In che modo i siti Web proteggono le password?

Annuncio pubblicitario

Ora passiamo raramente un mese senza sentire una sorta di violazione dei dati; potrebbe essere un aggiornamento servizio come Gmail Il tuo account Gmail è tra 42 milioni di credenziali trapelate? Leggi di più o qualcosa che molti di noi hanno dimenticato, come MySpace Facebook tiene traccia di tutti, MySpace è stato violato... [Tech News Digest]Facebook sta monitorando tutti sul Web, milioni di credenziali di MySpace sono in vendita, Amazon porta Alexa nel tuo browser, No Man's Sky subisce un ritardo e Pong Project prende forma. Leggi di più .

Fattore nella nostra crescente consapevolezza dei modi in cui sono le nostre informazioni private aspirato da Google Cinque cose che Google probabilmente sa di te Leggi di più , social media (in particolare Facebook Privacy di Facebook: 25 cose che il social network sa di teFacebook conosce una quantità sorprendente di noi: informazioni che volontariamente facciamo volontariato. Da queste informazioni puoi essere inserito in un gruppo demografico, i tuoi "mi piace" registrati e le relazioni monitorate. Ecco 25 cose che Facebook conosce ...

Leggi di più ), e persino i nostri smartphone Qual è il sistema operativo mobile più sicuro?In lotta per il titolo del sistema operativo mobile più sicuro, abbiamo: Android, BlackBerry, Ubuntu, Windows Phone e iOS. Quale sistema operativo è il migliore per contrastare gli attacchi online? Leggi di più e nessuno può biasimarti per essere un po 'paranoico su come i siti web si occupano di qualcosa come importante come password Tutto ciò che devi sapere sulle passwordLe password sono importanti e molte persone non ne sanno abbastanza. Come scegli una password complessa, utilizzare una password univoca ovunque e ricordarle tutte? Come proteggete i vostri account? Come faccio... Leggi di più .

In effetti, per la massima tranquillità, questo è qualcosa che tutti devono sapere ...

Lo scenario peggiore: testo normale

Considera questo: un sito Web importante è stato violato. I criminali informatici hanno superato tutte le misure di sicurezza di base che adottano, forse sfruttando un difetto nella loro architettura. Sei un cliente. Quel sito ha memorizzato i tuoi dati. Per fortuna, ti è stato assicurato che la tua password è sicura.

Tranne che il sito memorizza la tua password come testo normale.

Era sempre una bomba che ticchettava. Le password in testo normale stanno solo aspettando di essere saccheggiate. Non usano alcun algoritmo per renderli illeggibili. Gli hacker possono leggerlo semplicemente mentre leggi questa frase.

È un pensiero spaventoso, no? Non importa quanto sia complessa la tua password, anche se è composta da un massimo di 30 cifre: un database di testo semplice è un elenco delle password di tutti, precisato chiaramente, incluso qualsiasi numero e carattere aggiuntivo tu uso. Anche se hacker non fare rompere il sito, vorresti davvero che l'amministratore fosse in grado di vedere i tuoi dati di accesso confidenziali?

# c4news

Uso sempre una password valida e sicura, come Hercules o Titan e non ho mai avuto problemi ...

- Non preoccuparti (@emilbordon) 16 agosto 2016

Potresti pensare che si tratti di un problema molto raro, ma circa il 30% dei siti web di e-commerce utilizza questo metodo per "proteggere" i tuoi dati - in effetti, esiste un intero blog dedicato a mettere in evidenza questi autori di reati! Fino allo scorso anno, anche la NHL ha archiviato le password in questo modo, così come Adobe prima di una grave violazione.

Incredibilmente, società di protezione antivirus, McAfee utilizza anche testo semplice.

Un modo semplice per scoprire se un sito lo utilizza è se, subito dopo la registrazione, ricevi un'email da loro con i tuoi dati di accesso. Molto schivo. In tal caso, potresti voler cambiare qualsiasi sito con la stessa password e contattare l'azienda per avvisarli che la loro sicurezza è preoccupante.

Non significa necessariamente che li memorizzano come testo normale, ma è un buon indicatore - e in realtà non dovrebbero comunque inviare quel genere di cose nelle e-mail. Potrebbero discuterne hanno i firewall et al. per proteggere dai criminali informatici, ma ricordare loro che nessun sistema è impeccabile e pendere la prospettiva di perdere clienti di fronte a loro.

Presto cambieranno idea. Fiduciosamente…

Non buono come sembra: crittografia

Quindi cosa fanno questi siti?

Molti passeranno alla crittografia. Ne abbiamo tutti sentito parlare: un modo apparentemente impervio di confondere le tue informazioni, rendendole illeggibili fino a quando due chiavi, una posseduta da te (che sono i tuoi dati di accesso) e l'altra dalla società in questione, lo sono presentati. È un'ottima idea, che dovresti anche implementare sul tuo smartphone 7 motivi per cui dovresti crittografare i dati del tuo smartphoneStai crittografando il tuo dispositivo? Tutti i principali sistemi operativi per smartphone offrono la crittografia del dispositivo, ma dovresti usarla? Ecco perché la crittografia dello smartphone è utile e non influisce sul modo in cui usi lo smartphone. Leggi di più e altri dispositivi.

Internet funziona con la crittografia: quando tu vedi HTTPS nell'URL HTTPS ovunque: utilizzare HTTPS anziché HTTP quando possibile Leggi di più , ciò significa che il sito in cui ti trovi sta utilizzando il Secure Sockets Layer (SSL) Che cos'è un certificato SSL e ne hai bisogno?Navigare in Internet può essere spaventoso quando sono coinvolte informazioni personali. Leggi di più o protocolli Transport Layer Security (TLS) a verificare le connessioni e mescolare i dati Come la navigazione Web sta diventando ancora più sicuraAbbiamo certificati SSL da ringraziare per la nostra sicurezza e privacy. Ma recenti violazioni e difetti potrebbero aver intaccato la tua fiducia nel protocollo crittografico. Fortunatamente, SSL si sta adattando, viene aggiornato: ecco come. Leggi di più .

Ma nonostante quello che potresti aver sentito Non credere a questi 5 miti sulla crittografia!La crittografia sembra complessa, ma è molto più semplice di quanto molti credano. Tuttavia, potresti sentirti un po 'troppo oscuro per utilizzare la crittografia, quindi sveliamo alcuni miti della crittografia! Leggi di più , la crittografia non è perfetta.

Whaddya significa che la mia password non può contenere backspaces ???

- Derek Klein (@rogue_analyst) 11 agosto 2016

Dovrebbe essere sicuro, ma è sicuro solo dove sono archiviate le chiavi. Se un sito Web sta proteggendo la tua chiave (cioè la password) usando la propria, un hacker potrebbe esporre quest'ultima per trovare la prima e decrittografarla. Richiederebbe relativamente poco sforzo da parte di un ladro per trovare la tua password; ecco perché i database chiave sono un obiettivo enorme.

Fondamentalmente, se la loro chiave è memorizzata sullo stesso server della tua, la tua password potrebbe anche essere in testo normale. Ecco perché il suddetto sito PlainTextOffenders elenca anche i servizi che utilizzano la crittografia reversibile.

Sorprendentemente semplice (ma non sempre efficace): hash

Ora stiamo arrivando da qualche parte. Hashing delle password sembra un gergo senza senso Tech Jargon: impara 10 nuove parole aggiunte di recente al dizionario [Weird & Wonderful Web]La tecnologia è la fonte di molte nuove parole. Se sei un geek e un amante delle parole, adorerai questi dieci che sono stati aggiunti alla versione online di Oxford English Dictionary. Leggi di più , ma è semplicemente una forma di crittografia più sicura.

Invece di archiviare la password come testo normale, un sito la esegue attraverso a funzione hash, come MD5 Cosa significa in realtà tutto questo hash MD5 [spiegazione della tecnologia]Ecco un riassunto completo di MD5, hashing e una piccola panoramica di computer e crittografia. Leggi di più , Secure Hashing Algorithm (SHA) -1 o SHA-256, che lo trasforma in un insieme di cifre completamente diverso; possono essere numeri, lettere o altri caratteri. La tua password potrebbe essere IH3artMU0. Ciò potrebbe trasformarsi in 7dVq $ @ ihT e se un hacker si è rotto in un database, è tutto ciò che può vedere. E funziona solo in un modo. Non puoi decodificarlo indietro.

Sfortunatamente no quella sicuro. È meglio del semplice testo, ma è ancora abbastanza standard per i criminali informatici. La chiave è che una password specifica produce un hash specifico. C'è una buona ragione per questo: ogni volta che accedi con la password IH3artMU0, passa automaticamente tramite tale funzione hash e il sito Web ti consente di accedere a tale hash e a quello nel database del sito incontro.

Significa anche che gli hacker hanno sviluppato tabelle arcobaleno, un elenco di hash, già utilizzati da altri come password, che un sistema sofisticato può rapidamente eseguire come un attacco a forza bruta Quali sono gli attacchi di forza bruta e come puoi proteggerti?Probabilmente hai sentito la frase "attacco di forza bruta". Ma cosa significa quello esattamente? Come funziona? E come puoi proteggerti da ciò? Ecco cosa devi sapere. Leggi di più . Se hai scelto a password incredibilmente male 25 password che devi evitare, usa WhatsApp gratuitamente... [Tech News Digest]Le persone continuano a usare password terribili, WhatsApp è ora completamente gratuito, AOL sta valutando di cambiarne il nome, Valve approva un gioco Half-Life creato dai fan e The Boy With a Camera for a Face. Leggi di più , sarà alto sui tavoli arcobaleno e potrebbe essere facilmente rotto; quelli più oscuri - combinazioni particolarmente estese - richiederanno più tempo.

Ma quanto può essere cattivo? Nel 2012, LinkedIn è stato violato Quello che devi sapere sulla perdita di account di massa di LinkedInUn hacker sta vendendo 117 milioni di credenziali di LinkedIn hackerate sul web Dark per circa $ 2,200 in Bitcoin. Kevin Shabazi, CEO e fondatore di LogMeOnce, ci aiuta a capire esattamente ciò che è a rischio. Leggi di più . Gli indirizzi email e i loro hash corrispondenti sono trapelati. Sono 177,5 milioni di hash che colpiscono 164,6 milioni di utenti. Potresti capire che non è un grosso problema: sono solo un carico di cifre casuali. Abbastanza indecifrabile, vero? Due cracker professionisti hanno deciso di prelevare un campione di 6,4 milioni di hash e vedere cosa potevano fare.

Essi ne ha rotto il 90% tra poco meno di una settimana.

Buono come si ottiene: salatura e hash lenti

Nessun sistema è inespugnabile Miti: consigli sulla sicurezza pericolosi che non dovresti seguireQuando si tratta di sicurezza in Internet, tutti e i loro cugini hanno consigli per offrirti i migliori pacchetti software da installare, i siti pericolosi da evitare, o le migliori pratiche quando si tratta di ... Leggi di più - gli hacker lavoreranno naturalmente per decifrare qualsiasi nuovo sistema di sicurezza, ma implementeranno le tecniche più forti dai siti più sicuri Ogni sito Web sicuro lo fa con la tua passwordVi siete mai chiesti in che modo i siti Web proteggono la vostra password dalle violazioni dei dati? Leggi di più sono hash più intelligenti.

Gli hash salati si basano sulla pratica di un nonce crittografico, un set di dati casuali generato per ogni singola password, in genere molto lungo e molto complesso. Queste cifre aggiuntive vengono aggiunte all'inizio o alla fine di una password (o password e-mail combinazioni) prima che passi attraverso la funzione hash, al fine di combattere i tentativi fatti usando tavoli arcobaleno.

Generalmente non importa se i sali sono archiviati sugli stessi server degli hash; decifrare una serie di password può richiedere molto tempo per gli hacker, reso ancora più difficile se il tuo la password stessa è eccessiva e complicata 6 suggerimenti per la creazione di una password infrangibile che puoi ricordareSe le tue password non sono uniche e infrangibili, potresti anche aprire la porta d'ingresso e invitare i ladri a pranzo. Leggi di più . Ecco perché dovresti sempre utilizzare una password complessa, non importa quanto ti fidi della sicurezza di un sito.

I siti Web che prendono particolarmente sul serio la loro sicurezza, e per estensione la tua, stanno diventando sempre più hash lenti come misura aggiuntiva. Le funzioni hash più note (MD5, SHA-1 e SHA-256) esistono da un po 'di tempo e sono ampiamente utilizzate perché sono relativamente facili da implementare e applicano gli hash molto velocemente.

Tratta la tua password come il tuo spazzolino da denti, modificala regolarmente e non condividerla!

- Anti-Bullying Pro (dall'associazione benefica The Diana Award) (@AntiBullyingPro) 13 agosto 2016

Mentre continuano ad applicare i sali, gli hash lenti sono ancora più efficaci nel combattere eventuali attacchi che dipendono dalla velocità; limitando gli hacker a sostanzialmente meno tentativi al secondo, impiega più tempo a decifrare, rendendo quindi i tentativi meno meritevoli, considerando anche il tasso di successo ridotto. I criminali informatici devono valutare se valga la pena attaccare i sistemi di hash slow che richiedono molto tempo su "soluzioni rapide" comparativamente: le istituzioni mediche hanno generalmente meno sicurezza 5 motivi per cui il furto di identità medica è in aumentoI truffatori vogliono i tuoi dati personali e i dati del conto bancario - ma sapevi che anche le tue cartelle cliniche sono di loro interesse? Scopri cosa puoi fare al riguardo. Leggi di più , ad esempio, così i dati che potrebbero essere ottenuti da lì possono ancora essere venduto per somme sorprendenti Ecco quanto potrebbe valere la tua identità sul Dark WebÈ scomodo pensare a te stesso come una merce, ma tutti i tuoi dati personali, dal nome e indirizzo ai dettagli del conto bancario, valgono qualcosa per i criminali online. quanto vali? Leggi di più .

È anche molto adattivo: se un sistema è particolarmente sollecitato, può rallentare ulteriormente. Coda Hale, Ex Principle Software Developer di Microsoft, confronta MD5 con forse la più notevole funzione di hash slow, bcrypt (altri includono PBKDF-2 e scrypt):

"Invece di decifrare una password ogni 40 secondi [come con MD5], dovrei decifrarli ogni 12 anni circa [quando un sistema utilizza bcrypt]. Le tue password potrebbero non aver bisogno di quel tipo di sicurezza e potresti aver bisogno di un algoritmo di confronto più veloce, ma bcrypt ti consente di scegliere il tuo equilibrio tra velocità e sicurezza. "

E poiché un hash lento può ancora essere implementato in meno di un secondo, gli utenti non dovrebbero essere interessati.

Perchè importa?

Quando utilizziamo un servizio online, stipuliamo un contratto di fiducia. Dovresti essere al sicuro sapendo che le tue informazioni personali vengono mantenute al sicuro.

"Il mio laptop è configurato per scattare una foto dopo tre tentativi di password errati" pic.twitter.com/yBNzPjnMA2

- Gatti nello spazio (@CatsLoveSpace) 16 agosto 2016

Memorizzare la password in modo sicuro La guida completa per semplificare e proteggere la tua vita con LastPass e XmarksSebbene il cloud significhi che puoi accedere facilmente alle tue informazioni importanti ovunque tu sia, significa anche che hai molte password di cui tenere traccia. Ecco perché è stato creato LastPass. Leggi di più è particolarmente importante. Nonostante numerosi avvisi, molti di noi usano lo stesso per siti diversi, quindi se esiste, ad esempio, una violazione di Facebook Facebook è stato violato? Ecco come dirlo (e risolverlo)Ci sono dei passaggi che puoi fare per evitare di essere violato su Facebook e cose che puoi fare nel caso in cui il tuo Facebook venga violato. Leggi di più , i tuoi dati di accesso per qualsiasi altro sito che frequenti utilizzando la stessa password potrebbero anche essere un libro aperto per i criminali informatici.

Hai scoperto delinquenti in testo normale? Di quali siti ti fidi implicitamente? Quale pensi sia il prossimo passo per l'archiviazione sicura delle password?

Crediti immagine: Africa Studio / Shutterstock, password errate di Lulu Hoeller [non più disponibile]; Accedi da Automobile Italia; File di password Linux di Christiaan Colen; e saliera di Karyn Christner.