Hur säkerställer dina webbplatser dina lösenord?
Vi går sällan en månad utan att höra om någon form av dataöverträdelse. Det kan vara en uppdaterad tjänst som Gmail Är ditt Gmail-konto bland 42 miljoner läckta referenser? Är ditt Gmail-konto bland 42 miljoner läckta referenser? Läs mer eller något de flesta av oss har glömt om, som MySpace Facebook-spår Alla, MySpace har hackats ... [Tech News Digest] Facebook-spår Alla, MySpace har hackats ... [Tech News Digest] Facebook spårar alla på webben, miljontals MySpace credentials är till försäljning, Amazon ger Alexa till din webbläsare, No Man's Sky lider en försening, och Pong Project tar form. Läs mer .
Faktor i vår ökande medvetenhet om hur vår privata information dammsugas upp av Google Five Things Google Kanske Känner Om Dig Fem Saker Google Kanske Känner Om Dig Läs mer, sociala medier (särskilt Facebook Facebook Sekretess: 25 saker Det sociala nätverket vet om dig Facebook Sekretess: 25 saker Det sociala nätverket vet om dig Facebook vet en överraskande mängd om oss - information vi villigt frivilligt. Från den informationen kan du slås in i en demografisk, dina "likes" inspelade och relationer övervakas. Här är 25 saker Facebook vet om ... Läs mer), och även våra allra egna smartphones Vad är det mest säkra mobiloperativsystemet? Vad är det säkraste mobila operativsystemet? Kämpar för titeln Most Secure Mobile OS, vi har: Android, BlackBerry, Ubuntu, Windows Phone och iOS. Vilket operativsystem är det bästa att hålla sig till mot attacker på nätet? Läs mer och ingen kan skylla på dig för att vara lite paranoid om hur webbplatser ser efter så viktigt som ditt lösenord Allt du behöver veta om lösenord Allt du behöver veta om lösenord Lösenord är viktiga och de flesta vet inte tillräckligt om dem. Hur väljer du ett starkt lösenord, använd ett unikt lösenord överallt och kom ihåg dem alla? Hur säkrar du dina konton? Hur ... Läs mer .
I själva verket, för sinnesfrid, är det någonting som alla behöver veta ...
Det sämsta fallscenariot: Enkel text
Tänk på följande: En viktig webbplats har hackats. Cyberkriminella har brutit igenom några grundläggande säkerhetsåtgärder som krävs, kanske utnyttjar en brist i deras arkitektur. Du är en kund. Den webbplatsen har lagrat dina uppgifter. Tack och lov har du varit säker på att ditt lösenord är säkert.
Förutom den här platsen lagras ditt lösenord som vanlig text.
Det var alltid en kryssande bomb. Vanliga textlösenord väntar bara på att plundras. De använder ingen algoritm för att göra dem oläsliga. Hackare kan läsa det så enkelt som du läser denna mening.
Det är en läskig tanke, eller hur? Det spelar ingen roll hur komplicerat ditt lösenord är, även om det är pi till 30 siffror: En vanlig textdatabas är en lista över allas lösenord, tydligt utspattad, inklusive vilka extra nummer och tecken du använder. Även om hackare inte spricka webbplatsen, vill du verkligen att admin ska kunna se dina konfidentiella inloggningsuppgifter?
# c4news
Jag använder alltid ett bra, starkt lösenord, som Hercules eller Titan, och jag har aldrig haft några problem ...
- Stör inte (@emilbordon) 16 augusti 2016
Du kanske tror att detta är ett mycket sällsynt problem, men uppskattningsvis 30% av e-handelswebbsidor använder den här metoden till “säkra” dina data - det finns faktiskt en hel blogg för att lyfta fram dessa kränkare! Fram till förra året lagrade även NHL lagrade lösenord på det här sättet, liksom Adobe före en stor överträdelse.
Chockingly, virusskydd företag använder McAfee också ren text.
Ett enkelt sätt att ta reda på om en webbplats använder det här är om, efter att du registrerat dig, får du ett mail från dem som anger dina inloggningsuppgifter. Mycket tvivelaktigt. I det fallet kanske du vill ändra webbplatser med samma lösenord och kontakta företaget för att varna dem om att deras säkerhet är oroande.
Det betyder inte nödvändigtvis att de lagrar dem som vanlig text, men det är en bra indikator - och de borde verkligen inte skicka den typen av saker i emails ändå. De kan hävda att de har brandväggar et al. att skydda mot cyberkriminella, men påminna dem om att inget system är felfri och danglar utsikterna att förlora kunder framför dem.
De kommer snart att ändra sig. Förhoppningsvis…
Inte lika bra som det låter: Kryptering
Så vad dessa webbplatser gör?
Många kommer att vända sig till kryptering. Vi har alla hört talas om det: ett påtagligt ogenomträngligt sätt att förvränga din information, vilket gör det oläsligt tills två nycklar - en av er (din inloggningsinformation) och den andra av företaget i fråga - presenteras. Det är en bra idé, en som du även bör genomföra på din smartphone. 7 Anledningar till varför du borde kryptera din smartphone-data. 7 Anledningar till varför du ska kryptera din Smartphone-data. Krypterar du din enhet? Alla stora smartphones operativsystem erbjuder kryptering av enhet, men ska du använda den? Det är därför smarttelefonkryptering är värt, och påverkar inte hur du använder din smartphone. Läs mer och andra enheter.
Internet körs på kryptering: när du ser HTTPS i webbadressen HTTPS överallt: Använd HTTPS istället för HTTP när det är möjligt HTTPS överallt: Använd HTTPS i stället för HTTP När det är möjligt att läsa mer, betyder det att webbplatsen du är på använder antingen Secure Sockets Layer (SSL) Vad är ett SSL-certifikat och behöver du? Vad är ett SSL-certifikat och behöver du? Att surfa på Internet kan vara skrämmande när personuppgifter är inblandade. Läs mer eller Transport Layer Security (TLS) -protokoll för att verifiera anslutningar och uppdatera data Hur webbläsning blir ännu säkrare Hur webbläsning blir ännu säkrare Vi har SSL-certifikat för att tacka för vår säkerhet och integritet. Men nya överträdelser och brister kan ha dämpat din förtroende för kryptografiska protokollet. Lyckligtvis anpassas SSL, uppgraderas - här är hur. Läs mer .
Men trots vad du kanske har hört Tro inte dessa 5 myter om kryptering! Tro inte dessa 5 myter om kryptering! Kryptering låter komplex, men är mycket enklare än de flesta tror. Ändå kan du känna dig lite för mörk för att använda kryptering, så låt oss byta några krypteringsmyter! Läs mer, kryptering är inte perfekt.
Whaddya menar att mitt lösenord inte kan innehålla backspaces ???
- Derek Klein (@rogue_analyst) 11 augusti 2016
Det borde vara säkert, men det är bara så säkert som där nycklarna lagras. Om en webbplats skyddar din nyckel (dvs lösenord) med egna, kan en hacker exponera den senare för att hitta den tidigare och dekryptera den. Det skulle kräva relativt liten ansträngning från en tjuv för att hitta ditt lösenord; Därför är nyckeldatabaser ett massivt mål.
I grund och botten, om deras nyckel är lagrad på samma server som din, kan ditt lösenord lika bra vara i vanlig text. Därför listar också den ovan nämnda PlainTextOffenders webbplatsen tjänster som använder reversibel kryptering.
Överraskande enkel (men inte alltid effektiv): Hashing
Nu kommer vi någonstans. Hashing lösenord låter som nonsensjargon Tech Jargon: Lär dig 10 Nya ord Nyligen tillagda till ordboken [Weird & Wonderful Web] Tech Jargon: Lär dig 10 Nya ord Nyligen tillagda i ordboken [Weird & Wonderful Web] Tekniken är källan till många nya ord . Om du är en nörd och ett ordälskare kommer du att älska de tio som fanns till onlineversionen av Oxford English Dictionary. Läs mer, men det är helt enkelt en säkrare form av kryptering.
I stället för att lagra ditt lösenord som vanlig text, kör en webbplats genom en hash-funktion, som MD5. Vad Allt detta MD5 Hash-saker faktiskt betyder [Teknologi förklaras] Vad Allt detta MD5 Hash-saker faktiskt betyder [Teknologi förklaras] Här är en full nedgång av MD5, hashing och en liten översikt över datorer och kryptografi. Läs mer, Secure Hashing Algorithm (SHA) -1 eller SHA-256, som omvandlar den till en helt annan uppsättning siffror. Dessa kan vara siffror, bokstäver eller andra tecken. Ditt lösenord kan vara IH3artMU0. Det kan bli 7dVq $ @ ihT, och om en hackare slog in i en databas så är det allt de kan se. Och det fungerar bara ett sätt. Du kan inte avkoda den igen.
Tyvärr är det inte den där säkra. Det är bättre än vanlig text, men det är fortfarande ganska standard för cyberkriminella. Nyckeln är att ett specifikt lösenord ger en specifik hash. Det finns en bra anledning till det: varje gång du loggar in med lösenordet IH3artMU0, går det automatiskt igenom den hash-funktionen och webbplatsen låter dig komma åt om den hash och den som finns i webbplatsens databas matchar.
Det betyder också att hackare har utvecklat regnbordsbord, en lista över hash, som redan används av andra som lösenord, att ett sofistikerat system snabbt kan springa igenom som en brutal kraftattack. Vad är brutal kraftattacker och hur kan du skydda dig själv? Vad är Brute Force Attacks och hur kan du skydda dig själv? Du har nog hört frasen "brute force attack". Men vad betyder det exakt? Hur fungerar det? Och hur kan du skydda dig mot det? Här är vad du behöver veta. Läs mer . Om du har valt ett chockerande dåligt lösenord 25 lösenord som du behöver undvika, använd WhatsApp gratis ... [Tech News Digest] 25 lösenord du behöver undvika, använd WhatsApp gratis ... [Tech News Digest] Folk fortsätter att använda hemska lösenord, WhatsApp är nu helt gratis, AOL överväger att byta namn, Valve godkänner ett fan-made Half-Life-spel och The Boy With a Camera for a Face. Läs mer, det är högt på regnbordsborden och kan lätt knäckas; mer dunkla - särskilt omfattande kombinationer - tar längre tid.
Hur dåligt kan det vara? Back in 2012, hackades LinkedIn Vad du behöver veta om massiva LinkedIn-konton läcka Vad du behöver veta om massiva LinkedIn-konton läcka En hacker säljer 117 miljoner hackade LinkedIn-uppgifter på Dark webben för cirka $ 2 200 i Bitcoin. Kevin Shabazi, VD och grundare av LogMeOnce, hjälper oss att förstå vad som är i fara. Läs mer . E-postadresser och deras motsvarande hash läcktes. Det är 177.500.000 haschar, som påverkar 164.600.000 användare. Du kanske tycker att det inte är för mycket av ett bekymmer: de är bara en massa slumpmässiga siffror. Ganska okrypterbart, eller hur? Två professionella krackare bestämde sig för att ta ett prov på 6,4 miljoner haschar och se vad de kunde göra.
De knäckte 90% av dem på knappt en vecka.
Så bra som det får: Saltning och långsam kepsar
Inget system är ogenomträngligt Mythbusters: Riskfyllda säkerhetsråd Du bör inte följa Mythbusters: Riskfyllda säkerhetsråd Du borde inte följa När det gäller internetsäkerhet har alla och deras kusiner råd för att erbjuda dig de bästa programvarupaket för att installera, tvivelaktiga webbplatser att hålla sig borta från eller bästa praxis när det gäller ... Läs mer - hackare kommer naturligtvis att arbeta för att spricka några nya säkerhetssystem - men de starkare teknikerna som implementeras av de säkraste webbplatserna. Varje säker webbplats gör det med ditt lösenord Varje säker webbplats gör det här Med ditt lösenord Har du någonsin undrat hur webbplatser håller ditt lösenord säkert från dataöverträdelser? Läs mer är smartare hash.
Saltade hashes är baserade på praktiken av en kryptografisk nonce, en slumpmässig dataset som genereras för varje enskilt lösenord, vanligtvis mycket lång och väldigt komplex. Dessa ytterligare siffror läggs till i början eller slutet av ett lösenord (eller kombinationer av e-lösenord) innan det passerar hashfunktionen, för att bekämpa försök med regnbordsbord.
Det spelar vanligtvis ingen roll om salterna lagras på samma servrar som hashes; spricka en uppsättning lösenord kan vara enormt tidskrävande för hackare, gjort ännu hårdare om ditt lösenord själv är överdrivet och komplicerat 6 tips för att skapa ett obrott lösenord som du kan komma ihåg 6 tips för att skapa ett obrott lösenord som du kan komma ihåg om dina lösenord är inte unik och oföränderlig, kan du också öppna ytterdörren och bjuda in rånarna till lunch. Läs mer . Därför bör du alltid använda ett starkt lösenord, oavsett hur mycket du litar på en webbplatss säkerhet.
Webbplatser som tar deras, och i förlängning, din säkerhet, särskilt allvarligt, blir alltmer till långsamma hasher som en extra åtgärd. De mest kända hashfunktionerna (MD5, SHA-1 och SHA-256) har funnits på ett tag och används allmänt eftersom de är relativt lätta att implementera och applicera hashes mycket snabbt.
Behandla ditt lösenord som din tandborste, byt det regelbundet och dela det inte!
- Anti-Bullying Pro (från välgörenhet Diana Award) (@AntiBullyingPro) 13 augusti 2016
Medan man fortfarande använder salter är långsamma haschar ännu bättre för att bekämpa alla attacker som är beroende av hastighet. genom att begränsa hackare till väsentligt färre försök per sekund, det tar dem längre att knäcka, vilket gör försök mindre värda, med tanke på också den sänkta framgångsgraden. Cyberkriminella måste väga upp om det är värt att attackera tidskrävande långsamma hashsystem över jämförelsevis “snabbkorrigeringar”: medicinska institutioner har vanligtvis mindre säkerhet 5 Skäl till att medicinsk identitetsstöld ökar 5 skäl till att medicinsk identitetsstöld ökar scammers vill ha dina personuppgifter och bankkontoinformation - men visste du att dina journaler också är av intresse för dem? Ta reda på vad du kan göra åt det. Läs mer till exempel så att data som kan erhållas därifrån fortfarande kan säljas på för överraskande belopp. Här är hur mycket din identitet kan vara värd på den mörka webben. Här är hur mycket din identitet kan vara värd på den mörka webben. Det är obehagligt att tänka av dig själv som en vara, men alla dina personuppgifter, från namn och adress till bankkontodetaljer, är värda någonting för online-brottslingar. Hur mycket är du värd? Läs mer .
Det är också väldigt adaptivt: om ett system är under speciell belastning kan den sakta ner ytterligare. Coda Hale, Microsofts tidigare programvaruutvecklare, jämför MD5 till kanske den mest anmärkningsvärda långsamma hashfunktionen, bcrypt (andra inkluderar PBKDF-2 och krypterad):
“I stället för att spricka ett lösenord var 40: e sekund [som med MD5] skulle jag knäcka dem var 12: e år eller så [när ett system använder bcrypt]. Dina lösenord kanske inte behöver den typen av säkerhet, och du kan behöva en snabbare jämförelsesalgoritm, men bcrypt låter dig välja din balans mellan hastighet och säkerhet.”
Och eftersom en långsam hash fortfarande kan implementeras på mindre än en sekund, bör användarna inte påverkas.
Varför spelar det någon roll?
När vi använder en onlinetjänst inleder vi ett förtroendeavtal. Du bör vara säker med vetskap om att din personliga information hålls säker.
"Min laptop är inställd för att ta en bild efter tre felaktiga lösenordsförsök" pic.twitter.com/yBNzPjnMA2
- Katter i rymden (@CatsLoveSpace) 16 augusti 2016
Spara ditt lösenord säkert Den kompletta handboken för att förenkla och säkra ditt liv med LastPass och Xmarks Den fullständiga handboken för att förenkla och säkra ditt liv med LastPass och Xmarks Medan molnet innebär att du enkelt kan få tillgång till din viktiga information var du än är, betyder det också att du har många lösenord för att hålla reda på. Därför skapades LastPass. Läs mer är speciellt viktigt. Trots många varningar använder många av oss samma för olika webbplatser, så om det till exempel finns ett Facebook-brott har din Facebook blivit hackad? Så här berättar du (och fixar det) Har din Facebook varit hackad? Så här berättar du (och fixar det) Det finns steg du kan vidta för att förhindra att hackas på Facebook, och saker du kan göra om din Facebook blir hackad. Läs mer, dina inloggningsuppgifter för andra webbplatser som du ofta använder med samma lösenord kan också vara en öppen bok för cyberkriminella.
Har du upptäckt några vanliga textöverträdare? Vilka webbplatser litar du på implicit? Vad tycker du är nästa steg för säker lagring av lösenord?
Bildkrediter: Afrika Studio / Shutterstock, Felaktiga lösenord av Lulu Hoeller; Logga in av Automobile Italia; Linux lösenord filer av Christiaan Colen; och saltskakare av Karyn Christner.
Utforska mer om: Kryptering, Online sekretess, Online-säkerhet.