W tej chwili informacje o naruszeniu bezpieczeństwa danych są czymś normalnym. Do naruszenia bezpieczeństwa może dojść w przypadku popularnej usługi, takiej jak Gmail , lub oprogramowania, o którym większość z nas zapomniała, np. MySpace.
Jedną z najgorszych rzeczy, o których może dowiedzieć się haker, jest Twoje hasło. Jest to szczególnie prawdziwe, jeśli postąpisz wbrew standardowym poradom i użyjesz tego samego loginu na wielu różnych platformach. Ale ochrona hasłem to nie tylko Twój obowiązek.
W jaki sposób strony internetowe przechowują Twoje hasła? W jaki sposób dbają o bezpieczeństwo danych logowania? Jaka jest najbezpieczniejsza metoda, której witryny internetowe mogą używać do śledzenia Twoich haseł?
Najgorszy scenariusz: hasła są zapisywane w postaci zwykłego tekstu
Rozważmy następującą sytuację: włamano się do dużej witryny internetowej. Cyberprzestępcy ominęli wszelkie podstawowe środki bezpieczeństwa stosowane w witrynie i mogą wykorzystać lukę w jej strukturze. Jesteś klientem. Ta strona internetowa przechowuje Twoje dane. Strona gwarantuje, że Twoje hasło jest bezpieczne. Ale co się stanie, jeśli ta witryna przechowuje Twoje hasło w postaci zwykłego tekstu?
Hasła zapisane zwykłym tekstem są jak lukratywna przynęta. Nie używają algorytmów, więc nie można ich odczytać. Hakerzy mogą czytać hasła w równie prosty sposób, w jaki czytasz ten artykuł.
Nie ma znaczenia, jak skomplikowane są Twoje hasła: baza danych w postaci zwykłego tekstu to lista haseł wszystkich użytkowników, wyraźnie zapisanych, łącznie z cyframi i dodatkowymi znakami, których używasz.
A nawet jeśli hakerzy nie złamią witryny, czy naprawdę chcesz, aby jakiś administrator witryny mógł zobaczyć Twoje tajne dane logowania?
Można by pomyśleć, że jest to bardzo rzadki problem, ale szacuje się, że około 30% witryn e-commerce korzysta z tej metody w celu „zabezpieczenia” danych klientów!
Łatwym sposobem sprawdzenia, czy witryna zapisuje hasła w postaci zwykłego tekstu, jest otrzymanie od razu po rejestracji wiadomości e-mail zawierającej dane logowania. W takim przypadku możesz zmienić inne witryny korzystające z tego samego hasła i skontaktować się z firmą, aby ostrzec ją, że ich bezpieczeństwo jest zbyt słabe. Oczywiście nie da się tego potwierdzić na 100%, ale jest to dość wyraźny znak i strona naprawdę nie powinna wysyłać takich rzeczy e-mailami.
Kodowanie: Brzmi dobrze, ale nie jest idealne
Wiele witryn internetowych korzysta z szyfrowania, aby chronić hasła użytkowników. Proces szyfrowania szyfruje Twoje informacje, czyniąc je nieczytelnymi, dopóki dwa klucze – jeden będący w posiadaniu Ciebie (to Twoje dane logowania) i drugi należący do danej firmy – nie pojawią się razem.
Szyfrowania używałeś także w wielu innych miejscach. Face ID na iPhonie to forma szyfrowania. Hasło jest takie samo. Internet działa w oparciu o szyfrowanie: HTTPS widoczny w adresie URL oznacza, że odwiedzana witryna korzysta z protokołu SSL lub TLS w celu weryfikacji połączenia i agregowania danych. Ale w rzeczywistości szyfrowanie nie jest doskonałe.
Szyfrowanie może zapewnić Ci spokój ducha. Jeśli jednak witryna chroni Twoje hasło, używając własnego hasła, haker może ukraść hasło witryny, a następnie znaleźć Twoje hasło i je odszyfrować. Odkrycie Twojego hasła nie będzie wymagało od hakerów dużego wysiłku; Dlatego duże bazy danych są zawsze dużym celem.
Jeśli klucz witryny (hasło) jest przechowywany na tym samym serwerze co hasło, hasło może być również zapisane w postaci zwykłego tekstu.
Hash: Zaskakująco prosty (ale nie zawsze skuteczny)
Mieszanie haseł może brzmieć jak żargon, ale jest po prostu bezpieczniejszą formą szyfrowania.
Zamiast przechowywać hasło w postaci zwykłego tekstu, witryna uruchamia je za pomocą funkcji skrótu, takiej jak MD5, Secure Hashing Algorithm (SHA)-1 lub SHA-256, która zamienia hasło na zupełnie inny zestaw cyfr. Mogą to być cyfry, litery lub dowolne inne znaki.
Twoje hasło może brzmieć IH3artMU0. Może zmienić się w 7dVq$@ihT i jeśli haker włamie się do bazy danych, to wszystko, co zobaczy. Hakerzy nie mogą ponownie odszyfrować oryginalnego hasła.
Niestety, nie jest tak bezpiecznie, jak myślisz. Ta metoda jest lepsza niż zwykły tekst, ale nadal nie stanowi problemu dla cyberprzestępców.
Ważne jest to, że określone hasło generuje określony skrót. Jest ku temu dobry powód: za każdym razem, gdy logujesz się przy użyciu hasła IH3artMU0, hasło automatycznie przechodzi przez ten skrót, a strona umożliwia dostęp, jeśli ten skrót i ten w bazie danych witryny są obecne.
W odpowiedzi hakerzy opracowali tęczowe tabele, podobne do ściągawek. Są to listy skrótów, używane już przez innych jako hasła, przez które wyrafinowany system może szybko przejść, niczym atak Brute Force .
Jeśli wybrałeś naprawdę złe hasło, będzie ono wysoko na tęczowym stole i można je łatwo złamać. Złożone hasła będą trwać dłużej.
Najlepsze obecnie: Salting i Slow Hash
Solenie to jedna z najpotężniejszych technik stosowanych w większości bezpiecznych witryn internetowych
Nic nie jest nieprzeniknione: hakerzy zawsze aktywnie pracują nad złamaniem każdego nowego systemu bezpieczeństwa. Obecnie najbezpieczniejsze strony internetowe stosują silniejsze techniki. To są inteligentne funkcje skrótu.
Solone skróty opierają się na kryptograficznej nonce, losowym zestawie danych generowanym dla każdego indywidualnego hasła, które często jest bardzo długie i złożone.
Te dodatkowe cyfry są dodawane na początku lub na końcu hasła (lub kombinacji adresu e-mail i hasła), zanim przejdzie ono przez funkcję skrótu, aby zabezpieczyć się przed próbami wykonanymi przy użyciu tęczowej tabeli.
Ogólnie rzecz biorąc, nie ma problemu, jeśli sole są przechowywane na tych samych serwerach , co skróty. Złamanie zestawu haseł może zająć hakerom dużo czasu, a jest jeszcze trudniejsze, jeśli hasła są złożone.
Dlatego zawsze powinieneś używać silnego hasła, niezależnie od tego, jak pewny jesteś bezpieczeństwa swojej witryny.
Strony internetowe używają również wolnych skrótów jako dodatkowego środka. Najbardziej znane funkcje skrótu (MD5, SHA-1 i SHA-256) istnieją już od jakiegoś czasu i są szeroko stosowane, ponieważ są stosunkowo łatwe w implementacji.
Chociaż sól nadal obowiązuje, powolne skróty są jeszcze lepsze w obronie przed wszelkimi atakami polegającymi na szybkości. Ograniczając hakerów do znacznie mniejszej liczby prób na sekundę, złamanie zajmie im więcej czasu, co sprawi, że próby będą mniej wartościowe, a jednocześnie obniży się wskaźnik sukcesu.
Cyberprzestępcy muszą rozważyć, czy warto atakować czasochłonne systemy z wolnym hashowaniem czy „szybkie poprawki”. Przykładowo instytucje medyczne często mają mniejsze bezpieczeństwo, dlatego dane od nich pozyskane nadal można sprzedać za zaskakujące kwoty.
Jeśli system znajduje się pod „stresem”, może spowolnić jeszcze bardziej. Coda Hale, były programista firmy Microsoft, porównuje MD5 do najbardziej znanej powolnej funkcji skrótu, bcrypt (inne funkcje obejmują PBKDF-2 i scrypt):
„Zamiast łamać hasła co 40 sekund (jak w przypadku MD5), łamałbym je co około 12 lat (kiedy system korzysta z bcrypt). Twoje hasła prawdopodobnie nie potrzebują tego rodzaju zabezpieczeń i możesz potrzebować szybszego algorytmu porównawczego , ale bcrypt pozwala wybrać równowagę między szybkością a bezpieczeństwem”.
A ponieważ powolne mieszanie można nadal wykonać w mniej niż sekundę, nie będzie to miało wpływu na użytkowników.
Czy widzisz powiadomienie o aktywacji systemu Windows 10 w prawym rogu ekranu? W tym artykule dowiesz się, jak usunąć powiadomienie o żądaniu dotyczącym praw autorskich w systemie Windows 10.
Niedawno firma Microsoft wydała najnowszą aktualizację zbiorczą dla użytkowników komputerów PC z systemem Windows 10 o nazwie Build 14393.222. Ta aktualizacja wydana dla systemu Windows 10 naprawia głównie błędy na podstawie opinii użytkowników i poprawia wydajność systemu operacyjnego.
Czy masz komputery w sieci lokalnej, które wymagają dostępu zewnętrznego? Dobrym rozwiązaniem może być użycie hosta bastionowego jako strażnika sieci.
Czasami może być konieczne jednoczesne usunięcie wszystkich starych dzienników zdarzeń. W tym przewodniku Quantrimang.com pokaże Ci 3 sposoby szybkiego usunięcia wszystkich dzienników zdarzeń w Podglądzie zdarzeń systemu Windows 10.
Jeśli wolisz używać starej, klasycznej klawiatury, takiej jak IBM Model M, która nie zawiera fizycznego klawisza Windows, istnieje prosty sposób, aby dodać więcej, pożyczając klawisz, którego nie używasz często.
WindowTop to narzędzie, które ma możliwość przyciemnienia wszystkich okien aplikacji i programów działających na komputerach z systemem Windows 10. Możesz także użyć interfejsu z ciemnym tłem w systemie Windows.
W wielu poprzednich artykułach wspominaliśmy, że zachowanie anonimowości w Internecie jest niezwykle ważne. Co roku dochodzi do wycieku prywatnych informacji, co sprawia, że bezpieczeństwo w Internecie staje się coraz bardziej konieczne. Z tego też powodu powinniśmy używać wirtualnych adresów IP. Poniżej dowiemy się o metodach tworzenia fałszywych adresów IP!
Pasek języka w systemie Windows 8 to miniaturowy pasek narzędzi języka, zaprojektowany tak, aby automatycznie wyświetlał się na ekranie komputera stacjonarnego. Jednak wiele osób chce ukryć ten pasek języka na pasku zadań.
Maksymalizacja szybkości Internetu jest niezbędna do optymalizacji połączenia sieciowego. Możesz cieszyć się optymalną rozrywką i pracą, korzystając z komputerów, telewizorów z dostępem do Internetu, konsol do gier itp.
Łączność bezprzewodowa jest dziś koniecznością i dlatego bezpieczeństwo sieci bezprzewodowej jest niezbędne do zapewnienia bezpieczeństwa w sieci wewnętrznej.
