Web Siteleri Şifrelerinizi Nasıl Korur?

İlan

Şimdi bir tür veri ihlali hakkında bir şey duymadan nadiren bir ay geçiyoruz; güncel olabilir Gmail gibi bir hizmet Gmail Hesabınız 42 Milyon Sızan Kimlik Bilgisi Arasında mı? Daha fazla oku veya çoğumuzun unuttuğu bir şey, MySpace gibi Facebook Tracks Herkes, MySpace Saldırıya uğradı... [Teknoloji Haberleri Özeti]Facebook Web'deki herkesi izliyor, milyonlarca MySpace kimlik bilgisi satılıyor, Amazon Alexa'yı tarayıcınıza getiriyor, No Man's Sky bir gecikme yaşıyor ve Pong Projesi şekilleniyor. Daha fazla oku .

Özel bilgilerimizin nasıl olduğunun farkındalığının artmasında faktör Google tarafından süpürüldü Google'ın Muhtemelen Sizin Hakkında Bildiği Beş Şey Daha fazla oku , sosyal medya (özellikle Facebook Facebook Gizlilik: Sosyal Ağ Hakkında Bildiğiniz 25 ŞeyFacebook bizim hakkımızda şaşırtıcı bir miktar biliyor - gönüllü olarak istediğimiz bilgiler. Bu bilgilerden bir demografiye yerleştirilebilir, "beğenileriniz" kaydedilir ve ilişkiler izlenir. İşte Facebook'un bildiği 25 şey ... Daha fazla oku

), ve hatta kendi akıllı telefonlarımız En Güvenli Mobil İşletim Sistemi Nedir?Most Secure Mobile OS unvanı için mücadele ediyoruz: Android, BlackBerry, Ubuntu, Windows Phone ve iOS. Çevrimiçi saldırılara karşı hangi işletim sistemi kendi başına en iyisidir? Daha fazla oku ve hiç kimse, web sitelerinin bir şeye nasıl baktığı konusunda biraz paranoyak olduğunuz için sizi suçlayamaz. şifreniz kadar önemli Parolalar Hakkında Bilmeniz Gereken Her ŞeyParolalar önemlidir ve çoğu kişi bu kodlar hakkında yeterince bilgi sahibi değildir. Güçlü bir şifre nasıl seçersiniz, her yerde benzersiz bir şifre kullanır ve hepsini hatırlarsınız? Hesaplarınızı nasıl güven altına alıyorsunuz? Nasıl ... Daha fazla oku .

Aslında gönül rahatlığı için bu herkesin bilmesi gereken bir şey…

En Kötü Senaryo: Düz Metin

Şunu düşünün: Büyük bir web sitesi saldırıya uğradı. Siber suçlular, mimarilerindeki bir kusurdan yararlanarak, aldığı herhangi bir temel güvenlik önlemini kırdılar. Siz bir müşterisiniz. Bu site bilgilerinizi sakladı. Neyse ki, şifrenizin güvenli olduğundan emin oldunuz.

Bunun dışında site şifrenizi düz metin olarak saklar.

Her zaman bir bomba oldu. Düz metin parolalar yağmalamayı bekliyor. Okunamaz hale getirmek için algoritma kullanmazlar. Bilgisayar korsanları bu cümleyi okuyormuş gibi okuyabilirler.

Korkunç bir düşünce, değil mi? Pi sayısı 30 basamağa bile olsa, şifrenizin ne kadar karmaşık olduğu önemli değildir: düz metin veritabanı Ek numaralar ve karakterler de dahil olmak üzere açıkça belirtilen herkesin şifrelerinin listesi kullanın. Bilgisayar korsanları olsa bile yok siteyi kırdığınızda, yöneticinin gizli giriş ayrıntılarınızı görebilmesini gerçekten ister misiniz?

# c4news

Hercules veya Titan gibi her zaman iyi ve güçlü bir şifre kullanıyorum ve hiç sorun yaşamadım…

- Rahatsız etme (@emilbordon) 16 Ağustos 2016

Bunun çok nadir bir sorun olduğunu düşünebilirsiniz, ancak e-Ticaret web sitelerinin tahmini% 30'u verilerinizi "korumak" için bu yöntemi kullanıyor - aslında, tüm blog bu suçluları vurgulamaya adanmış! Geçen yıla kadar, NHL bile Adobe gibi büyük bir ihlalden önce şifreleri bu şekilde sakladı.

Şok edici bir şekilde, virüs koruma firması, McAfee ayrıca düz metin kullanır.

Bir sitenin bunu kullanıp kullanmadığını öğrenmenin kolay bir yolu, kaydolduktan hemen sonra, giriş bilgilerinizi listeleyen bir e-posta alırsanız. Çok tehlikeli. Bu durumda, aynı parolayla herhangi bir siteyi değiştirmek ve güvenliklerinin endişe verici olduğunu bildirmek için şirketle iletişime geçebilirsiniz.

Bu, onları düz metin olarak sakladıkları anlamına gelmez, ancak iyi bir göstergedir ve gerçekten de bu tür şeyleri e-postalarda göndermemeleri gerekir. Tartışabilirler güvenlik duvarları var vd. siber suçlulara karşı korunmak, ancak onlara hiçbir sistemin kusursuz olmadığını ve önlerinde müşterilerini kaybetme olasılığını salladığını hatırlatmak.

Yakında fikrini değiştirecekler. İnşallah…

Göründüğü Kadar İyi Değil: Şifreleme

Peki bu siteler ne yapıyor?

Birçoğu şifrelemeye dönecek. Hepimiz duyduk: Bilgilerinizi karıştırmanın, okunamaz hale getirmenin görünüşte geçirimsiz bir yolu biri sizin tarafınızdan tutulan (giriş bilgileriniz) diğeri söz konusu şirket tarafından yapılan iki anahtar olana kadar sundu. Harika bir fikir, hatta akıllı telefonunuza uygulayın Akıllı Telefon Verilerinizi Şifrelemeniz İçin 7 NedenCihazınızı şifreliyor musunuz? Tüm büyük akıllı telefon işletim sistemleri cihaz şifrelemesi sunar, ancak kullanmalısınız mı? Akıllı telefon şifrelemesinin değerli olmasının nedeni budur ve akıllı telefonunuzu kullanma şeklinizi etkilemez. Daha fazla oku ve diğer cihazlar.

İnternet şifreleme ile çalışır: URL'deki HTTPS'ye bakın Her Yerde HTTPS: Mümkün Olduğunda HTTP Yerine HTTPS Kullanın Daha fazla oku , bu, bulunduğunuz sitenin Güvenli Yuva Katmanı (SSL) SSL Sertifikası Nedir ve Sertifikaya İhtiyacınız Var mı?Kişisel bilgiler söz konusu olduğunda internette gezinmek korkutucu olabilir. Daha fazla oku veya Aktarım Katmanı Güvenliği (TLS) Protokolleri bağlantıları doğrulayın ve verileri karıştırın Web'de Tarama Nasıl Daha Güvenli OluyorGüvenlik ve gizliliğimiz için teşekkür edecek SSL sertifikalarımız var. Ancak son ihlaller ve kusurlar kriptografik protokole olan güveninizi azaltmış olabilir. Neyse ki, SSL adapte oluyor, yükseltiliyor - işte böyle. Daha fazla oku .

Fakat duymuş olabileceğinize rağmen Şifreleme Hakkında Bu 5 Efsaneye İnanmayın!Şifreleme kulağa karmaşık geliyor, ancak çoğu kişinin düşündüğünden çok daha basit. Yine de, şifreleme kullanmak için karanlıkta biraz fazla hissedebilirsiniz, bu yüzden bazı şifreleme efsanelerini patlatalım! Daha fazla oku şifreleme mükemmel değildir.

Whaddya şifrem backspaces içeremez demek ???

- Derek Klein (@rogue_analyst) 11 Ağustos 2016

Güvenli olmalı, ancak yalnızca anahtarların saklandığı yerde güvenlidir. Bir web sitesi kendi anahtarınızı kullanarak anahtarınızı (yani parolayı) koruyorsa, bir hacker ilkini bulmak ve şifresini çözmek için ikincisini ortaya çıkarabilir. Bir hırsızın şifrenizi bulmak için nispeten az çaba sarf etmesi gerekir; bu yüzden önemli veritabanları büyük bir hedeftir.

Temel olarak, anahtarları sizinkiyle aynı sunucuda depolanmışsa, şifreniz düz metin olarak da olabilir. Bu nedenle yukarıda belirtilen PlainTextOffenders sitesi, tersine çevrilebilir şifreleme kullanan hizmetleri de listeler.

Şaşırtıcı derecede Basit (ancak Her Zaman Etkili Değil): Hashing

Şimdi bir yere gidiyoruz. Karma şifreler saçma jargon gibi geliyor Tech Jargon: Son zamanlarda Sözlüğe Eklenen 10 Yeni Kelimeyi Öğrenin [Tuhaf & Harika Web]Teknoloji birçok yeni kelimenin kaynağıdır. Eğer bir inek ve bir kelime aşığı iseniz, Oxford İngilizce Sözlük online sürümüne eklenen bu on seveceksiniz. Daha fazla oku ancak bu yalnızca daha güvenli bir şifreleme biçimidir.

Bir site, şifrenizi düz metin olarak saklamak yerine, karma işlevi, MD5 gibi Tüm Bu MD5 Hash Şeyler Aslında Ne Demektir [Teknoloji Açıklaması]İşte MD5, karma ve bilgisayar ve kriptografiye küçük bir genel bakış. Daha fazla oku , Tamamen farklı bir basamak kümesine dönüştüren Güvenli Karma Algoritma (SHA) -1 veya SHA-256; bunlar sayılar, harfler veya başka karakterler olabilir. Parolanız IH3artMU0 olabilir. Bu 7dVq $ @ ihT'ye dönüşebilir ve bir bilgisayar korsanı bir veritabanına girdiğinde görebildikleri tek şey budur. Ve sadece tek bir yolla çalışır. Geri deşifre edemezsiniz.

Maalesef değil o güvenli. Düz metinden daha iyidir, ancak siber suçlular için hala oldukça standarttır. Anahtar, belirli bir parolanın belirli bir karma üretmesidir. Bunun iyi bir nedeni var: IH3artMU0 şifresiyle her giriş yaptığınızda, otomatik olarak geçer bu karma işlevi aracılığıyla ve web sitesi, bu karma ve sitenin veritabanındaki karma ile erişmenize izin verir. eşleşme.

Ayrıca, bilgisayar korsanlarının, başkaları tarafından zaten parola olarak kullanılan gökkuşağı tabloları, karma bir liste geliştirdiği anlamına gelir. kaba kuvvet saldırısı Kaba Kuvvet Saldırıları Nedir ve Kendinizi Nasıl Koruyabilirsiniz?Muhtemelen "kaba kuvvet saldırısı" ifadesini duymuşsunuzdur. Ama bu tam olarak ne anlama geliyor? O nasıl çalışır? Ve kendinizi buna karşı nasıl koruyabilirsiniz? İşte bilmeniz gerekenler. Daha fazla oku . Bir şok edici kötü şifre Kaçınılması Gereken 25 Parola, WhatsApp'ı Ücretsiz Kullanın... [Teknoloji Haberleri Özeti]İnsanlar korkunç şifreler kullanmaya devam ediyor, WhatsApp artık tamamen ücretsiz, AOL adını değiştirmeyi düşünüyor, Valve fan yapımı bir Half-Life oyununu onaylıyor ve Yüz İçin Bir Kamera ile Çocuk. Daha fazla oku , gökkuşağı masalarında yüksek olacak ve kolayca kırılabilecek; daha belirsiz olanlar - özellikle kapsamlı kombinasyonlar - daha uzun sürer.

Ne kadar kötü olabilir ki? 2012 yılında, LinkedIn saldırıya uğradı Büyük LinkedIn Hesapları Sızıntısı Hakkında Bilmeniz GerekenlerBir hacker, Bitcoin'de yaklaşık 2.200 dolar karşılığında Dark web'de 117 milyon saldırıya uğramış LinkedIn kimlik bilgisi satıyor. LogMeOnce CEO'su ve kurucusu Kevin Shabazi, tam olarak neyin risk altında olduğunu anlamamıza yardımcı oluyor. Daha fazla oku . E-posta adresleri ve karşılık gelen karma değerleri sızdırıldı. Bu 164,6 milyon kullanıcıyı etkileyen 177,5 milyon karma. Bunun çok fazla bir endişe olmadığını anlayabilirsiniz: bunlar sadece rastgele rakamlar yüküdür. Oldukça anlaşılmaz, değil mi? İki profesyonel kraker 6.4 milyon hash örneği alıp neler yapabileceklerini görmeye karar verdi.

Onlar % 90'ını kırdı bir haftanın hemen altında.

Olabildiğince İyi: Tuzlama ve Yavaş Karmalar

Hiçbir sistem emprenye edilemez Efsaneler: İzlememeniz Gereken Tehlikeli Güvenlik Tavsiyeleriİnternet güvenliği söz konusu olduğunda, herkes ve kuzenleri size kurulacak en iyi yazılım paketleri, uzak durmak için tehlikeli siteler veya söz konusu olduğunda en iyi uygulamalar hakkında tavsiyelerde bulunurlar ... Daha fazla oku - bilgisayar korsanları doğal olarak yeni güvenlik sistemlerini kırmak için çalışacak - ancak uygulanan daha güçlü teknikler en güvenli sitelerden Her Güvenli Web Sitesi Bunu Şifrenizle YaparWeb sitelerinin şifrenizi veri ihlallerinden nasıl koruduğunu hiç merak ettiniz mi? Daha fazla oku daha akıllı karmalar.

Tuzlanmış karmalar, her bir şifre için üretilen rasgele bir veri seti olan, genellikle çok uzun ve çok karmaşık olan bir kriptografik nonce uygulamasına dayanır. Bu ek rakamlar bir şifrenin (veya e-posta şifresinin başına veya sonuna) eklenir kombinasyonları) hash işlevinden geçmeden önce, kullanarak yapılan girişimlerle mücadele etmek için gökkuşağı tabloları.

Tuzların karmalarla aynı sunucularda depolanması genellikle önemli değildir; bir dizi şifreyi kırmak, bilgisayar korsanları için çok zaman alıcı olabilir. şifrenin kendisi aşırı ve karmaşık Hatırlayabileceğiniz Kırılmaz Bir Şifre Oluşturmak İçin 6 İpucuŞifreleriniz benzersiz ve kırılmaz değilse, ön kapıyı açıp soyguncuları öğle yemeğine davet edebilirsiniz. Daha fazla oku . Bu nedenle, bir sitenin güvenliğine ne kadar güvendiğiniz önemli değil, her zaman güçlü bir şifre kullanmalısınız.

Güvenliğini özellikle de ciddiye alan web siteleri, ek bir önlem olarak giderek daha yavaş karmalara dönüşüyor. En iyi bilinen karma işlevler (MD5, SHA-1 ve SHA-256) bir süredir kullanılmaktadır ve yaygın olarak kullanılmaktadır, çünkü bunların uygulanması nispeten kolaydır ve karmaları çok hızlı uygularlar.

Parolanızı diş fırçanız gibi kullanın, düzenli olarak değiştirin ve paylaşmayın!

- Zorbalığa Karşı Pro (hayırseverlik Diana Ödülü'nden) (@AntiBullyingPro) 13 Ağustos 2016

Hâlâ tuz uygularken, yavaş karmalar hıza dayanan saldırılarla mücadelede daha da iyidir; bilgisayar korsanlarını saniyede önemli ölçüde daha az denemeyle sınırlandırarak, çatlamaları daha uzun sürer, böylece düşük başarı oranını da göz önünde bulundurarak daha az denemeye değer olur. Siber suçlular, nispeten “hızlı düzeltmeler” yerine zaman alan yavaş karma sistemlere saldırmaya değip değmeyeceğini tartmak zorundadır: tıbbi kurumlar genellikle daha az güvenliğe sahiptir Tıbbi Kimlik Hırsızlığının Artırılmasının 5 NedeniDolandırıcılar kişisel bilgilerinizi ve banka hesap bilgilerinizi ister - ancak tıbbi kayıtlarınızın da onları ilgilendirdiğini biliyor muydunuz? Bununla ilgili neler yapabileceğinizi öğrenin. Daha fazla oku örneğin, oradan elde edilebilecek veriler hala şaşırtıcı meblağlar için satılıyor Karanlık Web'de Kimliğinizin Değeri OlabilirKendinizi bir meta olarak düşünmek rahatsızlık vericidir, ancak ad ve adresten banka hesabı detaylarına kadar tüm kişisel bilgileriniz çevrimiçi suçlulara değecektir. Ne kadar değersin? Daha fazla oku .

Aynı zamanda çok uyarlanabilir: bir sistem belirli bir zorlanma altındaysa, daha da yavaşlayabilir. Coda HaleMicrosoft’un eski İlke Yazılım Geliştirici, MD5'i belki de en dikkat çekici yavaş karma işleviyle karşılaştırır, bcrypt (diğerleri PBKDF-2 ve scrypt'i içerir):

“Her 40 saniyede bir [MD5'te olduğu gibi] bir şifre kırmak yerine, her 12 yılda bir [bir sistem bcrypt kullandığında] bu şifreleri kırıyorum. Şifreleriniz bu tür bir güvenliğe ihtiyaç duymayabilir ve daha hızlı bir karşılaştırma algoritmasına ihtiyacınız olabilir, ancak bcrypt hız ve güvenlik dengenizi seçmenize izin verir. ”

Yavaş bir karma hala bir saniyeden daha kısa sürede uygulanabileceğinden, kullanıcılar etkilenmemelidir.

Neden fark eder?

Çevrimiçi bir hizmet kullandığımızda bir güven sözleşmesi yaparız. Kişisel bilgilerinizin güvende olduğundan emin olmalısınız.

"Dizüstü bilgisayarım üç yanlış şifre denemesinden sonra fotoğraf çekecek şekilde ayarlandı" pic.twitter.com/yBNzPjnMA2

- Uzaydaki Kediler (@CatsLoveSpace) 16 Ağustos 2016

Şifrenizi güvenli bir şekilde saklama LastPass ve Xmarks ile Hayatınızı Kolaylaştırma ve Güvenceye Alma RehberiBulut, nerede olursanız olun önemli bilgilerinize kolayca erişebileceğiniz anlamına gelirken, takip etmeniz gereken birçok şifrenizin olduğu anlamına gelir. Bu yüzden LastPass yaratıldı. Daha fazla oku özellikle önemlidir. Çok sayıda uyarıya rağmen, çoğumuz aynı siteyi farklı siteler için kullanıyoruz, bu nedenle, örneğin, bir Facebook ihlali Facebook Saldırıya Uğradı mı? Nasıl Anlaşılır (ve Düzeltilir)Facebook'ta saldırıya uğramasını önlemek için atabileceğiniz adımlar ve Facebook'un saldırıya uğraması durumunda yapabileceğiniz şeyler vardır. Daha fazla oku , aynı şifreyi kullanarak sık kullandığınız diğer siteler için giriş bilgileriniz de siber suçlular için açık bir kitap olabilir.

Hiç Düz Metin Suçlu buldunuz mu? Hangi sitelere dolaylı olarak güveniyorsunuz? Güvenli şifre saklama için bir sonraki adımın ne olduğunu düşünüyorsunuz?

Görüntü Kredileri: Africa Studio / Shutterstock, Lulu Hoeller'ın Yanlış Şifreleri [Artık Kalmadı]; Otomobil Italia tarafından giriş; Christiaan Colen tarafından sunulan Linux şifre dosyaları; ve tuzluk Karyn Christner tarafından.