. Trebali biste biti sigurni kada znate da se vaši osobni podaci čuvaju.

"Moje je prijenosno računalo postavljeno za fotografiranje nakon tri pogrešna pokušaja lozinke." pic.twitter.com/yBNzPjnMA2

- Mačke u svemiru (@CatsLoveSpace) 16. kolovoza 2016

Pohranjivanje lozinke Kompletan vodič za pojednostavljenje i osiguranje vašeg života pomoću LastPass i XmarksIako oblak znači da možete lako pristupiti svojim važnim podacima gdje god se nalazili, to ujedno znači da imate puno lozinki za praćenje. Zato je kreiran LastPass. Čitaj više posebno je važno. Unatoč brojnim upozorenjima, mnogi od nas koriste istu za različite web lokacije, pa ako postoje, na primjer, kršenje Facebooka Je li vaš Facebook hakiran? Evo kako to reći (i popraviti)Postoje koraci koje možete poduzeti kako biste spriječili da budu hakirani na Facebooku, i stvari koje možete učiniti u slučaju da vaš Facebook bude hakiran. Čitaj više , podaci o prijavi za bilo koje druge web stranice na kojima često koristite istu lozinku mogu biti i otvorena knjiga za cyber-kriminale.

Jeste li otkrili obične prekršitelje teksta? Kojim web lokacijama implicitno vjerujete? Što mislite, što je sljedeći korak za sigurno pohranjivanje lozinke?

Slikovni krediti: Afrički studio / Shutterstock, neispravne lozinke Lulu Hoellera [više nema dostupnih]; Prijava automobile Italia; Datoteke lozinki za Linux Christiaan Colen; i tresilica soli Karyn Christner.