Hoe houden websites uw wachtwoorden veilig?

Advertentie

We gaan nu zelden een maand zonder iets over een datalek te horen; het kan een up-to-date zijn service zoals Gmail Is uw Gmail-account onder 42 miljoen gelekte inloggegevens? Lees verder of iets dat de meesten van ons zijn vergeten, zoals MySpace Facebook volgt iedereen, MySpace is gehackt... [Tech News Digest]Facebook volgt iedereen op het web, miljoenen MySpace-inloggegevens zijn te koop, Amazon brengt Alexa naar je browser, No Man's Sky loopt vertraging op en Pong Project krijgt vorm. Lees verder .

Factor in ons toenemende bewustzijn van de manier waarop onze privé-informatie is opgezogen door Google Vijf dingen die Google waarschijnlijk over u weet Lees verder , sociale media (met name Facebook Facebook Privacy: 25 dingen die het sociale netwerk over u weetFacebook weet verrassend veel over ons - informatie die we vrijwillig aanbieden. Van die informatie kunt u in een demografische groep worden opgenomen, uw "likes" worden geregistreerd en relaties worden gecontroleerd. Hier zijn 25 dingen die Facebook weet over ... Lees verder

), en zelfs onze eigen smartphones Wat is het veiligste mobiele besturingssysteem?Vechten voor de titel van het meest veilige mobiele besturingssysteem, we hebben: Android, BlackBerry, Ubuntu, Windows Phone en iOS. Welk besturingssysteem is het best bestand tegen online aanvallen? Lees verder , en niemand kan het je kwalijk nemen dat je een beetje paranoïde bent over hoe websites voor iets zorgen belangrijk als uw wachtwoord Alles wat u moet weten over wachtwoordenWachtwoorden zijn belangrijk en de meeste mensen weten er niet genoeg van. Hoe kies je een sterk wachtwoord, gebruik je overal een uniek wachtwoord en onthoud je ze allemaal? Hoe beveilig je je accounts? Hoe doen... Lees verder .

Voor gemoedsrust is dit iets dat iedereen moet weten ...

Het worstcasescenario: platte tekst

Overweeg dit: een grote website is gehackt. Cybercriminelen hebben alle basisbeveiligingsmaatregelen doorbroken die ze nodig hebben, misschien profiteren ze van een fout in hun architectuur. Je bent een klant. Die site heeft uw gegevens opgeslagen. Gelukkig bent u ervan verzekerd dat uw wachtwoord veilig is.

Behalve dat die site uw wachtwoord opslaat als platte tekst.

Het was altijd een tikkende bom. Wachtwoorden in platte tekst wachten erop om geplunderd te worden. Ze gebruiken geen algoritme om ze onleesbaar te maken. Hackers kunnen het net zo eenvoudig lezen als u deze zin leest.

Het is een enge gedachte, nietwaar? Het maakt niet uit hoe complex uw wachtwoord is, ook al is het pi tot 30 cijfers: een database met platte tekst is een lijst met ieders wachtwoorden, duidelijk omschreven, inclusief alle extra cijfers en tekens die u heeft gebruik. Zelfs als hackers niet kraak de site, zou u echt willen dat admin uw vertrouwelijke inloggegevens kan zien?

# c4news

Ik gebruik altijd een goed, sterk wachtwoord, zoals Hercules of Titan en ik heb nooit problemen gehad ...

- Doe geen moeite (@emilbordon) 16 augustus 2016

U denkt misschien dat dit een zeer zeldzaam probleem is, maar naar schatting 30% van de e-commercewebsites gebruikt deze methode om uw gegevens te "beveiligen" - in feite is er een hele blog gewijd aan het benadrukken van deze daders! Tot vorig jaar bewaarde zelfs de NHL wachtwoorden op deze manier, net als Adobe vóór een grote inbreuk.

Schokkend, virusbeschermingsbedrijf, McAfee gebruikt ook platte tekst.

Een gemakkelijke manier om erachter te komen of een site dit gebruikt, is als u, net na het aanmelden, een e-mail van hen ontvangt met uw inloggegevens. Heel onbetrouwbaar. In dat geval wilt u misschien sites met hetzelfde wachtwoord wijzigen en contact opnemen met het bedrijf om hen te waarschuwen dat hun beveiliging zorgwekkend is.

Het betekent niet per se dat ze ze als platte tekst opslaan, maar het is een goede indicator - en ze zouden dat soort dingen toch niet in e-mails mogen sturen. Ze kunnen dat betogen ze hebben firewalls et al. om te beschermen tegen cybercriminelen, maar hen eraan te herinneren dat geen enkel systeem onberispelijk is en het vooruitzicht benutten om klanten voor zich te verliezen.

Ze zullen snel van gedachten veranderen. Hopelijk…

Niet zo goed als het klinkt: versleuteling

Dus wat doen deze sites?

Velen zullen zich tot encryptie wenden. We hebben er allemaal van gehoord: een ogenschijnlijk ondoordringbare manier om uw informatie door elkaar te gooien, waardoor deze onleesbaar wordt totdat twee sleutels - een van u (dat zijn uw inloggegevens) en de andere van het bedrijf in kwestie - zijn gepresenteerd. Het is een geweldig idee, een idee dat je zelfs zou moeten hebben implementeren op uw smartphone 7 redenen waarom u uw smartphonegegevens moet versleutelenBen je je apparaat aan het versleutelen? Alle belangrijke besturingssystemen voor smartphones bieden apparaatversleuteling, maar moet u deze gebruiken? Dit is waarom smartphonecodering de moeite waard is en geen invloed heeft op de manier waarop u uw smartphone gebruikt. Lees verder en andere apparaten.

Het internet draait op encryptie: wanneer jij zie HTTPS in de URL HTTPS Everywhere: Gebruik indien mogelijk HTTPS in plaats van HTTP Lees verder , dat betekent dat de site waarop u zich bevindt, de Secure Sockets Layer (SSL) Wat is een SSL-certificaat en heeft u er een nodig?Surfen op internet kan eng zijn als het om persoonlijke informatie gaat. Lees verder of Transport Layer Security (TLS) -protocollen naar verbindingen controleren en gegevens door elkaar halen Hoe surfen op het web nog veiliger wordtWe hebben SSL-certificaten te danken aan onze veiligheid en privacy. Maar recente inbreuken en gebreken hebben mogelijk uw vertrouwen in het cryptografische protocol aangetast. Gelukkig past SSL zich aan en wordt het geüpgraded - hier is hoe. Lees verder .

Maar ondanks wat je misschien hebt gehoord Geloof deze 5 mythen over encryptie niet!Versleuteling klinkt ingewikkeld, maar is veel eenvoudiger dan de meeste denken. Desalniettemin voelt u zich misschien een beetje te donker om gebruik te maken van encryptie, dus laten we enkele encryptiemythes doorbreken! Lees verder , versleuteling is niet perfect.

Whaddya betekent dat mijn wachtwoord geen backspaces mag bevatten ???

- Derek Klein (@rogue_analyst) 11 augustus 2016

Het moet veilig zijn, maar het is alleen zo veilig als waar de sleutels zijn opgeslagen. Als een website uw sleutel (d.w.z. wachtwoord) beschermt met behulp van hun eigen sleutel, kan een hacker de laatste ontmaskeren om de eerste te vinden en deze te ontsleutelen. Het kost een dief relatief weinig moeite om uw wachtwoord te vinden; daarom zijn belangrijke databases een enorm doelwit.

Kortom, als hun sleutel op dezelfde server is opgeslagen als de uwe, kan uw wachtwoord net zo goed in platte tekst zijn. Daarom vermeldt de eerder genoemde PlainTextOffenders-site ook services die gebruikmaken van omkeerbare codering.

Verrassend eenvoudig (maar niet altijd effectief): hashen

Nu komen we ergens. Wachtwoorden hacken klinkt als onzin jargon Tech Jargon: leer 10 nieuwe woorden die onlangs aan het woordenboek zijn toegevoegd [Weird & Wonderful Web]Technologie is de bron voor veel nieuwe woorden. Als je een nerd en een woordliefhebber bent, zul je dol zijn op deze tien die zijn toegevoegd aan de online versie van de Oxford English Dictionary. Lees verder , maar het is gewoon een veiligere vorm van codering.

In plaats van uw wachtwoord als platte tekst op te slaan, voert een site het door een hash-functie, zoals MD5 Wat al dit MD5-hasj-spul eigenlijk betekent [Technologie uitgelegd]Hier is een volledig overzicht van MD5, hashing en een klein overzicht van computers en cryptografie. Lees verder , Secure Hashing Algorithm (SHA) -1 of SHA-256, waardoor het wordt omgezet in een geheel andere reeks cijfers; dit kunnen cijfers, letters of andere tekens zijn. Uw wachtwoord kan IH3artMU0 zijn. Dat kan veranderen in 7dVq $ @ ihT, en als een hacker een database heeft ingebroken, is dat alles wat ze kunnen zien. En het werkt maar op één manier. Je kunt het niet terug decoderen.

Helaas is dat niet zo dat veilig. Het is beter dan platte tekst, maar het is nog steeds redelijk standaard voor cybercriminelen. De sleutel is dat een specifiek wachtwoord een specifieke hash produceert. Daar is een goede reden voor: elke keer dat u inlogt met het wachtwoord IH3artMU0, gaat het automatisch over via die hashfunctie en de website geeft je toegang tot die hash en die in de database van de site bij elkaar passen.

Het betekent ook dat hackers regenboogtabellen hebben ontwikkeld, een lijst met hashes die al door anderen als wachtwoord wordt gebruikt, die een geavanceerd systeem snel kan doorlopen als een aanval met brute kracht Wat zijn brute force-aanvallen en hoe kun je jezelf beschermen?Je hebt waarschijnlijk de uitdrukking 'brute force attack' gehoord. Maar wat betekent dat precies? Hoe werkt het? En hoe kun je jezelf ertegen beschermen? Dit moet je weten. Lees verder . Als je een. Hebt gekozen schokkend slecht wachtwoord 25 Wachtwoorden die u moet vermijden, gebruik WhatsApp gratis... [Tech News Digest]Mensen blijven vreselijke wachtwoorden gebruiken, WhatsApp is nu volledig gratis, AOL overweegt de naam te veranderen, Valve keurt een door fans gemaakt Half-Life-spel goed en The Boy With a Camera for a Face. Lees verder , dat staat hoog op de regenboogtafels en kan gemakkelijk worden gekraakt; meer obscure - bijzonder uitgebreide combinaties - zullen langer duren.

Hoe erg kan het zijn? In 2012, LinkedIn is gehackt Wat u moet weten over het enorme lekken van LinkedIn-accountsEen hacker verkoopt 117 miljoen gehackte LinkedIn-inloggegevens op het Dark web voor ongeveer $ 2.200 in Bitcoin. Kevin Shabazi, CEO en oprichter van LogMeOnce, helpt ons te begrijpen wat er risico loopt. Lees verder . E-mailadressen en de bijbehorende hashes zijn gelekt. Dat zijn 177,5 miljoen hashes, met 164,6 miljoen gebruikers. Je zou kunnen denken dat dat niet zo'n zorg is: het zijn slechts een hoop willekeurige cijfers. Vrij onleesbaar, toch? Twee professionele crackers besloten een monster van 6,4 miljoen hashes te nemen en te kijken wat ze konden doen.

Ze kraakte 90% van hen in iets minder dan een week.

Zo goed als het wordt: zouten en langzame hasj

Geen enkel systeem is onneembaar Mythbusters: gevaarlijk beveiligingsadvies dat u niet mag volgenAls het gaat om internetbeveiliging, hebben iedereen en hun neef advies om u de beste softwarepakketten aan te bieden om te installeren, onbetrouwbare sites om uit de buurt te blijven of best practices als het gaat om ... Lees verder - hackers zullen natuurlijk werken om nieuwe beveiligingssystemen te kraken, maar de sterkere technieken worden toegepast door de meest veilige sites Elke beveiligde website doet dit met uw wachtwoordHeeft u zich ooit afgevraagd hoe websites uw wachtwoord beschermen tegen datalekken? Lees verder zijn slimmere hashes.

Gezouten hashes zijn gebaseerd op de praktijk van een cryptografische nonce, een willekeurige gegevensset die voor elk individueel wachtwoord wordt gegenereerd, meestal erg lang en erg complex. Deze extra cijfers worden toegevoegd aan het begin of einde van een wachtwoord (of e-mailwachtwoord) combinaties) voordat het door de hash-functie gaat, om pogingen met gebruik te bestrijden regenboog tafels.

Het maakt in het algemeen niet uit of de zouten op dezelfde servers worden opgeslagen als hashes; het kraken van een reeks wachtwoorden kan enorm veel tijd kosten voor hackers, zelfs nog moeilijker als je wachtwoord zelf is buitensporig en ingewikkeld 6 tips voor het maken van een onbreekbaar wachtwoord dat u kunt onthoudenAls uw wachtwoorden niet uniek en onbreekbaar zijn, kunt u net zo goed de voordeur openen en de overvallers uitnodigen voor de lunch. Lees verder . Daarom moet u altijd een sterk wachtwoord gebruiken, ongeacht hoeveel u de beveiliging van een site vertrouwt.

Websites die hun, en bij uitbreiding uw, beveiliging bijzonder serieus nemen, gaan in toenemende mate over op langzame hashes als extra maatregel. De bekendste hashfuncties (MD5, SHA-1 en SHA-256) bestaan ​​al een tijdje en worden veel gebruikt omdat ze relatief eenvoudig te implementeren zijn en zeer snel hashes toepassen.

Behandel uw wachtwoord als uw tandenborstel, verander het regelmatig en deel het niet!

- Anti-pesten Pro (van liefdadigheid The Diana Award) (@AntiBullyingPro) 13 augustus 2016

Terwijl nog steeds zouten worden toegepast, zijn langzame hashes nog beter in het bestrijden van aanvallen die afhankelijk zijn van snelheid; Door hackers te beperken tot aanzienlijk minder pogingen per seconde, duurt het langer voordat ze worden gekraakt, waardoor pogingen de moeite waard worden, ook gezien het lagere slagingspercentage. Cybercriminelen moeten afwegen of het de moeite waard is om tijdrovende trage hash-systemen aan te vallen in vergelijking met relatief "snelle oplossingen": medische instellingen hebben doorgaans minder zekerheid 5 redenen waarom medische identiteitsdiefstal toeneemtOplichters willen uw persoonlijke gegevens en bankrekeninggegevens - maar wist u dat uw medische dossiers ook voor hen interessant zijn? Ontdek wat u eraan kunt doen. Lees verder bijvoorbeeld gegevens die daar vandaan kunnen worden verkregen, kunnen dat ook nog steeds worden verkocht voor verrassende bedragen Hier is hoeveel uw identiteit waard zou kunnen zijn op het Dark WebHet is ongemakkelijk om jezelf als handelswaar te zien, maar al je persoonlijke gegevens, van naam en adres tot bankrekeninggegevens, zijn iets waard voor online criminelen. Hoeveel ben je waard? Lees verder .

Het is ook zeer adaptief: als een systeem onder grote druk staat, kan het nog verder vertragen. Coda Hale, De voormalige Principle Software Developer van Microsoft, vergelijkt MD5 met misschien wel de meest opvallende langzame hashfunctie, bcrypt (andere zijn onder andere PBKDF-2 en scrypt):

"In plaats van elke 40 seconden een wachtwoord te kraken [zoals bij MD5], zou ik ze om de 12 jaar of zo kraken [wanneer een systeem bcrypt gebruikt]. Je wachtwoorden hebben die beveiliging misschien niet nodig en je hebt misschien een sneller vergelijkingsalgoritme nodig, maar met bcrypt kun je je balans tussen snelheid en beveiliging kiezen. '

En omdat een langzame hash nog steeds in minder dan een seconde kan worden geïmplementeerd, hoeven gebruikers hier geen last van te hebben.

Waarom is het belangrijk?

Wanneer we een online dienst gebruiken, gaan we een vertrouwenscontract aan. U moet er zeker van zijn dat uw persoonlijke gegevens veilig worden bewaard.

"Mijn laptop is ingesteld om een ​​foto te maken na drie onjuiste wachtwoordpogingen" pic.twitter.com/yBNzPjnMA2

- Katten in de ruimte (@CatsLoveSpace) 16 augustus 2016

Uw wachtwoord veilig opslaan De complete gids voor het vereenvoudigen en beveiligen van uw leven met LastPass en XmarksHoewel de cloud betekent dat u gemakkelijk toegang heeft tot uw belangrijke informatie, waar u ook bent, betekent dit ook dat u veel wachtwoorden moet bijhouden. Daarom is LastPass gemaakt. Lees verder is vooral belangrijk. Ondanks talloze waarschuwingen gebruiken velen van ons dezelfde voor verschillende sites, dus als er bijvoorbeeld een inbreuk op Facebook Is uw Facebook gehackt? Hier is hoe te vertellen (en het te repareren)Er zijn stappen die u kunt nemen om te voorkomen dat u wordt gehackt op Facebook en wat u kunt doen als uw Facebook wordt gehackt. Lees verder , kunnen uw inloggegevens voor andere sites die u vaak gebruikt met hetzelfde wachtwoord ook een open boek zijn voor cybercriminelen.

Heb je overtreders in platte tekst ontdekt? Welke sites vertrouw je impliciet? Wat is volgens u de volgende stap voor veilige wachtwoordopslag?

Afbeeldingscredits: Africa Studio / Shutterstock, onjuiste wachtwoorden door Lulu Hoeller [Niet langer beschikbaar]; Inloggen door Automobile Italia; Linux-wachtwoordbestanden door Christiaan Colen; en zoutvaatje van Karyn Christner.