Hur håller webbplatser dina lösenord säkra?

Annons

Vi går nu sällan en månad utan att höra om något slags dataöverträdelse; det kan vara ett aktuellt tjänst som Gmail Är ditt Gmail-konto bland 42 miljoner läckta referenser? Läs mer eller något de flesta av oss har glömt bort, som MySpace Facebook spårar alla, MySpace fick hackad... [Tech News Digest]Facebook spårar alla på nätet, miljontals MySpace-referenser finns till salu, Amazon tar Alexa till din webbläsare, No Man's Sky lider en försening och Pong Project tar form. Läs mer .

Faktor i vår ökande medvetenhet om hur vår privata information är dammsugas upp av Google Fem saker som Google förmodligen vet om dig Läs mer , sociala media (särskilt Facebook Facebook Sekretess: 25 saker som det sociala nätverket vet om digFacebook vet en överraskande mängd om oss - information som vi frivilligt vill. Från den informationen kan du delas in i en demografisk, dina "gilla" inspelade och relationer övervakas. Här är 25 saker som Facebook vet om ... Läs mer ), och även våra helt egna smartphones

Vad är det säkraste mobila operativsystemet?Vi kämpar om titeln Most Secure Mobile OS, vi har: Android, BlackBerry, Ubuntu, Windows Phone och iOS. Vilket operativsystem är bäst på att hålla sitt eget mot onlineattacker? Läs mer , och ingen kan skylla på dig för att du är lite paranoid på hur webbplatser ser efter något som viktigt som ditt lösenord Allt du behöver veta om lösenordLösenord är viktiga och de flesta vet inte tillräckligt med dem. Hur väljer du ett starkt lösenord, använder ett unikt lösenord överallt och kommer ihåg dem alla? Hur säkrar du dina konton? Hur gör... Läs mer .

För sinnesfrid är det faktiskt något som alla behöver veta ...

Det värsta fallet: vanlig text

Tänk på detta: En viktig webbplats har hackats. Cyberbrottslingar har genomgått alla grundläggande säkerhetsåtgärder som den vidtar, kanske utnyttjar en brist i deras arkitektur. Du är en kund. Denna webbplats har lagrat dina uppgifter. Tack och lov har du försäkrat dig om att ditt lösenord är säkert.

Förutom att webbplatsen lagrar ditt lösenord som vanlig text.

Det var alltid en tickande bomb. Vanliga textlösenord väntar bara på att bli plundrade. De använder ingen algoritm för att göra dem oläsliga. Hackare kan läsa den så enkelt som du läser den här meningen.

Det är en skrämmande tanke, eller hur? Det spelar ingen roll hur komplicerat ditt lösenord är, även om det är pi till 30 siffror: en vanlig textdatabas är en lista över allas lösenord, tydligt stavade, inklusive alla ytterligare nummer och tecken du har använda sig av. Även om hackare inte knäcka webbplatsen, skulle du verkligen vilja att admin ska kunna se dina konfidentiella inloggningsuppgifter?

# c4news

Jag använder alltid ett bra, starkt lösenord, som Hercules eller Titan och jag har aldrig haft några problem ...

- Bry dig inte (@emilbordon) 16 augusti 2016

Du kanske tror att detta är ett mycket sällsynt problem, men uppskattningsvis 30% av e-handelswebbplatser använder den här metoden för att "säkra" dina data - det finns faktiskt en hela bloggen tillägnad att lyfta fram dessa gärningsmän! Fram till förra året lagrade även NHL lösenord på detta sätt, liksom Adobe innan ett stort intrång.

Chockerande, virusskyddsfirma, McAfee använder också vanlig text.

Ett enkelt sätt att ta reda på om en webbplats använder detta är om du, precis efter att du registrerar dig, får ett e-postmeddelande från dem med dina inloggningsuppgifter. Mycket dodgy. I så fall kanske du vill byta platser med samma lösenord och kontakta företaget för att varna dem om att deras säkerhet är oroande.

Det betyder inte nödvändigtvis att de lagrar dem som vanlig text, men det är en bra indikator - och de borde verkligen inte skicka den typen av saker i e-post ändå. De kan argumentera för det de har brandväggar et al. för att skydda mot cyberbrottslingar, men påminn dem om att inget system är felfritt och dinglar möjligheterna att förlora kunder framför dem.

De kommer snart att ändra sig. Förhoppningsvis…

Inte lika bra som det låter: Kryptering

Så vad gör dessa webbplatser?

Många kommer att vända sig till kryptering. Vi har alla hört talas om det: ett till synes ogenomträngligt sätt att krypa in din information och göra den oläslig tills två nycklar - en av dig (det är dina inloggningsuppgifter) och den andra av det aktuella företaget är presenteras. Det är en bra idé, en som du borde till och med implementera på din smartphone 7 skäl till varför du ska kryptera dina smarttelefondataKrypterar du din enhet? Alla större operativsystem för smarttelefoner erbjuder enhetskryptering, men bör du använda den? Här är varför smarttelefonkryptering är värdefull och kommer inte att påverka hur du använder din smartphone. Läs mer och andra enheter.

Internet körs med kryptering: när du se HTTPS i URL: n HTTPS överallt: Använd HTTPS istället för HTTP när det är möjligt Läs mer , det betyder att webbplatsen du använder antingen Secure Sockets Layer (SSL) Vad är ett SSL-certifikat och behöver du ett?Att surfa på internet kan vara skrämmande när personlig information är inblandad. Läs mer eller Transport Layer Security (TLS) -protokoll till verifiera anslutningar och blanda upp data Hur webbläsning blir ännu säkrareVi har SSL-certifikat att tacka för vår säkerhet och integritet. Men de senaste brottna och bristerna kan ha gjort att du litar på det kryptografiska protokollet. Lyckligtvis anpassar sig SSL, uppgraderas - så här. Läs mer .

Men trots vad du kanske har hört Tro inte på dessa 5 myter om kryptering!Kryptering låter komplex, men är mycket mer enkel än de flesta tror. Ändå kanske du känner dig lite för i mörkret för att använda kryptering, så låt oss byta några krypteringsmyter! Läs mer , kryptering är inte perfekt.

Whaddya menar mitt lösenord kan inte innehålla backspaces ???

- Derek Klein (@rogue_analyst) 11 augusti 2016

Det borde vara säkert, men det är bara lika säkert som där nycklarna är lagrade. Om en webbplats skyddar din nyckel (dvs. lösenord) med sin egen, kan en hacker exponera den senare för att hitta den förstnämnda och dekryptera den. Det skulle kräva relativt liten ansträngning från en tjuv för att hitta ditt lösenord; det är därför viktiga databaser är ett massivt mål.

I grund och botten, om deras nyckel lagras på samma server som din, kan ditt lösenord lika gärna vara i vanlig text. Det är därför den ovannämnda PlainTextOffenders-webbplatsen också listar tjänster som använder vändbar kryptering.

Överraskande enkel (men inte alltid effektiv): Hashing

Nu kommer vi någonstans. Lösande lösenord låter som nonsensjargon Teknisk jargon: Lär dig 10 nya ord som nyligen har lagts till i ordboken [Weird & Wonderful Web]Teknik är källan för många nya ord. Om du är en nörd och en ordälskare kommer du att älska dessa tio som lades till onlineversionen av Oxford English Dictionary. Läs mer , men det är helt enkelt en säkrare form av kryptering.

I stället för att lagra ditt lösenord som vanlig text, kör en webbplats det genom en hash-funktion, som MD5 Vad allt detta MD5 Hash-material egentligen betyder [teknik förklarat]Här är en fullständig nedgång av MD5, hashing och en liten översikt över datorer och kryptografi. Läs mer , Secure Hashing Algoritm (SHA) -1 eller SHA-256, som omvandlar den till en helt annan uppsättning siffror; det kan vara siffror, bokstäver eller andra tecken. Ditt lösenord kan vara IH3artMU0. Det kan förvandlas till 7dVq $ @ ihT, och om en hacker bröt in i en databas är det allt de kan se. Och det fungerar bara på ett sätt. Du kan inte avkoda det tillbaka.

Tyvärr är det inte det där säkra. Det är bättre än vanlig text, men det är fortfarande ganska standard för cyberbrottslingar. Nyckeln är att ett specifikt lösenord ger en specifik hash. Det finns en god anledning till det: varje gång du loggar in med lösenordet IH3artMU0 passerar det automatiskt genom den hashfunktionen och webbplatsen ger dig åtkomst till den hash och den i webbplatsens databas match.

Det betyder också att hackare har utvecklat regnbågtabeller, en lista över haskar, som redan används av andra som lösenord, som ett sofistikerat system snabbt kan gå igenom som en brute-force attack Vad är brute Force Attacks och hur kan du skydda dig själv?Du har förmodligen hört uttrycket "brute force attack." Men vad betyder det egentligen? Hur fungerar det? Och hur kan du skydda dig mot det? Här är vad du behöver veta. Läs mer . Om du har valt en chockerande dåligt lösenord 25 lösenord du behöver undvika, använd WhatsApp gratis... [Tech News Digest]Folk fortsätter att använda fruktansvärda lösenord, WhatsApp är nu helt gratis, AOL överväger att byta namn, Valve godkänner ett fan-made Half-Life-spel och The Boy With a Camera for a Face. Läs mer , det kommer att ligga högt på regnbågens bord och kan lätt knäckas; mer dolda - särskilt omfattande kombinationer - kommer att ta längre tid.

Hur illa kan det vara? Tillbaka 2012, LinkedIn hackades Vad du behöver veta om massiva LinkedIn-konton läckaEn hackare säljer 117 miljoner hackade LinkedIn-referenser på Dark webben för cirka 2 200 dollar i Bitcoin. Kevin Shabazi, VD och grundare av LogMeOnce, hjälper oss att förstå vad som riskerar. Läs mer . E-postadresser och deras motsvarande hash läckte ut. Det är 177,5 miljoner hash som påverkar 164,6 miljoner användare. Du kanske anser att det inte är för mycket oroande: de är bara en mängd slumpmässiga siffror. Ganska outkrypterbar, eller hur? Två professionella knäckare beslutade att ta ett prov på 6,4 miljoner hashes och se vad de kunde göra.

De knäckte 90% av dem på knappt en vecka.

Så bra som det blir: Saltning och Slow Hashes

Inget system är impregnerbart Mythbusters: Farliga säkerhetsråd du inte bör följaNär det gäller internetsäkerhet har alla och deras kusin råd att erbjuda dig om de bästa programvarupaketen att installera, dodgy webbplatser att hålla sig borta från eller bästa praxis när det gäller ... Läs mer - hackare kommer naturligtvis att arbeta för att knäcka alla nya säkerhetssystem - men de starkare teknikerna implementeras av de säkraste webbplatserna Varje säker webbplats gör detta med ditt lösenordHar du någonsin undrat hur webbplatser skyddar ditt lösenord mot dataintrång? Läs mer är smartare hash.

Saltade hascher är baserade på praxis av en kryptografisk nonce, en slumpmässig datauppsättning genererad för varje enskilt lösenord, vanligtvis mycket långt och mycket komplicerat. Dessa ytterligare siffror läggs till i början eller slutet av ett lösenord (eller e-postlösenord kombinationer) innan den passerar genom hashfunktionen för att bekämpa försök gjorda med regnbågens bord.

Det spelar i allmänhet ingen roll om salterna lagras på samma servrar som hashes; Att hacka en uppsättning lösenord kan vara enormt tidskrävande för hackare, gjort ännu tuffare om ditt lösenordet i sig är överdrivet och komplicerat 6 tips för att skapa ett obrottsligt lösenord som du kan komma ihågOm dina lösenord inte är unika och obrytbara kan du lika gärna öppna ytterdörren och bjuda in rånarna till lunch. Läs mer . Det är därför du alltid ska använda ett starkt lösenord, oavsett hur mycket du litar på en webbplats säkerhet.

Webbplatser som tar sin säkerhet, och genom att utöka din, särskilt allvarligt, vänder sig alltmer till långsamma hash som en extra åtgärd. De mest kända hashfunktionerna (MD5, SHA-1 och SHA-256) har funnits ett tag och används ofta på grund av att de är relativt enkla att implementera och applicera hash mycket snabbt.

Behandla ditt lösenord som din tandborste, ändra det regelbundet och dela det inte!

- Anti-Bullying Pro (från välgörenhet The Diana Award) (@AntiBullyingPro) 13 augusti 2016

Medan man fortfarande applicerar salter är långsamma hash ännu bättre på att bekämpa alla attacker som förlitar sig på hastighet; genom att begränsa hackare till väsentligt färre försök per sekund tar det dem längre tid att knäcka, vilket gör försök mindre värda, med tanke på också den sänkta framgångsgraden. Cyberbrottslingar måste väga upp huruvida det är värt att anfalla tidskrävande långsamma hashsystem över jämförelsevis ”snabba fixningar”: medicinska institutioner har vanligtvis mindre säkerhet 5 skäl till varför medicinsk identitetsstöld ökarScammers vill ha din personliga information och bankkontouppgifter - men visste du att dina medicinska journaler också är intressanta för dem? Ta reda på vad du kan göra åt det. Läs mer till exempel så att data som kan erhållas därifrån kan fortfarande säljs på för överraskande summor Här är hur mycket din identitet kan vara värd på den mörka webbenDet är obekvämt att tänka på dig själv som en vara, men alla dina personliga uppgifter, från namn och adress till bankkontouppgifter, är värda något för online brottslingar. Hur mycket är du värd? Läs mer .

Det är också mycket anpassningsbart: om ett system är under särskild belastning kan det sakta ytterligare. Coda Hale, Microsofts tidigare principutvecklare av programvara, jämför MD5 med kanske den mest anmärkningsvärda långsamma hashfunktionen, bcrypt (andra inkluderar PBKDF-2 och scrypt):

”I stället för att spricka ett lösenord var 40: e sekund [som med MD5], skulle jag spricka dem var 12: e år eller så [när ett system använder bcrypt]. Dina lösenord behöver kanske inte den typen av säkerhet och du kanske behöver en snabbare jämförelsealgoritm, men bcrypt låter dig välja din balans mellan hastighet och säkerhet. "

Och eftersom en långsam hash fortfarande kan implementeras på mindre än en sekund bör användare inte påverkas.

Varför spelar det någon roll?

När vi använder en onlinetjänst ingår vi ett förtroendekontrakt. Du bör vara säker med vetskapen om att din personliga information hålls säker.

"Min bärbara dator är inställd för att ta en bild efter tre felaktiga lösenordsförsök" pic.twitter.com/yBNzPjnMA2

- Katter i rymden (@CatsLoveSpace) 16 augusti 2016

Lagra ditt lösenord på ett säkert sätt Den kompletta guiden för att förenkla och säkra ditt liv med LastPass och XmarksMedan molnet betyder att du enkelt kan komma åt din viktiga information var du än är, betyder det också att du har många lösenord att hålla reda på. Det är därför LastPass skapades. Läs mer är särskilt viktigt. Trots många varningar använder många av oss samma för olika webbplatser, så om det till exempel finns ett Facebook-brott Har din Facebook hackats? Så här säger du (och fixar det)Det finns steg du kan vidta för att förhindra att du hackas på Facebook och saker du kan göra om din Facebook blir hackad. Läs mer , dina inloggningsuppgifter för andra webbplatser som du ofta använder samma lösenord kan också vara en öppen bok för cyberbrottslingar.

Har du upptäckt några vanliga textförbrytare? Vilka webbplatser litar du implicit på? Vad tror du är nästa steg för säker lagring av lösenord?

Bildpoäng: Africa Studio / Shutterstock, Felaktiga lösenord av Lulu Hoeller [Ingen längre tillgänglig]; Logga in av Automobile Italia; Linux-lösenordsfiler av Christiaan Colen; och salt shaker av Karyn Christner.