Cum vă păstrează sigur parolele?

Publicitate

Acum mergem foarte rar o lună fără să auzim despre un fel de încălcare a datelor; s-ar putea să fie actualizat serviciu precum Gmail Contul dvs. Gmail este printre 42 de milioane de credite pierdute? Citeste mai mult sau ceva de care majoritatea dintre noi am uitat, ca MySpace Facebook urmărește toată lumea, MySpace got hacked... [Tech News Digest]Facebook urmărește pe toată lumea de pe web, milioane de credite MySpace sunt de vânzare, Amazon aduce Alexa în browser-ul dvs., No Man’s Sky suferă o întârziere și Pong Project se conturează. Citeste mai mult .

Factor în creșterea conștientizării modurilor noastre de informare privată aspirat de Google Cinci lucruri despre care Google știe, probabil, despre tine Citeste mai mult , social media (în special Facebook Confidențialitate Facebook: 25 de lucruri Rețeaua socială cunoaște despre tineFacebook știe o sumă surprinzătoare despre noi - informații pe care le oferim voluntar. Din aceste informații poți fi plasat într-un demografic, „like-urile” tale sunt înregistrate și relațiile monitorizate. Iată 25 de lucruri pe care Facebook știe despre ...

Citeste mai mult ), și chiar propriile noastre smartphone-uri Care este cel mai sigur sistem de operare mobil?Luptând pentru titlul de OS Secure Mobile OS, avem: Android, BlackBerry, Ubuntu, Windows Phone și iOS. Ce sistem de operare este cel mai bun în a deține propriul său atac împotriva atacurilor online? Citeste mai mult și nimeni nu vă poate învinovăți pentru că sunteți un pic paranoic cu privire la modul în care site-urile web au grijă de ceva important ca parola Tot ce trebuie să știți despre paroleParolele sunt importante și majoritatea oamenilor nu știu suficient despre ele. Cum alegeți o parolă puternică, utilizați o parolă unică peste tot și vă amintiți de toate? Cum vă asigurați conturile? Cum să ... Citeste mai mult .

De fapt, pentru liniște sufletească, acesta este ceva ce toată lumea trebuie să știe ...

Scenariul cazului cel mai rău: text simplu

Luați în considerare: Un site web important a fost hacked. Ciberneticii au încălcat orice măsuri de securitate de bază pe care le-a luat, poate să profite de un defect în arhitectura lor. Ești un client. Acest site a stocat detaliile dvs. Din fericire, vi s-a asigurat parola sigură.

Cu excepția faptului că site-ul stochează parola ca text simplu.

A fost întotdeauna o bombă de bifare. Parolele cu text simplu abia așteaptă să fie jefuite. Ei nu folosesc niciun algoritm pentru a le putea citi. Hackerii îl pot citi la fel de simplu pe măsură ce citiți această propoziție.

Este un gând înspăimântător, nu-i așa? Nu contează cât de complexă este parola dvs., chiar dacă este mai mare cu 30 de cifre: o bază de date text simplu este lista cu parolele tuturor, redată clar, inclusiv orice numere și caractere suplimentare utilizare. Chiar dacă hackerii nu fisurați site-ul, doriți cu adevărat ca administratorul să vă poată vedea detaliile de autentificare confidențiale?

# c4news

Întotdeauna folosesc o parolă bună, puternică, precum Hercules sau Titan și nu am avut niciodată probleme ...

- Nu vă deranjați (@emilbordon) 16 august 2016

S-ar putea să credeți că aceasta este o problemă foarte rară, dar se estimează că 30% din site-urile de comerț electronic utilizează această metodă pentru a „securiza” datele dvs. - de fapt, există o întreg blog dedicat evidențierii acestor infractori! Până anul trecut, chiar NHL a păstrat parolele în acest fel, așa cum a făcut Adobe înainte de o încălcare majoră.

Șocant, firma de protecție împotriva virusului, De asemenea, McAfee folosește text simplu.

O modalitate ușoară de a afla dacă un site folosește acest lucru este dacă, imediat după înscriere, primiți un e-mail de la aceștia care enumeră detaliile de autentificare. Foarte dodgy. În acest caz, este posibil să doriți să schimbați orice site cu aceeași parolă și să contactați compania pentru a le avertiza că securitatea acestora este îngrijorătoare.

Aceasta nu înseamnă neapărat că le stochează ca text simplu, dar este un indicator bun - și chiar nu ar trebui să trimită acest lucru în e-mailuri. Aceștia pot argumenta asta au firewall-uri și colab. pentru a proteja împotriva infracțiunilor de criminalitate criminală, dar reamintește-le că niciun sistem nu este fără cusur și pune în pericol perspectiva pierderii clienților în fața lor.

În curând se vor răzgândi. In speranta…

Nu este la fel de bun ca sună: criptare

Deci ce fac aceste site-uri?

Mulți se vor orienta către criptare. Cu toții am auzit despre asta: o modalitate aparent impermeabilă de a vă cramba informațiile, făcându-le irecuperabile până când două chei - una deținută de dvs. (care sunt detaliile dvs. de autentificare), iar cealaltă de compania în cauză - sunt prezentat. Este o idee grozavă, pe care ar trebui să o faci chiar implementați-vă pe smartphone 7 motive pentru care ar trebui să criptați datele smartphone-uluiCriptați dispozitivul? Toate sistemele de operare majore pentru smartphone oferă criptarea dispozitivului, dar ar trebui să-l utilizați? Iată de ce criptarea smartphone-ului este utilă și nu va afecta modul de utilizare a smartphone-ului. Citeste mai mult și alte dispozitive.

Internetul rulează pe criptare: când consultați HTTPS în URL HTTPS Oriunde: Utilizați HTTPS în loc de HTTP Când este posibil Citeste mai mult , înseamnă că site-ul pe care utilizați utilizează oricare Secure Sockets Layer (SSL) Ce este un certificat SSL și aveți nevoie de unul?Navigarea pe Internet poate fi înfricoșătoare atunci când sunt implicate informații personale. Citeste mai mult sau Protocoale de securitate a stratului de transport (TLS) la verificați conexiunile și ridicați datele Cum navigarea pe web devine din ce în ce mai sigurăAvem certificate SSL pentru a vă mulțumi pentru securitatea și confidențialitatea noastră. Însă încălcările și defecțiunile recente ar putea să vă fi încredințat încrederea în protocolul criptografic. Din fericire, SSL se adaptează, fiind modernizat - iată cum. Citeste mai mult .

Dar în ciuda a ceea ce ați auzit Nu credeți că aceste 5 mituri despre criptare!Criptarea pare complexă, dar este mult mai simplă decât cred. Cu toate acestea, s-ar putea să vă simțiți un pic prea întunecat pentru a folosi criptarea, așa că haideți să explodăm câteva mituri de criptare! Citeste mai mult , criptarea nu este perfectă.

Whaddya înseamnă că parola mea nu poate conține backspaces ???

- Derek Klein (@rogue_analyst) 11 august 2016

Ar trebui să fie sigur, dar este la fel de sigur ca în locul în care sunt depozitate cheile. În cazul în care un site web vă protejează cheia (adică parola) folosind propriile pagini, un hacker l-ar putea expune pe acesta din urmă pentru a-l găsi pe primul și a-l decripta. Ar fi nevoie de un efort relativ mic din partea unui hoț pentru a găsi parola; de aceea bazele de date cheie sunt o țintă masivă.

Practic, dacă cheia lor este stocată pe același server ca a ta, parola ar putea fi la fel de simplă. Acesta este motivul pentru care site-ul PlainTextOffenders menționat mai sus listează și serviciile care utilizează criptare reversibilă.

Surprinzător de simplu (dar nu întotdeauna eficient): Hashing

Acum ajungem undeva. Hashing parolele sună ca un jargon prostesc Tech Jargon: Aflați 10 cuvinte noi adăugate recent în dicționar [Web ciudat și minunat]Tehnologia este sursa multor cuvinte noi. Dacă sunteți un geek și un iubitor de cuvinte, îi veți iubi pe cei zece care au fost adăugați la versiunea online a Dicționarului englez de la Oxford. Citeste mai mult , dar este pur și simplu o formă de criptare mai sigură.

În loc să stochezi parola ca text simplu, un site o parcurge prin funcție hash, cum ar fi MD5 Ce înseamnă tot acest lucru H5 MD Hash [Tehnologie explicată]Iată o scădere completă a MD5, hashing și o mică privire de ansamblu asupra computerelor și criptografiei. Citeste mai mult , Algoritmul securizat de distrugere (SHA) -1, sau SHA-256, care îl transformă într-un set de cifre cu totul diferit; acestea pot fi numere, litere sau orice alte caractere. Parola dvs. ar putea fi IH3artMU0. Acest lucru s-ar putea transforma în 7dVq $ @ ihT, iar dacă un hacker ar intra într-o bază de date, tot ceea ce pot vedea. Și funcționează doar într-un mod. Nu o puteți decodifica înapoi.

Din păcate, nu este acea sigur. Este mai bun decât un text simplu, dar este încă destul de standard pentru cybercriminali. Cheia este că o parolă specifică produce un hash specific. Există un motiv bun pentru asta: de fiecare dată când vă conectați cu parola IH3artMU0, aceasta trece automat prin această funcție hash și site-ul web vă permite să accesați dacă hash-ul și cel din baza de date a site-ului Meci.

Înseamnă, de asemenea, că hackerii au dezvoltat mese curcubeu, o listă de hashes, folosite deja de alții ca parole, pe care un sistem sofisticat le poate parcurge rapid ca un atac de forță brută Care sunt atacurile forței brute și cum vă puteți proteja?Probabil că ați auzit expresia „atac de forță brută”. Dar ce înseamnă mai exact asta? Cum functioneazã? Și cum te poți proteja împotriva lui? Iată ce trebuie să știți. Citeste mai mult . Dacă ați ales un parola șocant de proastă 25 de parole pe care trebuie să le evitați, utilizați WhatsApp gratuit... [Tech News Digest]Oamenii continuă să utilizeze parole teribile, WhatsApp este acum complet gratuit, AOL are în vedere schimbarea numelui, Valve aprobă un joc Half-Life făcut de fan și The Boy With a Camera for a Face. Citeste mai mult , care va fi ridicat pe mesele curcubeului și ar putea fi ușor fisurat; cele mai obscure - combinații deosebit de extinse - vor dura mai mult.

Cât de rău poate fi? În 2012, LinkedIn a fost piratat Ce trebuie să știți despre scurgerea masivă a conturilor LinkedInUn hacker vinde 117 milioane de acreditări LinkedIn hacked pe site-ul Dark pentru aproximativ 2.200 USD în Bitcoin. Kevin Shabazi, CEO și fondator LogMeOnce, ne ajută să înțelegem exact ce este în pericol. Citeste mai mult . Adrese de e-mail și hash-urile corespunzătoare lor au fost scurse. Este vorba despre 177,5 milioane de hashes, care afectează 164,6 milioane de utilizatori. S-ar putea să vă dați seama că aceasta nu este o problemă prea mare: sunt doar o mulțime de cifre aleatorii. Destul de nediferabil, nu? Doi crackers profesioniști au decis să ia un eșantion de 6,4 milioane de hașe și să vadă ce pot face.

ei au crăpat 90% dintre ei în puțin sub o săptămână.

La fel de bun ca este: sărare și hașe lente

Niciun sistem nu este impregnabil Mythbusters: sfaturi periculoase de securitate pe care nu ar trebui să le urmațiAtunci când vine vorba de securitatea internetului, toată lumea și vărul lor au sfaturi pentru a vă oferi cele mai bune pachete software de instalat, site-uri neplăcute de care să rămâneți liber, sau cele mai bune practici atunci când vine vorba de ... Citeste mai mult - hackerii vor lucra în mod natural pentru a sparge orice sisteme de securitate noi - dar tehnicile mai puternice implementate de cele mai sigure site-uri Fiecare site securizat face acest lucru cu parola dvs.V-ați întrebat vreodată cum site-urile de internet păstrează parola în siguranță împotriva încălcării datelor? Citeste mai mult sunt hași mai inteligente.

Hășile sărate se bazează pe practica unui nonce criptografic, un set de date aleator generat pentru fiecare parolă individuală, de obicei foarte lungă și foarte complexă. Aceste cifre suplimentare sunt adăugate la începutul sau la sfârșitul unei parole (sau e-mail-parolă) combinații) înainte de a trece prin funcția de hash, pentru a combate încercările făcute cu ajutorul mese curcubeu

În general, nu contează dacă sărurile sunt stocate pe aceleași servere ca hașa; fisurarea unui set de parole poate consuma foarte mult timp pentru hackeri, făcându-se și mai dură dacă ai parola în sine este excesivă și complicată 6 sfaturi pentru crearea unei parole de nerefuzibil de care vă puteți amintiDacă parolele dvs. nu sunt unice și neîntrerupte, este posibil să deschideți ușa din față și să-i invitați pe tâlhari să ia masa. Citeste mai mult . Acesta este motivul pentru care ar trebui să utilizați întotdeauna o parolă puternică, indiferent cât de mult aveți încredere în securitatea unui site.

Site-urile care își iau și, prin extindere, securitatea în mod deosebit se îndreaptă din ce în ce mai mult către hașe lente, ca măsură suplimentară. Cele mai cunoscute funcții de hash (MD5, SHA-1 și SHA-256) au fost în jur de ceva timp și sunt utilizate pe scară largă, deoarece sunt relativ ușor de implementat și aplică hașe foarte rapid.

Tratați parola ca periuța de dinți, schimbați-o în mod regulat și nu o împărtășiți!

- Pro-Anti-Bullying Pro (de la caritatea The Diana Award) (@AntiBullyingPro) 13 august 2016

În timp ce încă aplicăm săruri, hashesurile lente sunt și mai bune pentru a combate orice atacuri care se bazează pe viteză; prin limitarea hackerilor la substanțial mai puține încercări pe secundă, îi durează mai mult să crape, făcând astfel încercările să merite mai puțin, având în vedere și rata de succes redusă. Infractorii cibernetici trebuie să cântărească dacă merită să atace sistemele cu hash lent care consumă timp, comparativ cu „remedieri rapide”: instituțiile medicale au de obicei mai puțină securitate 5 motive pentru care furtul de identitate medicală creșteEscrocii doresc datele dvs. personale și informațiile contului dvs. bancar - dar știați că documentele dvs. medicale sunt de interes pentru ei? Află ce poți face în acest sens. Citeste mai mult , de exemplu, astfel de date care pot fi obținute de acolo pot încă se vând pe sume surprinzătoare Iată cât de mult ar putea merita identitatea dvs. pe Web DarkEste incomod să te gândești la tine ca la o marfă, dar toate datele personale, de la nume și adresă până la detaliile contului bancar, merită ceva pentru infractorii online. Cat meriti? Citeste mai mult .

De asemenea, este foarte adaptativ: dacă un sistem este supus unei anumite eforturi, acesta poate încetini și mai mult. Coda Hale, Fostul dezvoltator de programe Microsoft, comparează MD5 cu cea mai remarcabilă funcție de hash lent, bcrypt (altele includ PBKDF-2 și scrypt):

„În loc să fisurizi o parolă la fiecare 40 de secunde [ca în cazul MD5], le-aș fi fisurat la fiecare 12 ani sau mai mult [când un sistem folosește bcrypt]. Parolele dvs. ar putea să nu aibă nevoie de acest tip de securitate și este posibil să aveți nevoie de un algoritm de comparație mai rapid, dar bcrypt vă permite să vă alegeți echilibrul de viteză și securitate. "

Și pentru că un hash lent poate fi încă pus în aplicare în mai puțin de o secundă, utilizatorii nu ar trebui să fie afectați.

De ce conteaza?

Când folosim un serviciu online, încheiem un contract de încredere. Ar trebui să vă asigurați că informațiile dvs. personale sunt păstrate în siguranță.

„Laptopul meu este configurat să facă o poză după trei încercări incorecte de parolă” pic.twitter.com/yBNzPjnMA2

- Pisici în spațiu (@CatsLoveSpace) 16 august 2016

Stocarea parolei în siguranță Ghidul complet pentru simplificarea și securizarea vieții cu LastPass și XmarksÎn timp ce cloud înseamnă că puteți accesa cu ușurință informațiile dvs. importante oriunde v-ați afla, înseamnă că aveți o mulțime de parole de care să urmăriți. De aceea, LastPass a fost creat. Citeste mai mult este deosebit de important. În ciuda numeroaselor avertismente, mulți dintre noi folosim același lucru pentru site-uri diferite, deci dacă există, de exemplu, o încălcare pe Facebook A fost hacked Facebook-ul dvs.? Iată cum se spune (și se remediază)Există pași pe care îi puteți face pentru a preveni hackingul pe Facebook și lucruri pe care le puteți face în cazul în care Facebook-ul dvs. va fi hacked. Citeste mai mult , detaliile dvs. de conectare pentru orice alte site-uri pe care le utilizați cu aceeași parolă ar putea fi, de asemenea, o carte deschisă pentru infracționalități.

Ați descoperit vreun infractor cu text simplu? În ce site-uri aveți încredere implicit? Care crezi că este următorul pas pentru stocarea securizată a parolelor?

Credite imagine: Africa Studio / Shutterstock, parole incorecte de Lulu Hoeller [Nu mai sunt disponibile]; Autentificare de Automobile Italia; Fișiere cu parolă Linux de Christiaan Colen; și agitator de sare de Karyn Christner.