Como é que os sites manter suas senhas seguras?
Nós agora raramente ir um mês sem ouvir sobre algum tipo de dados breach- que poderia ser um up-to-date serviço como Gmail
Conteúdo
Fator na nossa crescente consciência das maneiras a nossa informação privada é aspirado pelo Google, mídia social (nomeadamente Facebook), e até mesmo nossos próprios smartphones, e ninguém pode culpá-lo por ser um pouco paranóico sobre como os sites cuidar de algo tão importante como a sua senha.
Na verdade, para a paz de espírito, isso é algo que todo mundo precisa saber ...
O pior cenário: Plain Text
Considere o seguinte: Um grande site foi hackeado. Os cibercriminosos têm quebrado através de quaisquer medidas de segurança básicas que leva, talvez aproveitando uma falha em sua arquitetura. Você é um cliente. Esse site tem guardado os seus dados. Felizmente, você tem certeza de sua senha é segura.
Exceto que o site armazena a senha como texto simples.
Era sempre uma bomba-relógio. senhas de texto simples estão apenas esperando para ser saqueada. Eles usam nenhum algoritmo para torná-los ilegíveis. Hackers podem lê-lo como simplesmente como você está lendo esta frase.
É um pensamento assustador, não é? Não importa o quão complexo sua senha é, mesmo que seja pi 30 dígitos: um banco de dados de texto simples é uma lista de senhas de todos, enunciados claramente, incluindo quaisquer números adicionais e caracteres que você usa. Mesmo que hackers não rachar o site, que você realmente quer admin para ser capaz de ver os seus detalhes de login confidenciais?
Você pode pensar que este é um problema muito raro, mas estima-se que 30% dos sites de comércio eletrônico usar este método para “proteger” os seus dados - na verdade, há um blog inteiro dedicado a destacar esses criminosos! Até o ano passado, até mesmo a NHL armazenado senhas desta forma, assim como Adobe antes de uma falha grave.
Chocante, empresa de proteção contra vírus, McAfee também utiliza texto simples.
Uma maneira fácil de descobrir se um site usa isso é se, logo após se inscrever, você receberá um e-mail a partir deles listando seus dados de login. Muito desertor. Nesse caso, você pode querer alterar sites com essa mesma senha e entrar em contato com a empresa para alertá-los que a sua segurança é preocupante.
Não significa necessariamente que eles fazem armazená-los como texto simples, mas é um bom indicador - e eles realmente não deveria estar enviando esse tipo de coisa em e-mails de qualquer maneira. Eles podem argumentar que eles têm firewalls et al. para proteger contra os cibercriminosos, mas lembrá-los que nenhum sistema é perfeito e balançar a perspectiva de perder clientes na frente deles.
Eles logo vai mudar sua mente. Esperançosamente…
Não tão bom quanto parece: Criptografia
Então, o que estes sites fazem?
Muitos se voltarão para criptografia. Todos nós já ouvimos sobre isso: a forma aparentemente impermeável de embaralhamento suas informações, tornando-o ilegível até duas chaves - uma realizada por você (que é o seu login), e outro pela empresa em questão - são apresentados. É uma grande idéia, que você deve mesmo implementar em seu smartphone e outros dispositivos.7 razões pelas quais você deve criptografar seus dados Smartphone7 razões pelas quais você deve criptografar seus dados SmartphoneVocê criptografar o dispositivo? Todos os principais sistemas operacionais de smartphones oferecem criptografia de dispositivo, mas você deve usá-lo? Aqui está o porquê criptografia smartphones vale a pena, e não afetará a maneira como você usa seu smartphone.consulte Mais informação
A internet é executado em criptografia: quando você veja HTTPS na URL, isso significa que o site que você está em está usando o Secure Sockets Layer (SSL) ou Transport Layer Security (TLS) Protocolos verificar as conexões e misturam-se os dados.
Mas apesar do que você pode ter ouvido, criptografia não é perfeito.Não acredito que estes 5 mitos sobre criptografia!Não acredito que estes 5 mitos sobre criptografia!Encryption parece complexo, mas é muito mais simples do que a maioria pensa. No entanto, você pode se sentir um pouco demasiado in-the-dark fazer uso de criptografia, então vamos rebentar alguns mitos de criptografia!consulte Mais informação
Deve ser seguro, mas é apenas tão seguro quanto onde as chaves são armazenadas. Se um site está protegendo a sua chave (ou seja senha) usando sua própria, um hacker poderia expor o último a fim de encontrar o antigo e decifrá-lo. Seria necessário relativamente pouco esforço de um ladrão para encontrar o seu por senha é por isso que as bases de dados principais são um alvo enorme.
Basicamente, se sua chave é armazenada no mesmo servidor como o seu, sua senha pode muito bem estar em texto simples. É por isso que o site PlainTextOffenders referido também lista os serviços que usam criptografia reversível.
Surpreendentemente simples (mas nem sempre eficaz): Hashing
Agora estamos chegando a algum lugar. hash de senhas soa como jargão absurdo, mas é simplesmente uma forma mais segura de criptografia.Tecnologia Jargon: Aprenda 10 palavras novas recentemente adicionadas ao dicionário [Estranho & Wonderful Web]Tecnologia Jargon: Aprenda 10 palavras novas recentemente adicionadas ao dicionário [Estranho & Wonderful Web]A tecnologia é a fonte de muitas palavras novas. Se você é um geek e uma palavra amante, você vai adorar estes dez que foram adicionados à versão online do Dicionário de Inglês Oxford.consulte Mais informação
Em vez de armazenar sua senha como texto simples, um site executa-lo através de um função hash, como MD5, Fixar algoritmo de hashing (SHA) -1, ou SHA-256, que o transforma em um conjunto completamente diferente de digits- estes podem ser números, letras ou outros caracteres. Sua senha pode ser IH3artMU0. Isso pode se transformar em 7dVq $ @ IHT, e se um hacker invadiu um banco de dados, isso é tudo o que eles podem ver. E ele só funciona de uma maneira. Você não pode decodificá-lo de volta.
Infelizmente, não é aquele seguro. É melhor do que texto simples, mas ainda é bastante normal para os cibercriminosos. A chave é que uma senha específica produz um hash específico. Há uma boa razão para isso: cada vez que você entrar com a senha IH3artMU0, ele passa automaticamente através dessa função hash eo site permite o acesso se isso de hash e um no jogo do banco de dados do site.
Isso também significa que hackers desenvolveram tabelas do arco-íris, uma lista de hashes, já utilizado por outros como senhas, que um sofisticado sistema pode executar rapidamente através de um ataque de força bruta. Se você escolheu um chocantemente ruim senha, que vai ser alta nas tabelas do arco-íris e pode ser facilmente cracked- os mais obscuros - combinações particularmente extensa - vai demorar mais tempo.Quais são Brute ataques de força e como você pode se proteger?Quais são Brute ataques de força e como você pode se proteger?Yyou`ve provavelmente ouviu a frase "ataque de força bruta." Mas o que exatamente aquilo significa? Como funciona? E como você pode se proteger contra isso? Aqui está o que você precisa saber.consulte Mais informação
"Qual é a senha?"
“É ... é‘cachorro `?”
* Reunião abafado atrás da porta *
“Você pode entrar.” Pic.twitter.com/jWIhtCNrJL- inábil Baby Animals (@SoVeryAwkward) 16 de agosto de 2016
Quão ruim pode ser? De volta a 2012, LinkedIn foi hackeado. Os endereços de email e seus hashes correspondentes foram divulgados. Isso é 177,5 milhões de hashes, afetando 164,6 milhões de usuários. Você pode descobrir que não é muito de uma preocupação: eles são apenas uma carga de dígitos aleatórios. Consideravelmente indecifrável, certo? Dois biscoitos profissionais decidiu tomar uma amostra de 6,4 milhões de hashes e ver o que eles poderiam fazer.O Que Você Precisa Saber Sobre o maciço Contas do LinkedIn LeakO Que Você Precisa Saber Sobre o maciço Contas do LinkedIn LeakUm hacker está a vender 117 milhões de credenciais do LinkedIn hackeado na web escuro por cerca de US $ 2.200 em Bitcoin. Kevin Shabazi, CEO e fundador da LogMeOnce, nos ajuda a entender exatamente o que está em risco.consulte Mais informação
Eles rachada 90% deles em apenas uma semana.
Melhor É Impossível: Salga e hashes lentas
Nenhum sistema é inexpugnável - hackers irá, naturalmente, trabalhar para quebrar quaisquer novos sistemas de segurança - mas as técnicas mais fortes implementado pelos sites mais seguros são hashes mais inteligentes.Mythbusters: Dangerous Conselho de Segurança você não deve seguirMythbusters: Dangerous Conselho de Segurança você não deve seguirQuando se trata de segurança da Internet, todos e seu primo tem conselhos para oferecer-lhe sobre os melhores pacotes de software para instalar, os sites desonestos para ficar claro de, ou as melhores práticas quando se trata de ...consulte Mais informação
hashes salgados são baseadas na prática de um nonce criptográfico, um conjunto de dados aleatórios gerados para cada senha individual, normalmente muito longo e muito complexo. Estes dígitos adicionais são adicionados ao início ou no final de uma palavra-passe (ou combinações de e-mail de senha) antes de passar através da função hash, a fim de combater as tentativas feitas utilizando tabelas de arco-íris.
Ele geralmente não importa se os sais são armazenados nos mesmos servidores como hashes- rachaduras um conjunto de senhas pode ser tempo extremamente demorado para hackers, fez ainda mais difícil se o seu própria senha é excessiva e complicado. É por isso que você deve sempre usar uma senha forte, não importa o quanto você confia segurança de um site.6 Dicas para criar uma senha inquebrável que você possa lembrar6 Dicas para criar uma senha inquebrável que você possa lembrarSe as senhas não são exclusivos e inquebrável, assim como você pode abrir a porta da frente e convide os ladrões para o almoço.consulte Mais informação
Sites que levam a sua, e por extensão a sua, a segurança muito a sério estão cada vez mais se voltando para retardar hashes como uma medida adicional. As funções hash mais conhecidos (MD5, SHA-1 e SHA-256) têm sido em torno de um tempo, e são amplamente utilizados porque eles são relativamente fáceis de implementar e aplicar hashes muito rápido.
Enquanto ainda aplicar sais, hashes lentos são ainda melhor no combate a quaisquer ataques que dependem de velocidade- limitando hackers para substancialmente menos tentativas por segundo, leva mais tempo para quebrar, tornando tentativas menos vale a pena, considerando também a taxa de sucesso baixou. Os cibercriminosos têm de ponderar se vale a pena atacar sistemas de hash lentas e demoradas sobre comparativamente “soluções rápidas”: instituições médicas normalmente têm menos segurança, por exemplo, para que os dados que podem ser obtidos a partir daí pode ainda ser vendidos por somas surpreendentes.5 razões pelas quais roubo de identidade médica está aumentando5 razões pelas quais roubo de identidade médica está aumentandoScammers quer seus dados pessoais e informações bancárias - mas você sabia que seus registros médicos também são de interesse para eles? Descubra o que você pode fazer sobre ele.consulte Mais informação
Também é muito adaptável: se um sistema está sob tensão particular, pode desacelerar ainda mais. Coda Hale, ex Princípio Software Developer da Microsoft, compara MD5 para, talvez, a função hash lento mais notável, bcrypt (outros incluem PBKDF-2 e Scrypt):
“Em vez de quebrar uma senha a cada 40 segundos [como com MD5], eu estaria quebrando-los a cada 12 anos ou mais [quando um sistema usa bcrypt]. Suas senhas pode não precisar que tipo de segurança e você pode precisar de um algoritmo de comparação mais rápido, mas bcrypt permite que você escolha o seu equilíbrio de velocidade e segurança.”
E porque um hash lento ainda pode ser implementado em menos de um segundo, os usuários não devem ser afetados.
Por que isso Importa?
Quando usamos um serviço online, entramos em um contrato de confiança. Você deve ser seguro no conhecimento de que sua informação pessoal está sendo mantido seguro.
Armazenando a sua senha em segurança é especialmente importante. Apesar de várias advertências, muitos de nós usam o mesmo para sites diferentes, por isso, se há, por exemplo, uma violação Facebook, seus detalhes de login para quaisquer outros sites que você freqüente com uso da mesma senha também pode ser um livro aberto para os cibercriminosos.O Guia Completo para Simplificando e Protegendo sua vida com LastPass e XmarksO Guia Completo para Simplificando e Protegendo sua vida com LastPass e XmarksEnquanto a nuvem significa que você pode facilmente acessar suas informações importantes onde quer que esteja, isso também significa que você tem um monte de senhas para acompanhar. É por isso que LastPass foi criado.consulte Mais informação
Você já descobriu eventuais infractores texto sem formatação? Quais sites você confia implicitamente? O que você acha que é o próximo passo para o armazenamento de senha segura?
Hardware vs. Software de criptografia
Vantagens e desvantagens de criptografia de chave simétrica
Pode uma criptografia hacker de desvio?
Por que o meu e-mail manter hackeadas?
Como as pessoas cortar sua senha?
Qual é a senha de hacking?
A diferença entre criptografia sha & aes
As desvantagens do protocolo de autenticação de senha
Teste a sua força de senha com os mesmos hackers ferramenta usar
Ophcrack - uma ferramenta de senha hack para quebrar quase qualquer senha do windows
O que tudo isso hash md5 realmente significa [tecnologia explicou]
Joe siegrist de lastpass: a verdade sobre a sua senha de segurança
Lastpass é violada: você precisa mudar a sua senha mestra?
O que são ataques de força bruta e como você pode se proteger?
O que você precisa saber sobre o linkedin enorme contas de vazamento
Vazamentos de senha estão acontecendo agora: aqui está como se proteger
Não acredito que estes 5 mitos sobre criptografia!
Você é um dos 69 milhões de usuários dropbox cortado?
Yahoo! Perdemos seus dados! Dois anos atrás…
Caught in enorme violação de dados de adultfriendfinder? Aqui está o que fazer
4 Razões gerenciadores de senha não são suficientes para manter suas senhas seguras