Pada masa ini, adalah perkara biasa untuk mendengar tentang pelanggaran data. Pelanggaran boleh berlaku dengan perkhidmatan popular seperti Gmail atau perisian yang kebanyakan kita terlupa, seperti MySpace.
Salah satu perkara paling teruk yang boleh diketahui oleh penggodam ialah kata laluan anda. Ini benar terutamanya jika anda menentang nasihat standard dan menggunakan log masuk yang sama pada berbilang platform berbeza. Tetapi perlindungan kata laluan bukan hanya tanggungjawab anda.
Jadi bagaimanakah tapak web menyimpan kata laluan anda? Bagaimanakah mereka memastikan maklumat log masuk anda selamat? Dan apakah kaedah paling selamat yang boleh digunakan oleh tapak web untuk menjejak kata laluan anda?
Senario kes terburuk: Kata laluan disimpan dalam teks biasa
Pertimbangkan situasi ini: Sebuah tapak web besar telah digodam. Penjenayah siber telah memintas sebarang langkah keselamatan asas yang ada pada tapak web dan boleh mengeksploitasi kecacatan dalam struktur tapak. Anda adalah pelanggan. Laman web itu telah menyimpan butiran anda. Tapak ini memastikan kata laluan anda selamat. Tetapi apa yang berlaku jika tapak web itu menyimpan kata laluan anda dalam teks biasa?
Kata laluan dalam teks biasa adalah seperti umpan yang menguntungkan. Mereka tidak menggunakan algoritma supaya mereka tidak boleh dibaca. Penggodam boleh membaca kata laluan semudah anda membaca artikel ini.
Tidak kira betapa rumitnya kata laluan anda: Pangkalan data teks biasa ialah senarai kata laluan semua orang, ditulis dengan jelas, termasuk sebarang nombor dan aksara tambahan yang anda gunakan.
Dan walaupun penggodam tidak memecahkan tapak web, adakah anda benar-benar mahu beberapa pentadbir tapak web dapat melihat butiran log masuk rahsia anda?
Anda mungkin fikir ini adalah masalah yang sangat jarang berlaku, tetapi dianggarkan kira-kira 30% daripada tapak e-dagang menggunakan kaedah ini untuk "menyelamatkan" data pelanggan!
Cara mudah untuk mengetahui sama ada tapak web menyimpan kata laluan dalam teks biasa adalah jika, sejurus selepas mendaftar, anda menerima e-mel daripada tapak web yang menyenaraikan butiran log masuk anda. Dalam kes itu, anda mungkin ingin menukar mana-mana tapak lain yang menggunakan kata laluan yang sama dan menghubungi syarikat untuk memberi amaran kepada mereka bahawa keselamatan mereka terlalu lemah. Sudah tentu mustahil untuk mengesahkan 100%, tetapi ini adalah petanda yang cukup jelas dan tapak itu tidak sepatutnya menghantar perkara sedemikian dalam e-mel.
Pengekodan: Bunyinya bagus, tetapi ia tidak sempurna
Banyak tapak web beralih kepada penyulitan untuk melindungi kata laluan pengguna. Proses penyulitan mengacau maklumat anda, menjadikannya tidak boleh dibaca sehingga dua kekunci - satu dipegang oleh anda (iaitu butiran log masuk anda) dan satu lagi oleh syarikat berkenaan - muncul bersama.
Anda juga telah menggunakan penyulitan di banyak tempat lain. Face ID pada iPhone ialah satu bentuk penyulitan. Kod laluan adalah sama. Internet berjalan pada penyulitan: HTTPS yang anda boleh lihat dalam URL bermakna tapak web yang anda lawati menggunakan protokol SSL atau TLS untuk mengesahkan sambungan dan data agregat. Tetapi pada hakikatnya, penyulitan tidak sempurna.
Penyulitan boleh memberi anda ketenangan fikiran. Tetapi jika tapak melindungi kata laluan anda dengan menggunakan kata laluannya sendiri, penggodam boleh mencuri kata laluan tapak tersebut, kemudian mencari kata laluan anda dan menyahsulitnya. Ia tidak akan mengambil banyak usaha untuk penggodam untuk mengetahui kata laluan anda; Itulah sebabnya pangkalan data utama sentiasa menjadi sasaran besar.
Jika kunci tapak anda (kata laluan) disimpan pada pelayan yang sama dengan kata laluan anda, kata laluan anda mungkin juga dalam teks biasa.
Hash: Sangat mudah (tetapi tidak selalu berkesan)
Pencincangan kata laluan mungkin terdengar seperti jargon, tetapi ia hanyalah satu bentuk penyulitan yang lebih selamat.
Daripada menyimpan kata laluan dalam teks biasa, tapak web menjalankan kata laluan melalui fungsi cincang, seperti MD5, Secure Hashing Algorithm (SHA)-1 atau SHA-256, yang menukar kata laluan kepada set digit yang berbeza sama sekali. Ini boleh menjadi nombor, huruf atau mana-mana aksara lain.
Kata laluan anda mungkin IH3artMU0. Ia boleh bertukar menjadi 7dVq$@ihT dan jika penggodam menceroboh pangkalan data, itu sahaja yang boleh dilihatnya. Penggodam tidak boleh menyahsulit kata laluan asal lagi.
Malangnya, keadaan tidak selamat seperti yang anda fikirkan. Kaedah ini lebih baik daripada teks biasa tetapi masih tidak menjadi masalah kepada penjenayah siber.
Apa yang penting ialah kata laluan tertentu menjana cincang tertentu. Terdapat sebab yang kukuh untuk itu: Setiap kali anda log masuk dengan kata laluan IH3artMU0, ia secara automatik melalui cincang itu dan tapak membenarkan anda mengakses jika cincang itu dan yang dalam pangkalan data tapak itu ada. tapak web sepadan.
Sebagai tindak balas, penggodam telah membangunkan jadual pelangi, serupa dengan helaian menipu. Ia adalah senarai cincang, yang telah digunakan oleh orang lain sebagai kata laluan, yang sistem canggih boleh dijalankan dengan cepat, seperti serangan Brute Force .
Jika anda telah memilih kata laluan yang benar-benar lemah, ia akan berada di atas meja pelangi dan boleh dipecahkan dengan mudah. Kata laluan yang kompleks akan mengambil masa yang lebih lama.
Terbaik pada masa ini: Salting dan Slow Hash
Pengasinan ialah salah satu teknik yang lebih berkuasa yang dilaksanakan oleh kebanyakan laman web yang selamat
Tiada yang tidak dapat ditembusi: Penggodam sentiasa aktif berusaha untuk memecahkan sebarang sistem keselamatan baharu. Pada masa ini, terdapat teknik yang lebih kukuh yang dilaksanakan oleh tapak web yang paling selamat. Itu adalah fungsi cincang pintar.
Cincang masin adalah berdasarkan nonce kriptografi, set data rawak yang dijana untuk setiap kata laluan individu, yang selalunya sangat panjang dan kompleks.
Angka tambahan ini ditambahkan pada permulaan atau akhir kata laluan (atau gabungan e-mel - kata laluan) sebelum ia melalui fungsi cincang, untuk mempertahankan daripada percubaan yang dibuat menggunakan jadual pelangi.
Secara umum tidak ada masalah jika garam disimpan pada pelayan yang sama seperti cincang. Memecah satu set kata laluan boleh mengambil banyak masa penggodam, dan lebih sukar lagi jika kata laluan anda rumit.
Itulah sebabnya anda harus sentiasa menggunakan kata laluan yang kukuh, tidak kira betapa yakinnya anda terhadap keselamatan tapak web anda.
Tapak web juga menggunakan cincang perlahan sebagai langkah tambahan. Fungsi cincang yang paling terkenal (MD5, SHA-1 dan SHA-256) telah wujud sejak sekian lama dan digunakan secara meluas kerana ia agak mudah untuk dilaksanakan.
Walaupun garam masih digunakan, cincang perlahan adalah lebih baik untuk bertahan daripada sebarang serangan yang bergantung pada kelajuan. Dengan mengehadkan penggodam kepada lebih sedikit percubaan sesaat, ia akan mengambil masa yang lebih lama untuk mereka pecah, sekali gus menjadikan percubaan itu kurang bernilai, di samping memberikan kadar kejayaan yang lebih rendah.
Penjenayah siber mesti menimbang sama ada ia berbaloi untuk menyerang sistem cincang perlahan yang memakan masa berbanding "pembetulan pantas". Sebagai contoh, institusi perubatan selalunya mempunyai keselamatan yang lebih rendah, jadi data yang diperoleh daripada mereka masih boleh dijual untuk jumlah wang yang mengejutkan.
Jika sistem berada di bawah "tekanan", ia boleh menjadi lebih perlahan. Coda Hale, bekas pembangun perisian Microsoft, membandingkan MD5 dengan fungsi cincang perlahan yang paling ketara, bcrypt (fungsi lain termasuk PBKDF-2 dan scrypt):
"Daripada memecahkan kata laluan setiap 40 saat (seperti MD5), saya akan memecahkannya setiap 12 tahun atau lebih (apabila sistem menggunakan bcrypt). Kata laluan anda mungkin tidak memerlukan keselamatan seperti itu dan anda mungkin memerlukan algoritma perbandingan yang lebih pantas , tetapi bcrypt membenarkan anda memilih keseimbangan antara kelajuan dan keselamatan".
Dan kerana cincangan perlahan masih boleh dilakukan dalam masa kurang dari satu saat, pengguna tidak akan terjejas.
Adakah anda melihat pemberitahuan pengaktifan Windows 10 di sudut kanan skrin? Artikel ini akan membimbing anda cara memadamkan notis permintaan hak cipta pada Windows 10.
Baru-baru ini Microsoft mengeluarkan kemas kini kumulatif terkini untuk pengguna PC Windows 10 yang dipanggil Build 14393.222. Kemas kini yang dikeluarkan untuk Windows 10 ini terutamanya membetulkan pepijat berdasarkan maklum balas pengguna dan meningkatkan pengalaman prestasi sistem pengendalian.
Adakah anda mempunyai komputer pada rangkaian tempatan anda yang memerlukan akses luaran? Menggunakan hos benteng sebagai penjaga pintu untuk rangkaian anda boleh menjadi penyelesaian yang baik.
Kadangkala anda mungkin perlu memadamkan log peristiwa lama sekaligus. Dalam panduan ini, Quantrimang.com akan menunjukkan kepada anda 3 cara untuk memadam semua log peristiwa dalam Windows 10 Event Viewer dengan cepat.
Jika anda lebih suka menggunakan papan kekunci klasik lama, seperti IBM Model M, yang tidak termasuk kekunci Windows fizikal, terdapat kaedah mudah untuk menambah lagi, dengan meminjam kunci yang anda jarang gunakan. .
WindowTop ialah alat yang mempunyai keupayaan untuk meredupkan semua tetingkap aplikasi dan program yang dijalankan pada komputer Windows 10. Atau anda boleh menggunakan antara muka latar belakang gelap pada tingkap.
Dalam banyak artikel sebelumnya, kami telah menyebut bahawa kekal tanpa nama dalam talian adalah sangat penting. Maklumat peribadi dibocorkan setiap tahun, menjadikan keselamatan dalam talian semakin diperlukan. Itulah juga sebab kita harus menggunakan alamat IP maya. Di bawah, kita akan belajar tentang kaedah untuk mencipta IP palsu!
Bar Bahasa pada Windows 8 ialah bar alat bahasa kecil yang direka untuk dipaparkan secara automatik pada skrin Desktop. Walau bagaimanapun, ramai orang ingin menyembunyikan bar bahasa ini pada Bar Tugas.
Memaksimumkan kelajuan Internet adalah penting untuk mengoptimumkan sambungan rangkaian anda. Anda boleh menikmati hiburan dan pengalaman kerja yang optimum menggunakan komputer, TV sedia Internet, konsol permainan, dsb.
Kesambungan wayarles adalah satu keperluan hari ini dan kerana itu, keselamatan wayarles adalah penting untuk memastikan keselamatan dalam rangkaian dalaman anda.
