In deze tijd is het heel normaal om te horen over een datalek. Er kan een inbreuk plaatsvinden op een populaire dienst als Gmail of een stukje software dat de meesten van ons zijn vergeten, zoals MySpace.
Een van de ergste dingen die een hacker te weten kan komen, is uw wachtwoord. Dit geldt vooral als je tegen het standaardadvies ingaat en dezelfde login op meerdere verschillende platforms gebruikt. Maar wachtwoordbeveiliging is niet alleen uw verantwoordelijkheid.
Dus hoe slaan websites uw wachtwoorden op? Hoe houden ze uw inloggegevens veilig? En wat is de veiligste methode die websites kunnen gebruiken om uw wachtwoorden bij te houden?
In het slechtste geval: wachtwoorden worden in platte tekst opgeslagen
Neem de volgende situatie: een grote website is gehackt. Cybercriminelen hebben alle basisbeveiligingsmaatregelen van de website omzeild en kunnen misbruik maken van een fout in de structuur van de site. Jij bent de klant. Die website heeft uw gegevens opgeslagen. De site zorgt ervoor dat uw wachtwoord veilig is. Maar wat gebeurt er als die website uw wachtwoord in platte tekst opslaat?
Wachtwoorden in platte tekst zijn als een lucratief aas. Ze gebruiken geen algoritmen en kunnen dus niet worden gelezen. Hackers kunnen wachtwoorden net zo eenvoudig lezen als u dit artikel leest.
Het maakt niet uit hoe complex uw wachtwoorden zijn: een database met platte tekst is een lijst met de wachtwoorden van iedereen, duidelijk uitgeschreven, inclusief eventuele cijfers en extra tekens die u gebruikt.
En zelfs als hackers de website niet kraken, wil je dan echt dat een websitebeheerder je geheime inloggegevens kan zien?
Je denkt misschien dat dit een zeer zeldzaam probleem is, maar naar schatting gebruikt ongeveer 30% van de e-commercesites deze methode om klantgegevens te "beveiligen"!
Een gemakkelijke manier om erachter te komen of een website wachtwoorden in platte tekst opslaat, is door direct na het aanmelden een e-mail van de website te ontvangen met uw inloggegevens. In dat geval wilt u misschien andere sites wijzigen die hetzelfde wachtwoord gebruiken en contact opnemen met het bedrijf om hen te waarschuwen dat hun beveiliging te slecht is. Het is natuurlijk onmogelijk om dit 100% te bevestigen, maar dit is een vrij duidelijk teken en de site zou zulke dingen eigenlijk niet per e-mail moeten versturen.
Codering: Klinkt goed, maar het is niet perfect
Veel websites maken gebruik van encryptie om gebruikerswachtwoorden te beschermen. Het versleutelingsproces versleutelt uw informatie, waardoor deze onleesbaar wordt totdat er twee sleutels (de ene in uw bezit (dat zijn uw inloggegevens) en de andere in het bezit van het bedrijf in kwestie) samen verschijnen.
Je hebt ook op veel andere plaatsen encryptie gebruikt. Face ID op iPhone is een vorm van codering. De toegangscode is hetzelfde. Het internet werkt op encryptie: de HTTPS die u in de URL kunt zien, betekent dat de website die u bezoekt het SSL- of TLS-protocol gebruikt om de verbinding te verifiëren en gegevens te verzamelen. Maar in werkelijkheid is encryptie niet perfect.
Encryptie kan u gemoedsrust geven. Maar als een site uw wachtwoord beschermt door een eigen wachtwoord te gebruiken, kan een hacker het wachtwoord van de site stelen, vervolgens uw wachtwoord vinden en het decoderen. Het kost hackers niet veel moeite om uw wachtwoord te achterhalen; Daarom zijn grote databases altijd een groot doelwit.
Als de sleutel van uw site (wachtwoord) op dezelfde server is opgeslagen als uw wachtwoord, kan uw wachtwoord ook in platte tekst zijn.
Hash: verrassend eenvoudig (maar niet altijd effectief)
Wachtwoordhashing klinkt misschien als jargon, maar het is gewoon een veiligere vorm van codering.
In plaats van het wachtwoord in platte tekst op te slaan, voert de website het wachtwoord uit via een hash-functie, zoals MD5, Secure Hashing Algorithm (SHA)-1 of SHA-256, waardoor het wachtwoord in een geheel andere reeks cijfers wordt omgezet. Dit kunnen cijfers, letters of andere tekens zijn.
Uw wachtwoord is mogelijk IH3artMU0. Het kan veranderen in 7dVq$@ihT en als een hacker in de database inbreekt, is dat alles wat hij kan zien. Hackers kunnen het originele wachtwoord niet opnieuw ontsleutelen.
Helaas zijn de zaken niet zo veilig als je denkt. Deze methode is beter dan platte tekst, maar is nog steeds geen probleem voor cybercriminelen.
Wat belangrijk is, is dat een bepaald wachtwoord een bepaalde hash genereert. Daar is een goede reden voor: elke keer dat u inlogt met het wachtwoord IH3artMU0, passeert het automatisch die hash, en de site geeft u toegang als die hash en die in de database van de site aanwezig zijn.
Als reactie daarop hebben hackers regenboogtabellen ontwikkeld, vergelijkbaar met spiekbriefjes. Het zijn lijsten met hashes, die al door anderen als wachtwoord worden gebruikt, waar een geavanceerd systeem snel doorheen kan lopen, zoals een Brute Force-aanval .
Als je een heel slecht wachtwoord hebt gekozen, staat het hoog op de regenboogtafel en kan het gemakkelijk worden gekraakt. Complexe wachtwoorden zullen langer duren.
Het beste op dit moment: Zouten en Slow Hash
Salten is een van de krachtigere technieken die door de meeste beveiligde websites worden geïmplementeerd
Niets is ondoordringbaar: Hackers zijn altijd actief bezig om elk nieuw beveiligingssysteem te kraken. Momenteel worden er sterkere technieken geïmplementeerd door de veiligste websites. Dat zijn slimme hashfuncties.
Gezouten hashes zijn gebaseerd op cryptografische nonce, een willekeurige dataset die voor elk individueel wachtwoord wordt gegenereerd en die vaak erg lang en complex is.
Deze extra cijfers worden toegevoegd aan het begin of einde van het wachtwoord (of de combinatie van e-mailadres en wachtwoord) voordat het door de hash-functie gaat, ter verdediging tegen pogingen met behulp van een regenboogtabel.
Over het algemeen is er geen probleem als salts op dezelfde servers worden opgeslagen als hashes. Het kraken van een reeks wachtwoorden kan hackers veel tijd kosten, en het is zelfs nog moeilijker als uw wachtwoorden complex zijn.
Daarom moet u altijd een sterk wachtwoord gebruiken, hoe zeker u ook bent van de veiligheid van uw website.
Websites gebruiken ook trage hashes als extra maatregel. De bekendste hashfuncties (MD5, SHA-1 en SHA-256) bestaan al een tijdje en worden veel gebruikt omdat ze relatief eenvoudig te implementeren zijn.
Hoewel zout nog steeds van toepassing is, zijn langzame hashes nog beter in het verdedigen tegen aanvallen die afhankelijk zijn van snelheid. Door hackers te beperken tot aanzienlijk minder pogingen per seconde, zal het langer duren voordat ze kraken, waardoor de pogingen minder waardevol worden en het slagingspercentage lager wordt.
Cybercriminelen moeten afwegen of het de moeite waard is om tijdrovende langzame hash-systemen aan te vallen versus ‘snelle oplossingen’. Medische instellingen zijn bijvoorbeeld vaak minder goed beveiligd, waardoor gegevens die daaruit worden verkregen nog steeds voor verrassende bedragen kunnen worden verkocht.
Als een systeem onder ‘stress’ staat, kan het nog meer vertragen. Coda Hale, een voormalige Microsoft-softwareontwikkelaar, vergelijkt MD5 met de meest opvallende langzame hash-functie, bcrypt (andere functies omvatten PBKDF-2 en scrypt):
"In plaats van wachtwoorden elke 40 seconden te kraken (zoals bij MD5), zou ik ze ongeveer elke 12 jaar kraken (wanneer het systeem bcrypt gebruikt). Je wachtwoorden hebben dat soort beveiliging waarschijnlijk niet nodig en misschien heb je een sneller vergelijkingsalgoritme nodig , maar met bcrypt kun je de balans kiezen tussen snelheid en veiligheid".
En omdat een langzame hash nog steeds in minder dan een seconde kan worden uitgevoerd, hebben gebruikers hier geen last van.
Ziet u een activeringsmelding voor Windows 10 in de rechterhoek van het scherm? In dit artikel wordt uitgelegd hoe u de kennisgeving van een auteursrechtverzoek op Windows 10 verwijdert.
Onlangs heeft Microsoft de nieuwste cumulatieve update voor Windows 10 pc-gebruikers uitgebracht, genaamd Build 14393.222. Deze update voor Windows 10 repareert voornamelijk bugs op basis van gebruikersfeedback en verbetert de prestatie-ervaring van het besturingssysteem.
Heeft u computers op uw lokale netwerk die externe toegang nodig hebben? Het gebruik van een bastionhost als poortwachter voor uw netwerk kan een goede oplossing zijn.
Soms moet u oude gebeurtenislogboeken in één keer verwijderen. In deze handleiding laat Quantrimang.com u 3 manieren zien om snel alle gebeurtenislogboeken in Windows 10 Event Viewer te verwijderen.
Als je liever een oud klassiek toetsenbord gebruikt, zoals het IBM Model M, dat geen fysieke Windows-sleutel bevat, kun je er eenvoudig meer toevoegen door een sleutel te lenen die je niet vaak gebruikt.
WindowTop is een tool waarmee u alle toepassingsvensters en programma's op computers met Windows 10 kunt dimmen. Of u kunt een donkere achtergrondinterface op Windows gebruiken.
In veel eerdere artikelen hebben we vermeld dat online anoniem blijven uiterst belangrijk is. Elk jaar lekt privé-informatie uit, waardoor online beveiliging steeds noodzakelijker wordt. Dat is ook de reden dat we virtuele IP-adressen moeten gebruiken. Hieronder zullen we leren over methoden om nep-IP's te maken!
De Taalbalk op Windows 8 is een miniatuurtaalwerkbalk die is ontworpen om automatisch op het bureaublad te worden weergegeven. Veel mensen willen deze taalbalk echter op de taakbalk verbergen.
Het maximaliseren van de internetsnelheid is essentieel voor het optimaliseren van uw netwerkverbinding. U kunt een optimale entertainment- en werkervaring hebben met behulp van computers, internet-tv's, gameconsoles, enz.
Draadloze connectiviteit is tegenwoordig een noodzaak en daarom is draadloze beveiliging essentieel om de veiligheid in uw interne netwerk te garanderen.
