Cum păstrează site-urile parolele dvs. securizate?

Cum păstrează site-urile parolele dvs. securizate? / Securitate

Acum mergem rar la o lună fără să auzim despre un fel de încălcare a datelor; ar putea fi un serviciu actualizat, cum ar fi Gmail este contul tău Gmail printre 42 milioane de acreditări? Contul tău Gmail este printre cele 42 de milioane de acreditări scurgeri? Citește mai mult sau ceva ce majoritatea dintre noi am uitat, cum ar fi MySpace Facebook Tracks Everyone, MySpace a fost hacked ... [Tech News Digest] Facebook Tracks toată lumea, MySpace a fost hacked ... [Tech News Digest] Facebook urmărește toată lumea de pe Web, milioane de MySpace acreditările sunt puse în vânzare, Amazon aduce Alexa browser-ului dvs., Sky-ul lui No Man suferă o întârziere, iar proiectul Pong se conturează. Citeste mai mult .

Factorul în creșterea gradului de conștientizare a modurilor în care informațiile noastre personale sunt aspirați de Google Cinci lucruri Google probabil știe despre dvs. Cinci lucruri Google probabil știu despre tine Citește mai mult, social media (în special Facebook Facebook Confidențialitate: 25 lucruri Rețeaua socială știe despre tine Facebook Confidențialitatea: 25 de lucruri Rețeaua socială cunoaște despre dvs. Facebook știe o sumă surprinzătoare despre noi - informații pe care le oferim voluntar, din care puteți fi introduse într-o categorie demografică, înregistrările "plăcute" înregistrate și relațiile monitorizate. ... Citește mai mult), și chiar propriile smartphone-uri Care este cel mai sigur sistem de operare mobil? Care este cel mai sigur sistem de operare mobil? Battling pentru titlul de cel mai sigur sistem de operare mobil, avem: Android, BlackBerry, Ubuntu, Windows Phone și iOS. Care sistem de operare este cel mai bun la ținerea propriilor împotriva atacurilor online? Citiți mai multe și nimeni nu vă poate da vina pentru că sunteți puțin paranoic cu privire la modul în care site-urile web se ocupă de ceva la fel de important ca și parola dvs. Tot ce trebuie să știți despre parole Tot ce trebuie să știți despre parole Parolele sunt importante și majoritatea oamenilor nu știu suficient despre lor. Cum alegeți o parolă puternică, folosiți o parolă unică peste tot și amintiți-vă pe toate? Cum vă asigurați conturile? Cum ... Citește mai mult .

De fapt, pentru pacea minții, este ceva ce trebuie să știe toată lumea ...

Scenariul cel mai rău caz: Text simplu

Luați în considerare acest lucru: Un site important a fost hacked. Criminalii cibernetici au întrecut orice măsuri de securitate de bază, poate profită de un defect în arhitectura lor. Ești un client. Acest site ți-a păstrat detaliile. Din fericire, v-ați asigurat că parola dvs. este sigură.

Cu excepția faptului că site-ul dvs. stochează parola ca text simplu.

A fost întotdeauna o bomba ticătoare. Câștigurile parole de text doar așteaptă să fie jafă. Nu folosesc algoritmi pentru a le face necitibili. Hackerii o pot citi la fel de simplu cum citiți această propoziție.

E un gând înfricoșător, nu-i așa? Nu contează cât de complexă este parola, chiar dacă este de până la 30 de cifre: o bază de date cu text simplu este o listă cu parolele tuturor, clar redactată, inclusiv orice număr și caractere suplimentare pe care le folosiți. Chiar dacă hackerii nu face spargeți site-ul, doriți cu adevărat ca admin să vă poată vedea detaliile de acces confidențiale?

# c4news

Întotdeauna folosesc o parolă bună, puternică, precum Hercule sau Titan și nu am avut niciodată probleme ...

- Nu deranja (@emilbordon) 16 august 2016

S-ar putea să credeți că aceasta este o problemă foarte rară, dar aproximativ 30% din site-urile de eCommerce utilizează această metodă “sigur” datele dvs. - de fapt, există un blog întreg dedicat evidențierii acestor infractori! Până anul trecut, chiar NHL-urile au păstrat parolele în acest fel, așa cum a făcut și Adobe înainte de o încălcare majoră.

Șocant, firma de protecție împotriva virușilor, McAfee folosește de asemenea text simplu.

O modalitate ușoară de a afla dacă un site folosește acest lucru este dacă, imediat după înscriere, primiți un e-mail de la ei care vă enumeră detaliile de conectare. Foarte supărătoare. În acest caz, este posibil să doriți să schimbați toate site-urile cu aceeași parolă și să contactați compania pentru a le avertiza că securitatea lor este îngrijorătoare.

Aceasta nu înseamnă neapărat că ei le păstrează ca text simplu, dar este un bun indicator - și nu ar trebui să trimită așa ceva în e-mailuri oricum. Ei pot argumenta că au firewall-uri et al. pentru a proteja împotriva infractorilor cibernetici, dar să le reamintim că niciun sistem nu este ireproșabil și că se află în pericol de a pierde clienții în fața lor.

În curând își vor schimba mintea. In speranta…

Nu la fel de bun ca suna: Criptare

Deci, ce fac aceste site-uri?

Mulți se vor transforma în criptare. Cu toții am auzit despre asta: o modalitate aparent imperceptibilă de a vă scufunda informația, făcând-o necitită până când sunt prezentate două chei - una deținută de dvs. (acestea sunt datele dvs. de conectare) și cealaltă de compania în cauză. Este o idee minunată, pe care ar trebui să o implementați chiar și pe smartphone-ul dvs. 7 Motive pentru care ar trebui să vă criptați datele smartphone-ului 7 Motive pentru care ar trebui să criptați datele dvs. de telefon inteligent Criptați dispozitivul dvs.? Toate sistemele principale de operare smartphone oferă criptare dispozitiv, dar ar trebui să-l utilizați? Iată de ce criptarea smartphone-ului este utilă și nu va afecta modul în care utilizați telefonul smartphone. Citiți Mai multe și alte dispozitive.

Internetul rulează pe criptare: când vedeți HTTPS în URL HTTPS Everywhere: Utilizați HTTPS În loc de HTTP Când este posibil HTTPS peste tot: Utilizați HTTPS În loc de HTTP Când este posibil Citiți mai mult, adică site-ul pe care îl utilizați utilizează fie conexiunile securizate Layer (SSL) Ce este un certificat SSL și aveți nevoie de unul? Ce este un certificat SSL și aveți nevoie de unul? Navigarea pe Internet poate fi înfricoșătoare atunci când sunt implicate informații personale. Citiți mai multe sau Protocoale de securitate a straturilor de transport (TLS) pentru a verifica conexiunile și să măriți datele Cum navigarea pe Web devine și mai sigură Cum navigarea pe Web devine și mai sigură Avem certificate SSL care le mulțumim pentru securitatea și confidențialitatea noastră. Dar încălcările și defectele recente vă pot fi denaturat încrederea în protocolul criptografic. Din fericire, SSL se adaptează, fiind actualizat - iată cum. Citeste mai mult .

Dar în ciuda a ceea ce ați auzit nu credeți aceste 5 mituri despre criptare! Nu credeți aceste 5 mituri despre criptare! Criptarea sună complexă, dar este mult mai simplă decât cred majoritatea. Cu toate acestea, s-ar putea să vă simțiți puțin prea întunecat pentru a face uz de criptare, deci să bați niște mituri de criptare! Citiți mai mult, criptarea nu este perfectă.

Whaddya înseamnă că parola mea nu poate conține backspaces ???

- Derek Klein (@rogue_analyst) 11 august 2016

Ar trebui să fie în siguranță, dar este la fel de sigur ca și în cazul în care sunt stocate cheile. Dacă un site vă protejează cheia (adică parola) folosind propriile sale, un hacker îl poate expune pe acesta din urmă pentru a-l găsi pe acesta și a îl decripta. Ar fi nevoie de un efort relativ mic de la un hoț pentru a găsi parola; de aceea, bazele de date cheie reprezintă o țintă masivă.

Practic, dacă cheia lor este stocată pe același server ca al dvs., parola dvs. ar putea fi, de asemenea, în text simplu. De aceea, site-ul PlainTextOffenders menționat mai sus menționează și serviciile care utilizează criptarea reversibilă.

Surprinzător de simplu (dar nu întotdeauna eficient): Hashing

Acum ajungem undeva. Hashing parole sună ca jargonul prostii Tech Jargon: Aflați 10 cuvinte noi Traduceți în Adăugate Recent la dicționar [Web ciudat și minunat] Tech Jargon: Aflați 10 cuvinte noi Traduceți în Adăugate Recent Dicționar [Tehnologie ciudată și minunat] Tehnologia este sursa pentru multe cuvinte noi . Dacă sunteți un iubitor de geek și un cuvânt, veți iubi aceste zece care au fost adăugate la versiunea online a Oxford English Dictionary. Citiți mai multe, dar este pur și simplu o formă mai sigură de criptare.

În loc să vă păstrați parola ca text simplu, un site o execută printr-o funcție hash, cum ar fi MD5 Ce înseamnă toate aceste lucruri MD5 Hash Actually means [Technology Explained] Ce înseamnă toate aceste lucruri MD5 Hash Actually means [Technology Explained] Iată o rulare completă din MD5, hashing și o imagine de ansamblu a computerelor și criptografiei. Citiți mai mult, Algoritmul Secure Hashing (SHA) -1 sau SHA-256, care îl transformă într-un set complet diferit de cifre; acestea pot fi numere, litere sau orice alte caractere. Parola dvs. ar putea fi IH3artMU0. Asta ar putea deveni 7dVq $ @ ihT, iar dacă un hacker a intrat într-o bază de date, asta e tot ce pot vedea. Și funcționează doar într-o singură direcție. Nu o puteți decoda înapoi.

Din păcate, nu este acea sigur. Este mai bine decât textul simplu, dar este încă destul de standard pentru infractorii cibernetici. Cheia este că o parolă specifică produce un hash specific. Există un motiv bun pentru asta: de fiecare dată când vă conectați cu parola IH3artMU0, acesta trece automat prin acea funcție hash și site-ul vă permite să accesați dacă hash și cel din baza de date a site-ului se potrivesc.

De asemenea, hackerii au creat tabele curcubeu, o listă de hash-uri, deja folosite de alții ca parole, pe care un sistem sofisticat poate să le execute rapid ca atac de forță brute care sunt atacurile forțate și cum vă puteți proteja? Ce sunt atacurile de forță și cum vă puteți proteja? Probabil ați auzit expresia "atac brutal de forță". Dar ce anume înseamnă asta? Cum functioneazã? Și cum poți să te protejezi împotriva ei? Iată ce trebuie să știți. Citeste mai mult . Dacă ați ales o parolă șocantă de rău 25 parole trebuie să evitați, Utilizați WhatsApp gratuit ... [Tech News Digest] 25 de parole pe care trebuie să le evitați, Utilizați WhatsApp gratuit ... [Tech News Digest] Oamenii continua să folosească parole teribile, WhatsApp este acum complet liberă, AOL are în vedere schimbarea numelui său, Valve aprobă un joc cu Half-Life realizat de fan și Boy With a Camera for a Face. Citește mai mult, va fi ridicat pe mesele curcubeului și ar putea fi ușor crăpat; cele mai obscure - combinații deosebit de intense - vor dura mai mult.

Cat de rau poate fi? Înapoi în 2012, LinkedIn a fost hacked Ce trebuie să știți despre scurgerea conturilor masive LinkedIn Ce trebuie să știți despre scurgerea conturilor masive LinkedIn Un hacker vinde 117 de milioane de acte autentificate LinkedIn hacked pe site-ul Dark pentru aproximativ 2.200 de dolari în Bitcoin. Kevin Shabazi, CEO și fondator al LogMeOnce, ne ajută să înțelegem doar ceea ce este în pericol. Citeste mai mult . Adresele de e-mail și corespondența lor au fost scurgeri. Acestea sunt 177,5 milioane de hashes, care afectează 164,6 milioane de utilizatori. S-ar putea să vă imaginați că nu este prea mult de îngrijorare: sunt doar o încărcătură de cifre aleatoare. Destul de indesciftabil, nu? Două biscuiți profesioniști au decis să ia un eșantion de 6,4 milioane de hashes și să vadă ce pot face.

Au spart 90% din ei în doar o săptămână.

La fel de bine ca și cum: Sare și lemne lentă

Nici un sistem nu este impregnabil. Mitul: periculoasele sfaturi de securitate nu ar trebui să vă urmați Mythbusters: Sfaturi de securitate periculoase pe care nu ar trebui să le urmați Când vine vorba de securitatea internetului, toată lumea și vărul lor au sfaturi pentru a vă oferi cele mai bune pachete de software pentru instalare, pentru a rămâne departe de sau cele mai bune practici atunci când vine vorba de ... Citește mai mult - hackerii vor lucra în mod natural pentru a sparge orice sisteme noi de securitate - dar tehnicile mai puternice implementate de cele mai sigure site-uri Fiecare site securizat face acest lucru cu parola dvs. Cu parola dvs. V-ați întrebat vreodată cum păstrează site-urile parola în siguranță de la încălcări de date? Citiți mai multe sunt hashes mai inteligent.

Prelucrarea hashedă se bazează pe practica unui nonce criptografic, un set de date aleatoriu generat pentru fiecare parolă individuală, de obicei foarte lung și foarte complex. Aceste cifre suplimentare sunt adăugate la începutul sau la sfârșitul unei parole (sau combinații de e-mail-parolă) înainte de a trece prin funcția hash, pentru a combate încercările făcute folosind tabelele curcubeu.

În general, nu contează dacă sărurile sunt stocate pe aceleași servere ca și hashes; craparea unui set de parole poate fi extrem de consumatoare de timp pentru hackeri, a devenit chiar mai strictă dacă parola în sine este excesivă și complicată 6 Sfaturi pentru crearea unei parole de neînvins că puteți să vă amintiți 6 sfaturi pentru crearea unei parole nedetectabile pe care le puteți aminti Dacă parolele dvs. sunt nu este unic și de neînvins, poți deschide ușor ușa de la intrare și-l inviți pe tâlhari pentru prânz. Citeste mai mult . De aceea ar trebui să utilizați întotdeauna o parolă puternică, indiferent cât de mult aveți încredere în securitatea site-ului.

Site-urile web care își iau în serios securitatea și, prin extensie, securitatea, devin din ce în ce mai mult ca o măsură adăugată. Cele mai cunoscute funcții hash (MD5, SHA-1 și SHA-256) au fost în jur de un timp și sunt utilizate pe scară largă deoarece sunt relativ ușor de implementat și aplică rapid.

Tratați parola ca periuța de dinți, schimbați-o în mod regulat și nu o partajați!

- Pro Anti-Bullying Pro (de la caritate Premiul Diana) (@AntiBullyingPro) 13 august 2016

În timp ce încă se aplică săruri, hashes lent sunt chiar mai bine la combaterea oricăror atacuri care se bazează pe viteză; prin limitarea hackerilor la încercări substanțial mai puține pe secundă, le ia mai mult timp pentru a le sparge, făcând astfel încercări mai puțin valoroase, luând în considerare și rata scăzută de succes. Criminalii cibernetici trebuie să cântărească dacă merită să atace comparativ sistemele lentă de hash care consumă timp “reparații rapide”: instituțiile medicale au de obicei mai puțină siguranță 5 motive pentru care furtul de identitate medicală crește 5 motive pentru care furtul de identitate medicală crește Câștigătorii doresc informațiile personale și informațiile despre contul bancar - dar știați că înregistrările medicale sunt, de asemenea, de interes pentru ei? Află ce poți să faci în legătură cu asta. Citește mai multe, de exemplu, astfel încât datele care pot fi obținute de acolo pot fi încă vândute pentru sumele surprinzătoare. Iată cât de multă identitate ar putea să merite pe Webul Întunecat Iată cât de multă identitate ar putea să merite pe Întunericul Web Este inconfortabil să gândiți a ta ca o marfă, dar toate detaliile tale personale, de la nume și adresă la detalii ale contului bancar, merită ceva pentru infractorii online. Cât de mult merităm? Citeste mai mult .

De asemenea, este foarte adaptabil: dacă un sistem se află sub o presiune deosebită, acesta poate încetini și mai mult. Coda Hale, fostul dezvoltator de software Microsoft Principial, compară MD5 cu cea mai notabilă funcție hash, bcrypt (altele includ PBKDF-2 și scrypt):

“În loc să spargă o parolă la fiecare 40 de secunde [ca în cazul MD5], aș fi spart-o la fiecare 12 ani [când un sistem folosește bcrypt]. Parolele dvs. ar putea să nu necesite acest tip de securitate și este posibil să aveți nevoie de un algoritm de comparație mai rapid, dar bcrypt vă permite să alegeți echilibrul de viteză și securitate.”

Și deoarece un hash lent poate fi implementat în mai puțin de o secundă, utilizatorii nu ar trebui să fie afectați.

De ce conteaza?

Atunci când folosim un serviciu online, intrăm într-un contract de încredere. Ar trebui să fiți siguri că informațiile dvs. personale sunt păstrate în siguranță.

"Laptopul meu este configurat pentru a face o fotografie după trei încercări greșite de parolă" pic.twitter.com/yBNzPjnMA2

- Pisici în spațiu (@CatsLoveSpace) 16 august 2016

Stocarea în siguranță a parolei Ghidul complet pentru simplificarea și asigurarea vieții dvs. cu LastPass și Xmarks Ghidul complet pentru simplificarea și asigurarea vieții dvs. cu LastPass și Xmarks În timp ce cloud-ul înseamnă că puteți accesa cu ușurință informațiile dvs. importante oriunde vă aflați, înseamnă că și dvs. au o mulțime de parole pentru a ține evidența. De aceea, LastPass a fost creat. Citește mai mult este deosebit de important. În ciuda numeroaselor avertismente, mulți dintre noi folosesc același site pentru diferite site-uri, așa că, dacă există, de exemplu, o încălcare a Facebook-ului dvs. a fost Facebook hacked? Iată cum să spui (și să o rezolvi) a fost hacked de pe Facebook? Iată cum puteți spune (și reparați-o) Există pași pe care îi puteți lua pentru a preveni hacking-ul pe Facebook și lucrurile pe care le puteți face în cazul în care Facebook-ul dvs. este hacked. Citiți mai multe, datele dvs. de conectare pentru orice alte site-uri pe care frecventați utilizând aceeași parolă ar putea fi, de asemenea, o carte deschisă pentru infractorii cibernetici.

Ai descoperit vreun infractor de text simplu? La care site aveți încredere implicită? Care credeți că este următorul pas pentru stocarea sigură a parolei?

Creditele de imagine: Africa Studio / Shutterstock, parole incorecte de Lulu Hoeller; Conectare de către Automobile Italia; Fișierele cu parole Linux de Christiaan Colen; și agitator de sare de Karyn Christner.

Explorați mai multe despre: criptare, confidențialitate online, securitate online.