Как сайты защищают ваши пароли?

Реклама

Теперь мы редко проводим месяц, не слыша о каком-то нарушении данных; это может быть актуальным сервис как Gmail Ваша учетная запись Gmail среди 42 миллионов утекших учетных данных? Прочитайте больше или что-то, о чем большинство из нас забыло, как MySpace Facebook отслеживает всех, MySpace взломали... [Tech News Digest]Facebook отслеживает всех в Интернете, миллионы учетных данных MySpace выставлены на продажу, Amazon переносит Alexa в ваш браузер, No Man's Sky терпит задержку, и Pong Project обретает форму. Прочитайте больше .

Фактор в нашей растущей осведомленности о том, как наша личная информация пылесосится Google Пять вещей, которые Google, вероятно, знает о вас Прочитайте больше , социальные сети (особенно Facebook Конфиденциальность Facebook: 25 вещей, которые социальная сеть знает о васFacebook знает о нас удивительное количество информации, которую мы охотно добровольно предоставляем. Из этой информации вы можете быть включены в демографические данные, записаны ваши «лайки» и отслежены отношения. Вот 25 вещей, о которых Facebook знает ... Прочитайте больше

), и даже наши собственные смартфоны Какая самая безопасная мобильная операционная система?Сражаясь за звание Самой безопасной мобильной ОС, мы имеем: Android, BlackBerry, Ubuntu, Windows Phone и iOS. Какая операционная система лучше противостоит сетевым атакам? Прочитайте больше и никто не может обвинить вас в том, что вы немного параноидальны в отношении того, как сайты выглядят как-то важно как ваш пароль Все, что вам нужно знать о пароляхПароли важны, и большинство людей не знают о них достаточно. Как выбрать надежный пароль, везде использовать уникальный пароль и запомнить их все? Как вы защищаете свои счета? Как... Прочитайте больше .

На самом деле, для спокойствия, это то, что каждый должен знать ...

Сценарий наихудшего случая: простой текст

Подумайте об этом: главный сайт был взломан. Киберпреступники прорвались через любые основные меры безопасности, которые они предпринимают, возможно, воспользовавшись недостатком своей архитектуры. Вы клиент. На этом сайте хранятся ваши данные. К счастью, вы были уверены, что ваш пароль в безопасности.

За исключением того, что сайт хранит ваш пароль в виде простого текста.

Это всегда была тикающая бомба. Обычные текстовые пароли просто ждут, когда их разберут. Они не используют алгоритм, чтобы сделать их нечитаемыми. Хакеры могут прочитать это так же просто, как вы читаете это предложение.

Это страшная мысль, не правда ли? Неважно, насколько сложен ваш пароль, даже если его число состоит из 30 цифр: обычная текстовая база данных список паролей каждого, четко прописанный, включая любые дополнительные цифры и символы, которые вы использовать. Даже если хакеры не взломать сайт, вы действительно хотите, чтобы администратор мог видеть ваши конфиденциальные данные для входа?

# c4news

Я всегда использую хороший, надежный пароль, такой как Геркулес или Титан, и у меня никогда не было проблем ...

- Не беспокойся (@emilbordon) 16 августа 2016 г.

Вы можете подумать, что это очень редкая проблема, но примерно 30% сайтов электронной коммерции используют этот метод для «защиты» ваших данных - на самом деле, есть целый блог, посвященный освещению этих правонарушителей! До прошлого года даже в НХЛ пароли хранились таким образом, как и Adobe до серьезного нарушения.

Шокирующе, фирма по защите от вирусов, McAfee также использует простой текст.

Простой способ выяснить, использует ли сайт это, если сразу после регистрации вы получите от них электронное письмо с указанием ваших регистрационных данных. Очень хитроумно. В этом случае вы можете изменить любые сайты с тем же паролем и связаться с компанией, чтобы предупредить их, что их безопасность беспокоит.

Это не обязательно означает, что они хранят их в виде простого текста, но это хороший показатель - и они действительно не должны отправлять подобные вещи в электронных письмах в любом случае. Они могут утверждать, что у них есть брандмауэры и другие. защищать от киберпреступников, но напоминать им, что ни одна система не является безупречной и мешает перспективе потери клиентов перед ними.

Они скоро передумают. С надеждой…

Не так хорошо, как кажется: шифрование

Так что же делают эти сайты?

Многие обратятся к шифрованию. Мы все слышали об этом: казалось бы, непроницаемый способ шифрования вашей информации, делая ее нечитаемой до тех пор, пока два ключа, один из которых принадлежит вам (это ваши данные для входа в систему), а другой - соответствующей компании, - представил. Это отличная идея, которую вы должны даже реализовать на вашем смартфоне 7 причин, почему вы должны зашифровать данные вашего смартфонаВы шифруете свое устройство? Все основные операционные системы смартфонов предлагают шифрование устройства, но стоит ли его использовать? Вот почему шифрование на смартфоне стоит того, и оно не повлияет на то, как вы используете смартфон. Прочитайте больше и другие устройства.

Интернет работает на шифрование: когда вы смотрите HTTPS в URL HTTPS везде: при возможности используйте HTTPS вместо HTTP Прочитайте больше это означает, что сайт, на котором вы находитесь, использует Уровень защищенных сокетов (SSL) Что такое SSL-сертификат и нужен ли он вам?Просматривать Интернет может быть страшно, когда речь идет о личной информации. Прочитайте больше или протоколы безопасности транспортного уровня (TLS) для проверить соединения и перемешать данные Как веб-браузер становится еще более безопаснымУ нас есть сертификаты SSL, чтобы поблагодарить за нашу безопасность и конфиденциальность. Но недавние нарушения и недостатки, возможно, подорвали ваше доверие к криптографическому протоколу. К счастью, SSL адаптируется, обновляется - вот как. Прочитайте больше .

Но несмотря на то, что вы, возможно, слышали Не верьте этим 5 мифам о шифровании!Шифрование звучит сложно, но гораздо проще, чем думает большинство. Тем не менее, вы можете чувствовать себя немного в темноте, чтобы использовать шифрование, поэтому давайте разберемся с некоторыми мифами о шифровании! Прочитайте больше шифрование не идеально.

Что означает, что мой пароль не может содержать пробелов ???

- Дерек Кляйн (@rogue_analyst) 11 августа 2016 г.

Это должно быть безопасно, но это так же безопасно, как и то, где хранятся ключи. Если веб-сайт защищает ваш ключ (т. Е. Пароль), используя свой собственный, хакер может раскрыть последний, чтобы найти первый и расшифровать его. Требуется сравнительно небольшое усилие от вора, чтобы найти ваш пароль; Вот почему ключевые базы данных являются огромной целью.

По сути, если их ключ хранится на том же сервере, что и ваш, ваш пароль также может быть в виде простого текста. Вот почему вышеупомянутый сайт PlainTextOffenders также перечисляет сервисы, которые используют обратимое шифрование.

Удивительно просто (но не всегда эффективно): хеширование

Теперь мы куда-то добираемся. Хеширование паролей звучит как глупый жаргон Технический жаргон: выучите 10 новых слов, недавно добавленных в словарь [Weird & Wonderful Web]Технология является источником многих новых слов. Если вы гик и любитель слов, вам понравятся эти десять, которые были добавлены в онлайн-версию Оксфордского словаря английского языка. Прочитайте больше , но это просто более безопасная форма шифрования.

Вместо того, чтобы хранить ваш пароль в виде простого текста, сайт запускает его через хэш-функция, как MD5 Что на самом деле означает весь этот хэш-материал MD5 [Объясненная технология]Вот полный обзор MD5, хэширование и небольшой обзор компьютеров и криптографии. Прочитайте больше Безопасный алгоритм хеширования (SHA) -1 или SHA-256, который преобразует его в совершенно другой набор цифр; это могут быть цифры, буквы или любые другие символы. Ваш пароль может быть IH3artMU0. Это может превратиться в 7dVq $ @ ihT, и если хакер взломает базу данных, это все, что они смогут увидеть. И это работает только в одну сторону. Вы не можете декодировать его обратно.

К сожалению, это не это ненадежно. Это лучше, чем простой текст, но все еще довольно стандартно для киберпреступников. Ключ в том, что определенный пароль создает определенный хэш. Для этого есть веская причина: каждый раз, когда вы входите с паролем IH3artMU0, он автоматически проходит через эту хеш-функцию, и веб-сайт позволяет вам получить доступ, если этот хеш и тот, который в базе данных сайта матч.

Это также означает, что хакеры разработали радужные таблицы, список хэшей, которые уже использовались другими в качестве паролей, и которые сложные системы могут быстро запустить как атака грубой силой Что такое атаки грубой силы и как вы можете защитить себя?Вы, наверное, слышали фразу "атака грубой силой". Но что именно это означает? Как это работает? И как вы можете защитить себя от этого? Вот что вам нужно знать. Прочитайте больше . Если вы выбрали шокирующе плохой пароль 25 паролей, которые вы должны избегать, используйте WhatsApp бесплатно... [Tech News Digest]Люди продолжают использовать ужасные пароли, WhatsApp теперь совершенно бесплатен, AOL рассматривает вопрос об изменении своего названия, Valve одобряет созданную фанатами игру Half-Life и «Мальчик с камерой для лица». Прочитайте больше это будет высоко на радужных столах и может быть легко взломано; более неясные - особенно обширные комбинации - займут больше времени.

Насколько это может быть плохо? Еще в 2012 году LinkedIn был взломан Что нужно знать о массовой утечке аккаунтов в LinkedInХакер продает 117 миллионов взломанных учетных данных LinkedIn в сети Dark, примерно за 2200 долларов в биткойнах. Кевин Шабази, генеральный директор и основатель LogMeOnce, помогает нам понять, что находится в опасности. Прочитайте больше . Адреса электронной почты и соответствующие им хеши были пропущены. Это 177,5 миллиона хэшей, затрагивающих 164,6 миллиона пользователей. Вы можете подумать, что это не слишком беспокоит: они просто набор случайных цифр. Довольно неразборчиво, верно? Два профессиональных взломщика решили взять образец 6,4 миллиона хэшей и посмотреть, что они могут сделать.

Они взломали 90% из них всего за неделю.

Так хорошо, как получается: соление и медленные хеши

Ни одна система не является неприступной Разрушители мифов: опасные советы по безопасности, которым вы не должны следоватьКогда дело доходит до интернет-безопасности, у каждого и его двоюродного брата есть совет, чтобы предложить вам лучшие программные пакеты для установки, хитроумные сайты, которые следует избегать, или лучшие практики, когда дело доходит до ... Прочитайте больше - хакеры будут естественно работать, чтобы взломать любые новые системы безопасности - но более сильные методы реализованы по наиболее безопасным сайтам Каждый безопасный сайт делает это с вашим паролемЗадумывались ли вы, как веб-сайты защищают ваш пароль от взлома данных? Прочитайте больше умнее хэши

Соленые хэши основаны на практике криптографического одноразового номера, случайного набора данных, генерируемого для каждого отдельного пароля, обычно очень длинного и очень сложного. Эти дополнительные цифры добавляются в начало или конец пароля (или адреса электронной почты) комбинации), прежде чем он пройдет через хэш-функцию, чтобы противостоять попыткам, предпринятым с использованием Радужные столы.

Как правило, не имеет значения, хранятся ли соли на тех же серверах, что и хэши; взлом набора паролей может быть очень трудоемким для хакеров, еще более усложненным, если ваш сам пароль является чрезмерным и сложным 6 советов по созданию нерушимого пароля, который вы можете запомнитьЕсли ваши пароли не уникальны и не могут быть взломаны, вы также можете открыть входную дверь и пригласить грабителей на обед. Прочитайте больше . Вот почему вы всегда должны использовать надежный пароль, независимо от того, насколько вы доверяете безопасности сайта.

Сайты, которые особенно серьезно относятся к своей безопасности и, соответственно, к своей безопасности, все чаще обращаются к медленным хэшам в качестве дополнительной меры. Самые известные хеш-функции (MD5, SHA-1 и SHA-256) существуют уже давно и широко используются, поскольку их относительно легко внедрить и очень быстро применяют хеши.

Относитесь к своему паролю как к зубной щетке, регулярно меняйте его и не делитесь им!

- Anti-Bullying Pro (от благотворительной премии The Diana) (@AntiBullyingPro) 13 августа 2016 г.

Все еще применяя соли, медленные хэши еще лучше в борьбе с любыми атаками, которые зависят от скорости; ограничивая хакеров существенно меньшим числом попыток в секунду, они взламывают их дольше, тем самым делая попытки менее стоящими, учитывая также сниженную вероятность успеха. Киберпреступники должны взвесить, стоит ли атаковать отнимающие много времени медленные хэш-системы за сравнительно быстрые исправления: медицинские учреждения обычно имеют меньшую безопасность 5 причин, почему кража медицинских данных растетМошенники хотят получить ваши личные данные и информацию о банковском счете, но знаете ли вы, что ваши медицинские записи также представляют для них интерес? Узнайте, что вы можете с этим поделать. Прочитайте больше например, данные, которые можно было бы получить оттуда, могут все еще продаваться на удивительные суммы Вот сколько ваша личность может стоить в темной паутинеНеудобно думать о себе как о товаре, но все ваши личные данные, от имени и адреса до реквизитов банковского счета, чего-то стоят для онлайн-преступников. Сколько ты стоишь? Прочитайте больше .

Это также очень адаптивно: если система испытывает особую нагрузку, она может замедлиться еще больше. Кода ХейлБывший главный разработчик программного обеспечения Microsoft, сравнивает MD5 с, пожалуй, самой заметной медленной хэш-функцией bcrypt (другие включают PBKDF-2 и scrypt):

«Вместо взлома пароля каждые 40 секунд [как в случае с MD5] я буду взламывать их каждые 12 лет или около того [когда система использует bcrypt]. Ваши пароли могут не нуждаться в такой защите, и вам может потребоваться более быстрый алгоритм сравнения, но bcrypt позволяет вам выбирать баланс скорости и безопасности ».

И поскольку медленный хэш может быть реализован менее чем за секунду, это не должно влиять на пользователей.

Почему это имеет значение?

Когда мы используем онлайн-сервис, мы заключаем договор доверия. Вы должны быть в безопасности, зная, что ваша личная информация хранится в безопасности.

«Мой ноутбук настроен на съемку после трех попыток ввода неверного пароля» pic.twitter.com/yBNzPjnMA2

- Кошки в космосе (@CatsLoveSpace) 16 августа 2016 г.

Безопасное хранение вашего пароля Полное руководство по упрощению и обеспечению безопасности с помощью LastPass и XmarksОблако означает, что вы можете легко получить доступ к важной информации, где бы вы ни находились, это также означает, что у вас есть много паролей для отслеживания. Вот почему LastPass был создан. Прочитайте больше это особенно важно. Несмотря на многочисленные предупреждения, многие из нас используют один и тот же для разных сайтов, поэтому, если есть, например, взлом Facebook Ваш Facebook был взломан? Вот как сказать (и исправить это)Есть шаги, которые вы можете предпринять, чтобы предотвратить взлом на Facebook, и действия, которые вы можете предпринять в случае взлома вашего Facebook. Прочитайте больше Ваши данные для входа на любые другие сайты, которые вы часто используете с тем же паролем, также могут быть открытой книгой для киберпреступников.

Вы обнаружили каких-либо преступников с открытым текстом? Каким сайтам вы доверяете безоговорочно? Как вы думаете, что является следующим шагом для безопасного хранения пароля?

Авторы изображения: Africa Studio / Shutterstock, Неверные пароли от Lulu Hoeller [Больше не доступно]; Войти по автомобильной Италии; Файлы паролей Linux от Кристиана Колена; и солонка от Карин Кристнер.