Hvordan holder nettsteder passordene dine sikre?

Annonse

Vi går nå sjelden en måned uten å høre om et slags brudd på data; det kan være en oppdatert tjeneste som Gmail Er Gmail-kontoen din blant 42 millioner lekkasjeopplysninger? Les mer eller noe de fleste av oss har glemt, som MySpace Facebook Tracks Everybody, MySpace Got Hacked... [Tech News Digest]Facebook sporer alle på nettet, millioner av MySpace-opplysninger er til salgs, Amazon bringer Alexa til nettleseren din, No Man's Sky lider av en forsinkelse, og Pong Project tar form. Les mer .

Faktor i vår økende bevissthet om måtene vår private informasjon er støvsuges av Google Fem ting Google sannsynligvis vet om deg Les mer , sosiale medier (spesielt Facebook Facebook-personvern: 25 ting det sosiale nettverket vet om degFacebook vet en overraskende mengde om oss - informasjon vi frivillig melder. Fra denne informasjonen kan du deles inn i en demografisk, din "liker" registrert og forhold overvåkes. Her er 25 ting Facebook vet om ... Les mer ), Til og med våre helt egne smarttelefoner

Hva er det sikreste mobile operativsystemet?Kjemper om tittelen Most Secure Mobile OS, vi har: Android, BlackBerry, Ubuntu, Windows Phone og iOS. Hvilket operativsystem er best til å holde sitt mot angrep på nettet? Les mer , og ingen kan klandre deg for at du er litt paranoid om hvordan nettsteder ivaretar noe som viktig som passord Alt du trenger å vite om passordPassord er viktig, og de fleste vet ikke nok om dem. Hvordan velger du et sterkt passord, bruker et unikt passord overalt og husker dem alle? Hvordan sikrer du kontoene dine? Hvordan ... Les mer .

For sjelefred er dette faktisk noe alle trenger å vite ...

The Worst Case Scenario: Vanlig tekst

Tenk på dette: Et stort nettsted er blitt hacket. Cyberkriminelle har brutt gjennom alle grunnleggende sikkerhetstiltak den tar, kanskje utnyttet en feil i arkitekturen. Du er kunde. Dette nettstedet har lagret detaljene dine. Heldigvis har du fått forsikring om at passordet ditt er sikkert.

Bortsett fra at nettstedet lagrer passordet ditt som ren tekst.

Det var alltid en tikkende bombe. Vanlige tekstpassord venter bare på å bli plyndret. De bruker ingen algoritmer for å gjøre dem uleselige. Hackere kan lese den så enkelt som du leser denne setningen.

Det er en skummel tanke, er det ikke? Det spiller ingen rolle hvor komplekst passordet ditt er, selv om det er mellom 30 siffer: en vanlig tekstdatabase er en liste over alles passord, stavet tydelig, inkludert tilleggsnummer og tegn du har bruk. Selv om hackere ikke knekke nettstedet, vil du virkelig at administrator skal kunne se dine fortrolige påloggingsdetaljer?

# c4news

Jeg bruker alltid et godt, sterkt passord, som Hercules eller Titan, og jeg har aldri hatt noen problemer ...

- Ikke bry deg (@emilbordon) 16. august 2016

Du tror kanskje at dette er et veldig sjeldent problem, men anslagsvis 30% av e-handelsnettsteder bruker denne metoden for å "sikre" dataene dine - faktisk er det en hele bloggen dedikert til å fremheve disse lovbryterne! Inntil i fjor lagret til og med NHL passord på denne måten, det samme gjorde Adobe før et stort brudd.

Sjokkerende, virusbeskyttelsesfirma, McAfee bruker også ren tekst.

En enkel måte å finne ut om et nettsted bruker dette, er hvis du, rett etter påmelding, mottar en e-post fra dem som viser innloggingsdetaljene dine. Veldig dodgy. I så fall kan det være lurt å endre nettsteder med det samme passordet og kontakte selskapet for å varsle dem om at sikkerheten deres er bekymringsfull.

Det betyr ikke nødvendigvis at de lagrer dem som ren tekst, men det er en god indikator - og de burde egentlig ikke sendt den slags ting i e-post uansett. Det kan de hevde de har brannmurer et al. for å beskytte mot nettkriminelle, men minne dem på at intet system er feilfritt og dingler utsiktene til å miste kunder foran seg.

De vil snart ombestemme seg. Forhåpentligvis ...

Ikke så bra som det høres ut: Kryptering

Så hva disse nettstedene gjør?

Mange vil henvende seg til kryptering. Vi har alle hørt om det: en tilsynelatende ugjennomtrengelig måte å kryptere informasjonen din på, og gjøre den uleselig. inntil to nøkler - en av deg (det er innloggingsdetaljene dine), og den andre av det aktuelle selskapet - er presentert. Det er en god ide, du bør til og med implementere på smarttelefonen 7 grunner til at du skal kryptere smarttelefondataene dineKrypterer du enheten din? Alle de viktigste operativsystemene for smarttelefoner tilbyr kryptering av enheter, men bør du bruke den? Her er grunnen til at smarttelefonkryptering er verdt, og vil ikke påvirke måten du bruker smarttelefonen på. Les mer og andre enheter.

Internett kjører på kryptering: når du se HTTPS i URL-en HTTPS overalt: Bruk HTTPS i stedet for HTTP når det er mulig Les mer , betyr det at nettstedet du er på bruker enten av Secure Sockets Layer (SSL) Hva er et SSL-sertifikat, og trenger du et?Å surfe på Internett kan være skummelt når personlig informasjon er involvert. Les mer eller TLS-protokoller til transport verifiser tilkoblinger og virvar data Hvordan nettlesing blir enda sikrereVi har SSL-sertifikater for å takke for vår sikkerhet og personvern. Men nyere brudd og mangler kan ha vaklet din tillit til den kryptografiske protokollen. Heldigvis tilpasser SSL seg, og blir oppgradert - slik gjør du det. Les mer .

Men til tross for hva du kanskje har hørt Tro ikke disse 5 mytene om kryptering!Kryptering høres sammensatt ut, men er langt mer oversiktlig enn de fleste tror. Likevel kan du føle deg litt for mørk til å bruke kryptering, så la oss busette noen krypteringsmyter! Les mer , er kryptering ikke perfekt.

Whaddya mener passordet mitt ikke kan inneholde mellomrom ???

- Derek Klein (@rogue_analyst) 11. august 2016

Det skal være trygt, men det er bare like sikkert som der tastene er lagret. Hvis et nettsted beskytter nøkkelen din (dvs. passord) ved å bruke sin egen, kan en hacker eksponere den sistnevnte for å finne den førstnevnte og dekryptere den. Det vil kreve relativt liten innsats fra en tyv å finne passordet ditt; Derfor er viktige databaser et enormt mål.

I utgangspunktet, hvis nøkkelen er lagret på samme server som din, kan passordet ditt like gjerne være i ren tekst. Derfor nevner det nevnte nettstedet PlainTextOffenders også tjenester som bruker reversibel kryptering.

Overraskende enkel (men ikke alltid effektiv): Hashing

Nå kommer vi et sted. Høstende passord høres ut som tullete sjargong Teknisk sjargong: Lær 10 nye ord som nylig er lagt til i ordboken [Rart og fantastisk nett]Teknologi er kilden til mange nye ord. Hvis du er en nørd og en ordelsker, vil du elske disse ti som ble lagt til i nettversjonen av Oxford English Dictionary. Les mer , men det er ganske enkelt en sikrere form for kryptering.

I stedet for å lagre passordet ditt som ren tekst, kjører et nettsted det gjennom en hasjfunksjon, som MD5 Hva alt dette MD5 Hash-stoffet egentlig betyr [Teknologi forklart]Her er en fullstendig nedslipp av MD5, hashing og en liten oversikt over datamaskiner og kryptografi. Les mer , Secure Hashing Algorithm (SHA) -1, eller SHA-256, som forvandler den til et helt annet sett med sifre; dette kan være tall, bokstaver eller andre tegn. Passordet ditt kan være IH3artMU0. Det kan bli 7dVq $ @ ihT, og hvis en hacker brøt seg inn i en database, er det alt de kan se. Og det fungerer bare en måte. Du kan ikke avkode det.

Dessverre er det ikke det at sikre. Det er bedre enn vanlig tekst, men det er fremdeles ganske standard for nettkriminelle. Nøkkelen er at et spesifikt passord gir en spesifikk hasj. Det er en god grunn til det: hver gang du logger deg på med passordet IH3artMU0, passerer det automatisk gjennom den hasjfunksjonen, og nettstedet gir deg tilgang til den hasjen og den i nettstedets database kamp.

Det betyr også at hackere har utviklet regnbuebord, en liste over hasjer, allerede brukt av andre som passord, som et sofistikert system raskt kan kjøre gjennom som et angrep med brute-force Hva er brute Force Attacks, og hvordan kan du beskytte deg selv?Du har sikkert hørt uttrykket "angrep mot brute force". Men hva betyr det egentlig? Hvordan virker det? Og hvordan kan du beskytte deg mot det? Her er hva du trenger å vite. Les mer . Hvis du har valgt en sjokkerende dårlig passord 25 passord du trenger å unngå, bruk WhatsApp gratis... [Tech News Digest]Folk bruker stadig forferdelig passord, WhatsApp er nå helt gratis, AOL vurderer å endre navn, Valve godkjenner et fan-laget Half-Life-spill, og The Boy With a Camera for a Face. Les mer , som vil ligge høyt på regnbuebordene og lett kunne bli sprukket; mer obskure - spesielt omfattende kombinasjoner - vil ta lengre tid.

Hvor ille kan det være? Tilbake i 2012, LinkedIn ble hacket Hva du trenger å vite om massiv LinkedIn-kontoer lekkasjeEn hacker selger 117 millioner hackede LinkedIn-opplysninger på Dark web for rundt 2200 dollar i Bitcoin. Kevin Shabazi, administrerende direktør og grunnlegger av LogMeOnce, hjelper oss å forstå akkurat hva som er i faresonen. Les mer . E-postadresser og tilhørende hashes ble lekket. Det er 177,5 millioner hasjer, som påvirker 164,6 millioner brukere. Du kan tenke at det ikke er for mye bekymring: de er bare en mengde tilfeldige sifre. Ganske ubeskrivelig, ikke sant? To profesjonelle kjeks bestemte seg for å ta et utvalg på 6,4 millioner hasj og se hva de kunne gjøre.

De sprakk 90% av dem om en knapp uke.

Så bra som det blir: salting og sakte hasj

Ingen systemer kan impregneres Mythbusters: Farlige sikkerhetsråd du ikke bør følgeNår det gjelder internettsikkerhet, har alle og fetteren deres råd til å tilby deg de beste programvarepakkene å installere, dodgy nettsteder å holde seg unna, eller beste praksis når det gjelder ... Les mer - hackere vil naturlig nok arbeide for å knekke eventuelle nye sikkerhetssystemer - men de sterkere teknikkene som er implementert av de sikreste nettstedene Hvert sikkert nettsted gjør dette med passordet dittHar du noen gang lurt på hvordan nettsteder holder passordet ditt sikkert mot brudd på data? Les mer er smartere hasjer.

Saltede hasjer er basert på praksis med en kryptografisk nonce, et tilfeldig datasett generert for hvert enkelt passord, vanligvis veldig langt og veldig komplekst. Disse ekstra sifrene legges til begynnelsen eller slutten av et passord (eller e-post passord) kombinasjoner) før den går gjennom hasjfunksjonen, for å bekjempe forsøk som er gjort regnbuebord.

Det spiller vanligvis ingen rolle om saltene er lagret på de samme serverne som hasj; Å knekke et sett med passord kan være enormt tidkrevende for hackere, gjort det enda tøffere hvis ditt passordet i seg selv er overdreven og komplisert 6 tips for å opprette et ikke brytbart passord som du kan huskeHvis passordene dine ikke er unike og uknuselige, kan du like gjerne åpne inngangsdøren og invitere ranerne inn til lunsj. Les mer . Derfor bør du alltid bruke et sterkt passord, uansett hvor mye du stoler på nettstedets sikkerhet.

Nettsteder som tar sin sikkerhet, og ved å utvide den, særlig alvorlig, vender seg stadig mer til sakte hasj som et ekstra tiltak. De mest kjente hasjfunksjonene (MD5, SHA-1 og SHA-256) har eksistert en stund, og er mye brukt fordi de er relativt enkle å implementere, og bruker hasjer veldig raskt.

Behandle passordet ditt som din tannbørste, endre det regelmessig og ikke del det!

- Anti-mobbing Pro (fra veldedighet The Diana Award) (@AntiBullyingPro) 13. august 2016

Mens du fremdeles bruker salter, er sakte hasjer enda bedre til å bekjempe angrep som er avhengige av hastighet; ved å begrense hackere til vesentlig færre forsøk per sekund, tar det dem lengre tid å sprekke, og dermed gjøre forsøk mindre verdt det, med tanke på også den senkede suksessraten. Cyberkriminelle må avveie om det er verdt å angripe tidkrevende sakte hasjsystemer over relativt "quick fixes": medisinske institusjoner har vanligvis mindre sikkerhet 5 grunner til at medisinsk identitetstyveri økerSvindlere vil ha dine personlige opplysninger og bankkontoinformasjon - men visste du at dine medisinske poster også er interessante for dem? Finn ut hva du kan gjøre med det. Les mer , slik at data som kan fås derfra kan fortsatt solgt på for overraskende summer Her er hvor mye identiteten din kan være verdt på det mørke nettetDet er ubehagelig å tenke på deg selv som en vare, men alle dine personlige opplysninger, fra navn og adresse til bankkontodetaljer, er verdt noe for kriminelle på nettet. Hvor mye er du verdt? Les mer .

Det er også veldig tilpasningsdyktig: hvis et system er under særlig belastning, kan det bremse enda mer. Coda Hale, Microsofts tidligere prinsippvareutvikler, sammenligner MD5 med den kanskje mest kjente sakte hasjfunksjonen, bcrypt (andre inkluderer PBKDF-2 og scrypt):

"I stedet for å sprekke et passord hvert 40. sekund [som med MD5], ville jeg sprekke dem hvert 12. år eller så [når et system bruker bcrypt]. Passordene dine trenger kanskje ikke den typen sikkerhet, og du trenger kanskje en raskere sammenligningsalgoritme, men bcrypt lar deg velge din balanse mellom hastighet og sikkerhet. "

Og fordi en langsom hasj fremdeles kan implementeres på mindre enn et sekund, bør brukerne ikke bli berørt.

Hvorfor betyr det noe?

Når vi bruker en online tjeneste, inngår vi en tillitsavtale. Du bør være trygg på kunnskapen om at din personlige informasjon blir holdt sikker.

"Min bærbare datamaskin er konfigurert til å ta et bilde etter tre feil passordforsøk" pic.twitter.com/yBNzPjnMA2

- Katter i verdensrommet (@CatsLoveSpace) 16. august 2016

Lagre passordet ditt trygt Den komplette guiden for å forenkle og sikre livet ditt med LastPass og XmarksSelv om skyen betyr at du enkelt får tilgang til viktig informasjon uansett hvor du er, betyr det også at du har mange passord å holde rede på. Derfor ble LastPass opprettet. Les mer er spesielt viktig. Til tross for mange advarsler, bruker mange av oss den samme på forskjellige nettsteder, så hvis det for eksempel er et Facebook-brudd Er din Facebook blitt hacket? Slik forteller du (og fikser det)Det er trinn du kan ta for å forhindre at du blir hacket på Facebook, og ting du kan gjøre i tilfelle din Facebook blir hacket. Les mer , kan påloggingsdetaljene dine for andre nettsteder som du ofte bruker det samme passordet også være en åpen bok for nettkriminelle.

Har du oppdaget noen alminnelige tekstforbrytere? Hvilke nettsteder stoler du implisitt? Hva tror du er neste trinn for sikker lagring av passord?

Bildekreditter: Africa Studio / Shutterstock, Feilige passord av Lulu Hoeller [Ikke lenger tilgjengelig]; Innlogging av Automobile Italia; Linux-passordfiler av Christiaan Colen; og salt shaker av Karyn Christner.