In che modo i siti web proteggono le tue password?
Ora raramente passiamo un mese senza aver sentito di una sorta di violazione dei dati; potrebbe essere un servizio aggiornato come Gmail è il tuo account Gmail tra 42 milioni di credenziali trapelate? Il tuo account Gmail include 42 milioni di credenziali trapelate? Leggi di più o qualcosa che molti di noi hanno dimenticato, come MySpace Facebook Tracks Everybody, MySpace Got Hacked ... [Tech News Digest] Facebook Tracks Everybody, MySpace Got Hacked ... [Tech News Digest] Facebook sta monitorando tutti gli utenti del Web, milioni di MySpace le credenziali sono in vendita, Amazon porta Alexa al tuo browser, No Man's Sky subisce un ritardo e Pong Project prende forma. Leggi di più .
Fattore nella nostra crescente consapevolezza dei modi in cui le informazioni private vengono riassorbite da Google Five Things Google Probabilmente sa su di te Cinque cose che Google probabilmente sa su di te Leggi di più, social media (in particolare Facebook Facebook Privacy: 25 cose Il social network sa di te Facebook Privacy: 25 cose Il social network sa di te Facebook conosce una quantità sorprendente di noi: informazioni che volontariamente volontariamente, da quelle informazioni puoi essere inserito in un demografico, i tuoi "mi piace" registrati e le relazioni monitorate. ... Leggi altro) e persino i nostri smartphone Qual è il sistema operativo mobile più sicuro? Qual è il sistema operativo mobile più sicuro? In lotta per il titolo di più sicuro sistema operativo mobile, abbiamo: Android, BlackBerry, Ubuntu, Windows Phone e iOS. Quale sistema operativo è il migliore per difendersi dagli attacchi online? Leggi di più, e nessuno può biasimarti per essere un po 'paranoico su come i siti web curano qualcosa di importante come la tua password Tutto quello che c'è da sapere sulle password Tutto quello che c'è da sapere sulle password Le password sono importanti e molte persone non ne sanno abbastanza loro. Come scegli una password sicura, usa una password unica in tutto il mondo e le ricordi tutte? Come proteggete i vostri account? Come ... Per saperne di più .
In effetti, per la pace della mente, questo è qualcosa che tutti hanno bisogno di sapere ...
The Worst Case Scenario: Plain Text
Considera questo: un sito Web importante è stato violato. I criminali informatici hanno superato qualsiasi misura di sicurezza di base, forse sfruttando un difetto nella loro architettura. Sei un cliente. Quel sito ha memorizzato i tuoi dettagli. Per fortuna, ti è stato assicurato che la tua password è sicura.
Tranne che il sito memorizza la tua password come testo normale.
Era sempre una bomba a orologeria. Le password in puro testo aspettano solo di essere saccheggiate. Non usano algoritmi per renderli illeggibili. Gli hacker possono leggerlo semplicemente come stai leggendo questa frase.
È un pensiero spaventoso, non è vero? Non importa quanto sia complessa la tua password, anche se è composta da un massimo di 30 cifre: un database di testo semplice è un elenco delle password di tutti, chiaramente enunciato, compresi eventuali numeri e caratteri aggiuntivi che usi. Anche se gli hacker non crack il sito, vorresti davvero che l'amministratore fosse in grado di vedere i tuoi dettagli di accesso riservati?
# c4news
Uso sempre una password buona e forte, come Hercules o Titan e non ho mai avuto problemi ...
- Non disturbare (@emilbordon) il 16 agosto 2016
Si potrebbe pensare che questo sia un problema molto raro, ma si stima che il 30% dei siti di e-commerce utilizzi questo metodo “sicuro” i tuoi dati - infatti, c'è un intero blog dedicato a evidenziare questi criminali! Fino all'anno scorso, anche la NHL memorizzava le password in questo modo, così come Adobe prima di una grave violazione.
Incredibilmente, la società di protezione antivirus, McAfee utilizza anche testo normale.
Un modo semplice per scoprire se un sito utilizza questo è se, appena dopo la registrazione, ricevi una email da loro che elenca i tuoi dati di accesso. Molto dubbia. In tal caso, potresti voler cambiare qualsiasi sito con quella stessa password e contattare la società per avvisare che la loro sicurezza è preoccupante.
Non significa necessariamente che li archiviano come testo normale, ma è un buon indicatore - e in realtà non dovrebbero inviare questo tipo di email nelle email. Potrebbero obiettare che hanno dei firewall et al. per proteggersi dai cybercriminali, ma ricorda loro che nessun sistema è impeccabile e penzolano la prospettiva di perdere i clienti di fronte a loro.
Cambieranno presto idea. Fiduciosamente…
Non buono come sembra: crittografia
Quindi, cosa fanno questi siti?
Molti si trasformeranno in crittografia. Ne abbiamo tutti sentito parlare: un modo apparentemente impervio di confondere le informazioni, rendendole illeggibili finché non vengono presentate due chiavi, una tenuta da te (i tuoi dati di accesso) e l'altra dall'azienda in questione. È una buona idea, una che dovresti implementare anche sul tuo smartphone 7 Motivi per cui dovresti crittografare i tuoi dati dello smartphone 7 Motivi per cui dovresti crittografare i tuoi dati dello smartphone Crittografi il tuo dispositivo? Tutti i principali sistemi operativi per smartphone offrono la crittografia del dispositivo, ma dovresti usarlo? Ecco perché la crittografia dello smartphone è utile e non influirà sul modo in cui utilizzi lo smartphone. Ulteriori informazioni e altri dispositivi.
Internet funziona con la crittografia: quando vedi HTTPS nell'URL HTTPS ovunque: usa HTTPS anziché HTTP quando possibile HTTPS ovunque: usa HTTPS anziché HTTP quando possibile Leggi di più, significa che il sito su cui stai sta utilizzando i Secure Sockets Layer (SSL) Cos'è un certificato SSL e ne hai bisogno? Cos'è un certificato SSL e ne hai bisogno? Navigare su Internet può essere spaventoso quando sono coinvolte informazioni personali. Ulteriori informazioni o protocolli Transport Layer Security (TLS) per verificare le connessioni e intasare i dati Come la navigazione Web sta diventando ancora più sicura Come la navigazione Web sta diventando ancora più sicura Abbiamo certificati SSL da ringraziare per la nostra sicurezza e privacy. Ma recenti violazioni e difetti potrebbero aver inficiato la fiducia nel protocollo crittografico. Fortunatamente, l'SSL si sta adattando, essendo aggiornato - ecco come. Leggi di più .
Ma nonostante quello che potresti aver sentito, non credere a questi 5 miti sulla crittografia! Non credere a questi 5 miti sulla crittografia! La crittografia sembra complessa, ma è molto più semplice di quanto la maggior parte pensi. Ciononostante, potresti sentirti un po 'troppo buio per fare uso della crittografia, quindi rompi i miti della crittografia! Per saperne di più, la crittografia non è perfetta.
Whaddya significa che la mia password non può contenere backspaces ???
- Derek Klein (@rogue_analyst), 11 agosto 2016
Dovrebbe essere sicuro, ma è solo sicuro come dove sono memorizzate le chiavi. Se un sito Web protegge la tua chiave (cioè la password) utilizzando il proprio, un hacker potrebbe esporre quest'ultimo per trovare il primo e decrittografarlo. Richiederebbe relativamente poco sforzo da un ladro per trovare la tua password; ecco perché i database chiave sono un obiettivo enorme.
Fondamentalmente, se la loro chiave è memorizzata sullo stesso server della tua, la tua password potrebbe essere anche in testo normale. Ecco perché il già citato sito PlainTextOffenders elenca anche i servizi che utilizzano la crittografia reversibile.
Sorprendentemente semplice (ma non sempre efficace): Hashing
Ora stiamo arrivando da qualche parte. Le password di hashing suonano come un gergo senza senso Tech Jargon: Scopri 10 nuove parole aggiunte di recente al dizionario [Weird & Wonderful Web] Tech Jargon: scopri 10 nuove parole aggiunte di recente al dizionario [Weird & Wonderful Web] La tecnologia è la fonte di molte nuove parole . Se sei un appassionato di geek e una parola, amerai questi dieci che sono stati aggiunti alla versione online dell'Oxford English Dictionary. Leggi altro, ma è semplicemente una forma più sicura di crittografia.
Invece di memorizzare la tua password come testo normale, un sito lo esegue tramite una funzione di hash, come MD5 Cosa tutta questa roba di hash MD5 significa in realtà [Tecnologia spiegata] Cosa significa tutto questo MD5 Hash Stuff significa [Spiegazione della tecnologia] Ecco una serie completa di MD5, hashing e una piccola panoramica di computer e crittografia. Ulteriori informazioni, Secure Hashing Algorithm (SHA) -1, o SHA-256, che lo trasforma in un insieme di cifre completamente diverso; questi possono essere numeri, lettere o altri caratteri. La tua password potrebbe essere IH3artMU0. Ciò potrebbe trasformarsi in 7dVq $ @ ihT, e se un hacker ha fatto irruzione in un database, è tutto ciò che possono vedere. E funziona solo in un modo. Non puoi decodificarlo.
Sfortunatamente, non lo è quello sicuro. È meglio del semplice testo, ma è ancora abbastanza standard per i criminali informatici. La chiave è che una password specifica produce un hash specifico. C'è una buona ragione per questo: ogni volta che accedi con la password IH3artMU0, passa automaticamente attraverso quella funzione di hash e il sito web ti permette di accedere se quell'hash e quello nel database del sito corrispondono.
Significa anche che gli hacker hanno sviluppato delle tavole arcobaleno, una lista di hash, già usate da altri come password, che un sistema sofisticato può rapidamente attraversare come un attacco di forza bruta. Quali sono gli attacchi di forza bruta e come puoi proteggerti? Quali sono gli attacchi di forza bruta e come puoi proteggerti? Probabilmente hai sentito la frase "attacco di forza bruta". Ma cosa significa quello esattamente? Come funziona? E come puoi proteggerti contro di esso? Ecco cosa devi sapere. Leggi di più . Se hai scelto una password terribilmente pessima, 25 password che devi evitare, usa WhatsApp gratuitamente ... [Tech News Digest] 25 password che devi evitare, usa WhatsApp gratis ... [Tech News Digest] Le persone continuano a utilizzare password terribili, WhatsApp ora è completamente gratuito, AOL sta considerando di cambiare nome, Valve approva un gioco Half-Life fan-made e Il ragazzo con una macchina fotografica per un volto. Per saperne di più, sarà in alto sulle tavole arcobaleno e potrebbe essere facilmente incrinato; quelli più oscuri - combinazioni particolarmente estese - impiegheranno più tempo.
Ma quanto può essere cattivo? Nel 2012, LinkedIn è stato violato Cosa devi sapere sui grandi account di LinkedIn Perdita Cosa c'è da sapere sui grandi account di LinkedIn Perdita Un hacker sta vendendo 117 milioni di credenziali di LinkedIn hackerate sul Web Dark per circa $ 2.200 in Bitcoin. Kevin Shabazi, CEO e fondatore di LogMeOnce, ci aiuta a capire cosa è a rischio. Leggi di più . Gli indirizzi e-mail e i loro hash corrispondenti erano trapelati. Sono 177,5 milioni di hash, che colpiscono 164,6 milioni di utenti. Potresti pensare che non sia un problema: sono solo un carico di cifre casuali. Abbastanza indecifrabile, giusto? Due cracker professionisti hanno deciso di prelevare un campione di 6,4 milioni di hash e vedere cosa potevano fare.
Hanno rotto il 90% di loro in poco meno di una settimana.
Buono come si ottiene: salatura e Hash lenti
Nessun sistema è inespugnabile Mythbusters: Consigli di sicurezza pericolosi che non dovresti seguire Mythbusters: Consigli di sicurezza pericolosi che non dovresti seguire Quando si parla di sicurezza di Internet, tutti e il loro cugino hanno consigli per offrirti i migliori pacchetti software da installare, siti ingannevoli per stare alla larga, o le migliori pratiche quando si tratta di ... Per saperne di più - gli hacker lavoreranno naturalmente per violare qualsiasi nuovo sistema di sicurezza - ma le tecniche più potenti implementate dai siti più sicuri Ogni sito Web sicuro fa questo con la tua password Ogni sito sicuro fa questo Con la tua password Vi siete mai chiesti in che modo i siti Web proteggono la vostra password da violazioni dei dati? Leggi di più sono hash più intelligenti.
Gli hash salati si basano sulla pratica di un nonce crittografico, un set di dati casuali generato per ogni singola password, in genere molto lungo e molto complesso. Queste cifre aggiuntive vengono aggiunte all'inizio o alla fine di una password (o combinazioni di password e-mail) prima di passare attraverso la funzione hash, al fine di contrastare i tentativi effettuati utilizzando le tabelle arcobaleno.
Generalmente non importa se i sali sono memorizzati sugli stessi server degli hash; cracking di una serie di password può essere estremamente dispendioso in termini di tempo per gli hacker, reso ancora più difficile se la password stessa è eccessiva e complicata 6 Suggerimenti per la creazione di una password infrangibile che è possibile ricordare 6 Suggerimenti per la creazione di una password infrangibile che è possibile ricordare Se le password sono non unico e indistruttibile, tanto vale aprire la porta principale e invitare i ladri a pranzo. Leggi di più . Questo è il motivo per cui dovresti sempre usare una password complessa, indipendentemente da quanto ti fidi della sicurezza di un sito.
I siti web che prendono particolarmente sul serio, e per estensione, la sicurezza si stanno rivolgendo sempre più agli hash lenti come misura aggiuntiva. Le funzioni di hash più conosciute (MD5, SHA-1 e SHA-256) esistono da un po 'di tempo e sono ampiamente utilizzate perché sono relativamente facili da implementare e applicano gli hash molto velocemente.
Tratta la tua password come lo spazzolino, cambialo regolarmente e non condividerlo!
- Anti-Bullying Pro (dalla carità The Diana Award) (@AntiBullyingPro) 13 agosto 2016
Mentre si stanno ancora applicando i sali, gli hash lenti sono ancora migliori nel combattere gli attacchi che si basano sulla velocità; limitando gli hacker a un numero sostanzialmente inferiore di tentativi al secondo, impiega più tempo a decifrare, rendendo quindi meno proficui i tentativi, considerando anche il tasso di successo ridotto. I criminali informatici devono valutare se valga la pena di attaccare i sistemi hash lenti che consumano tempo rispetto a quelli comparati “Soluzioni veloci”: le istituzioni mediche in genere hanno meno sicurezza 5 Motivi per i quali il furto di identità medica è in aumento 5 motivi per cui il furto di identità medica sta aumentando I truffatori vogliono i tuoi dati personali e le informazioni del conto bancario - ma lo sapevi che anche le cartelle cliniche sono di loro interesse? Scopri cosa puoi fare al riguardo. Per saperne di più, ad esempio, così i dati che si possono ottenere da lì possono ancora essere venduti per somme sorprendenti Ecco quanto potrebbe valere la tua identità sul Web oscuro Ecco quanto potrebbe valere la tua identità sul Web oscuro È scomodo pensare di te stesso come merce, ma tutti i tuoi dettagli personali, dal nome e indirizzo ai dettagli del conto bancario, valgono qualcosa per i criminali online. quanto vali? Leggi di più .
È anche molto adattivo: se un sistema è sottoposto a una tensione particolare, può rallentare ulteriormente. Coda Hale, ex Principle Software Developer di Microsoft, confronta MD5 con forse la più lenta funzione hash lento, bcrypt (altri includono PBKDF-2 e scrypt):
“Invece di scomporre una password ogni 40 secondi [come con MD5], li crackò ogni 12 anni circa [quando un sistema utilizza bcrypt]. Le tue password potrebbero non aver bisogno di quel tipo di sicurezza e potresti aver bisogno di un algoritmo di confronto più veloce, ma bcrypt ti consente di scegliere il tuo equilibrio di velocità e sicurezza.”
E poiché un hash lento può ancora essere implementato in meno di un secondo, gli utenti non dovrebbero essere interessati.
Perchè importa?
Quando usiamo un servizio online, stipuliamo un contratto di fiducia. Dovresti essere sicuro sapendo che le tue informazioni personali vengono mantenute sicure.
"Il mio laptop è impostato per scattare una foto dopo tre tentativi di password errati" pic.twitter.com/yBNzPjnMA2
- Cats in space (@CatsLoveSpace), 16 agosto 2016
Archiviazione sicura della password La guida completa per semplificare e proteggere la tua vita con LastPass e Xmarks La guida completa per semplificare e proteggere la tua vita con LastPass e Xmarks Mentre il cloud ti consente di accedere facilmente alle tue informazioni importanti ovunque ti trovi, significa anche che avere un sacco di password per tenere traccia di. Ecco perché è stato creato LastPass. Leggi di più è particolarmente importante. Nonostante numerosi avvertimenti, molti di noi usano lo stesso per siti diversi, quindi se c'è, ad esempio, una violazione di Facebook, il tuo Facebook è stato hackerato? Ecco come sapere (e risolverlo) il tuo Facebook è stato hackerato? Ecco come fare (e risolverlo) Ci sono dei passi da fare per evitare di essere hackerati su Facebook e cose che puoi fare nel caso in cui Facebook venga hackerato. Per saperne di più, i dettagli di accesso per qualsiasi altro sito che frequenti utilizzando la stessa password potrebbero essere anche un libro aperto per i criminali informatici.
Hai scoperto criminali con testo normale? Di quali siti ti fidi implicitamente? Quale pensi sia il prossimo passo per l'archiviazione sicura delle password?
Crediti immagine: Africa Studio / Shutterstock, password errate di Lulu Hoeller; Login di Automobile Italia; File di password di Linux di Christiaan Colen; e saliera di Karyn Christner.
Scopri di più su: crittografia, privacy online, sicurezza online.