Wie schützen Websites Ihre Passwörter?

Werbung

Wir gehen jetzt selten einen Monat ohne etwas von einer Datenverletzung zu hören; es könnte auf dem neuesten Stand sein Dienst wie Google Mail Befindet sich Ihr Google Mail-Konto unter 42 Millionen durchgesickerten Anmeldeinformationen? Weiterlesen oder etwas, das die meisten von uns vergessen haben, wie MySpace Facebook verfolgt alle, MySpace wurde gehackt... [Tech News Digest]Facebook verfolgt alle im Internet, Millionen von MySpace-Anmeldeinformationen stehen zum Verkauf, Amazon bringt Alexa in Ihren Browser, No Man's Sky leidet unter einer Verzögerung und Pong Project nimmt Gestalt an. Weiterlesen .

Berücksichtigen Sie unser zunehmendes Bewusstsein dafür, wie unsere privaten Informationen sind von Google gesaugt Fünf Dinge, die Google wahrscheinlich über Sie weiß Weiterlesen , sozialen Medien (vor allem Facebook Facebook-Datenschutz: 25 Dinge, die das soziale Netzwerk über Sie weißFacebook weiß überraschend viel über uns - Informationen, die wir gerne freiwillig zur Verfügung stellen. Aus diesen Informationen können Sie in eine demografische Gruppe eingeteilt, Ihre "Likes" aufgezeichnet und Beziehungen überwacht werden. Hier sind 25 Dinge, über die Facebook Bescheid weiß ...

Weiterlesen ), und sogar unsere eigenen Smartphones Was ist das sicherste mobile Betriebssystem?Wir kämpfen um den Titel des sichersten mobilen Betriebssystems und haben: Android, BlackBerry, Ubuntu, Windows Phone und iOS. Welches Betriebssystem kann sich am besten gegen Online-Angriffe behaupten? Weiterlesen und niemand kann Ihnen vorwerfen, dass Sie ein bisschen paranoid sind, wie Websites sich um etwas kümmern wichtig als Ihr Passwort Alles, was Sie über Passwörter wissen müssenPasswörter sind wichtig und die meisten Leute wissen nicht genug über sie. Wie wählt man ein sicheres Passwort, verwendet überall ein eindeutiges Passwort und merkt sich alle? Wie sichern Sie Ihre Konten? Wie macht... Weiterlesen .

In der Tat ist dies etwas, das jeder wissen muss, um beruhigt zu sein…

Das Worst-Case-Szenario: Nur-Text

Bedenken Sie Folgendes: Eine große Website wurde gehackt. Cyberkriminelle haben alle grundlegenden Sicherheitsmaßnahmen durchbrochen und möglicherweise einen Fehler in ihrer Architektur ausgenutzt. Sie sind Kunde. Diese Seite hat Ihre Daten gespeichert. Zum Glück wurde Ihnen versichert, dass Ihr Passwort sicher ist.

Nur dass diese Site Ihr Passwort als Klartext speichert.

Es war immer eine tickende Bombe. Nur-Text-Passwörter warten nur darauf, geplündert zu werden. Sie verwenden keinen Algorithmus, um sie unlesbar zu machen. Hacker können es so einfach lesen, wie Sie diesen Satz lesen.

Es ist ein beängstigender Gedanke, nicht wahr? Es spielt keine Rolle, wie komplex Ihr Passwort ist, auch wenn es nur 30 Stellen umfasst: Eine Nur-Text-Datenbank ist eine Liste aller Passwörter, klar formuliert, einschließlich aller zusätzlichen Zahlen und Zeichen, die Sie verwenden benutzen. Auch wenn Hacker nicht Wenn Sie die Website knacken möchten, möchten Sie wirklich, dass der Administrator Ihre vertraulichen Anmeldedaten sehen kann?

# c4news

Ich benutze immer ein gutes, sicheres Passwort wie Hercules oder Titan und hatte nie Probleme ...

- Mach dir keine Sorgen (@emilbordon) 16. August 2016

Sie denken vielleicht, dass dies ein sehr seltenes Problem ist, aber geschätzte 30% der E-Commerce-Websites verwenden diese Methode, um Ihre Daten zu "sichern" Der gesamte Blog widmet sich der Hervorhebung dieser Straftäter! Bis zum letzten Jahr hat sogar die NHL Passwörter auf diese Weise gespeichert, ebenso wie Adobe vor einem größeren Verstoß.

Schockierend, Virenschutzfirma, McAfee verwendet auch einfachen Text.

Eine einfache Möglichkeit, herauszufinden, ob eine Website dies verwendet, besteht darin, dass Sie unmittelbar nach der Anmeldung eine E-Mail mit Ihren Anmeldedaten erhalten. Sehr zwielichtig. In diesem Fall möchten Sie möglicherweise Websites mit demselben Kennwort ändern und sich an das Unternehmen wenden, um sie auf Sicherheitsbedenken aufmerksam zu machen.

Das bedeutet nicht unbedingt, dass sie sie als einfachen Text speichern, aber es ist ein guter Indikator - und sie sollten so etwas sowieso nicht in E-Mails senden. Sie können das argumentieren Sie haben Firewalls et al. zum Schutz vor Cyberkriminellen, aber erinnern Sie sie daran, dass kein System fehlerfrei ist, und lassen Sie die Aussicht auf den Verlust von Kunden vor sich baumeln.

Sie werden es sich bald anders überlegen. Hoffnungsvoll…

Nicht so gut wie es klingt: Verschlüsselung

Was machen diese Seiten?

Viele werden sich der Verschlüsselung zuwenden. Wir haben alle davon gehört: eine scheinbar undurchlässige Methode, um Ihre Informationen zu verschlüsseln und unlesbar zu machen bis zwei Schlüssel - einer von Ihnen (das sind Ihre Anmeldedaten) und der andere von dem betreffenden Unternehmen - vorhanden sind vorgeführt. Es ist eine großartige Idee, die Sie sogar sollten auf Ihrem Smartphone implementieren 7 Gründe, warum Sie Ihre Smartphone-Daten verschlüsseln solltenVerschlüsseln Sie Ihr Gerät? Alle gängigen Smartphone-Betriebssysteme bieten Geräteverschlüsselung. Sollten Sie diese jedoch verwenden? Hier ist der Grund, warum sich die Smartphone-Verschlüsselung lohnt und sich nicht auf die Art und Weise auswirkt, wie Sie Ihr Smartphone verwenden. Weiterlesen und andere Geräte.

Das Internet läuft mit Verschlüsselung: wenn Sie Siehe HTTPS in der URL Überall HTTPS: Verwenden Sie nach Möglichkeit HTTPS anstelle von HTTP Weiterlesen Dies bedeutet, dass die Website, auf der Sie sich befinden, entweder die Secure Sockets Layer (SSL) Was ist ein SSL-Zertifikat und benötigen Sie eines?Das Surfen im Internet kann beängstigend sein, wenn es um persönliche Informationen geht. Weiterlesen oder TLS-Protokolle (Transport Layer Security) an Überprüfen Sie die Verbindungen und verwirren Sie die Daten Wie das Surfen im Internet noch sicherer wirdWir haben SSL-Zertifikate für unsere Sicherheit und Privatsphäre zu danken. Die jüngsten Verstöße und Mängel haben jedoch möglicherweise Ihr Vertrauen in das kryptografische Protokoll beeinträchtigt. Glücklicherweise passt sich SSL an und wird aktualisiert - so geht's. Weiterlesen .

Aber trotz allem, was Sie vielleicht gehört haben Glauben Sie diesen 5 Mythen über Verschlüsselung nicht!Die Verschlüsselung klingt komplex, ist aber weitaus einfacher als die meisten denken. Trotzdem fühlen Sie sich möglicherweise etwas zu dunkel, um die Verschlüsselung nutzen zu können. Lassen Sie uns also einige Verschlüsselungsmythen zerstören! Weiterlesen ist die Verschlüsselung nicht perfekt.

Was bedeutet, dass mein Passwort keine Backspaces enthalten kann?

- Derek Klein (@rogue_analyst) 11. August 2016

Es sollte sicher sein, aber es ist nur so sicher wie der Ort, an dem die Schlüssel aufbewahrt werden. Wenn eine Website Ihren Schlüssel (d. H. Ihr Passwort) mit einem eigenen schützt, kann ein Hacker den letzteren offenlegen, um den ersteren zu finden und zu entschlüsseln. Es würde vergleichsweise wenig Aufwand von einem Dieb erfordern, um Ihr Passwort zu finden; Aus diesem Grund sind Schlüsseldatenbanken ein großes Ziel.

Wenn ihr Schlüssel auf demselben Server wie Ihr gespeichert ist, kann Ihr Passwort grundsätzlich auch im Klartext vorliegen. Aus diesem Grund werden auf der oben genannten PlainTextOffenders-Website auch Dienste aufgelistet, die reversible Verschlüsselung verwenden.

Überraschend einfach (aber nicht immer effektiv): Hashing

Jetzt kommen wir irgendwohin. Hashing Passwörter klingt wie Unsinn Jargon Tech Jargon: Lerne 10 neue Wörter, die kürzlich zum Wörterbuch hinzugefügt wurden [Weird & Wonderful Web]Technologie ist die Quelle für viele neue Wörter. Wenn Sie ein Geek und ein Wortliebhaber sind, werden Sie diese zehn lieben, die der Online-Version des Oxford English Dictionary hinzugefügt wurden. Weiterlesen , aber es ist einfach eine sicherere Form der Verschlüsselung.

Anstatt Ihr Passwort als Klartext zu speichern, wird es von einer Site über a ausgeführt Hash-Funktion wie MD5 Was all dieses MD5-Hash-Zeug eigentlich bedeutet [Technologie erklärt]Hier finden Sie eine vollständige Übersicht über MD5, Hashing und einen kleinen Überblick über Computer und Kryptografie. Weiterlesen , Secure Hashing Algorithm (SHA) -1 oder SHA-256, der es in einen völlig anderen Satz von Ziffern umwandelt; Dies können Zahlen, Buchstaben oder andere Zeichen sein. Ihr Passwort könnte IH3artMU0 sein. Das könnte zu 7dVq $ @ ihT werden. Wenn ein Hacker in eine Datenbank eingebrochen ist, ist das alles, was er sehen kann. Und es funktioniert nur in eine Richtung. Sie können es nicht zurück dekodieren.

Leider nicht Das sichern. Es ist besser als einfacher Text, aber für Cyberkriminelle immer noch ziemlich Standard. Der Schlüssel ist, dass ein bestimmtes Passwort einen bestimmten Hash erzeugt. Dafür gibt es einen guten Grund: Jedes Mal, wenn Sie sich mit dem Passwort IH3artMU0 anmelden, wird es automatisch übergeben über diese Hash-Funktion und die Website ermöglicht Ihnen den Zugriff auf diesen Hash und den in der Datenbank der Site Spiel.

Dies bedeutet auch, dass Hacker Regenbogentabellen entwickelt haben, eine Liste von Hashes, die bereits von anderen als Passwörter verwendet werden und die ein ausgeklügeltes System schnell durchlaufen kann ein Brute-Force-Angriff Was sind Brute-Force-Angriffe und wie können Sie sich schützen?Sie haben wahrscheinlich den Satz "Brute-Force-Angriff" gehört. Aber was genau bedeutet das? Wie funktioniert es? Und wie können Sie sich davor schützen? Folgendes müssen Sie wissen. Weiterlesen . Wenn Sie eine ausgewählt haben schockierend schlechtes Passwort 25 Passwörter, die Sie vermeiden müssen, verwenden Sie WhatsApp kostenlos... [Tech News Digest]Die Leute benutzen weiterhin schreckliche Passwörter, WhatsApp ist jetzt völlig kostenlos, AOL erwägt, seinen Namen zu ändern, Valve billigt ein von Fans erstelltes Half-Life-Spiel und The Boy With a Camera for a Face. Weiterlesen , das steht hoch auf den Regenbogentischen und kann leicht geknackt werden. dunkelere - besonders umfangreiche Kombinationen - dauern länger.

Wie schlimm kann es sein? Zurück im Jahr 2012, LinkedIn wurde gehackt Was Sie über den massiven Verlust von LinkedIn-Konten wissen müssenEin Hacker verkauft 117 Millionen gehackte LinkedIn-Anmeldeinformationen im Dark Web für rund 2.200 US-Dollar in Bitcoin. Kevin Shabazi, CEO und Gründer von LogMeOnce, hilft uns zu verstehen, was gefährdet ist. Weiterlesen . E-Mail-Adressen und die entsprechenden Hashes wurden durchgesickert. Das sind 177,5 Millionen Hashes, von denen 164,6 Millionen Benutzer betroffen sind. Sie könnten sich vorstellen, dass dies kein allzu großes Problem darstellt: Es handelt sich lediglich um eine Menge zufälliger Ziffern. Ziemlich nicht zu entziffern, oder? Zwei professionelle Cracker beschlossen, eine Probe von 6,4 Millionen Hashes zu nehmen und zu sehen, was sie tun könnten.

Sie 90% von ihnen geknackt in knapp einer Woche.

So gut wie es nur geht: Salzen und langsame Hashes

Kein System ist uneinnehmbar Mythbusters: Gefährliche Sicherheitshinweise, denen Sie nicht folgen solltenWenn es um Internetsicherheit geht, haben alle und ihre Cousins ​​Ratschläge, um Ihnen die besten zu installierenden Softwarepakete, zweifelhafte Websites, von denen Sie sich fernhalten sollten, oder Best Practices in Bezug auf ... Weiterlesen - Hacker werden natürlich daran arbeiten, neue Sicherheitssysteme zu knacken - aber die stärkeren Techniken werden implementiert von den sichersten Websites Jede sichere Website tut dies mit Ihrem PasswortHaben Sie sich jemals gefragt, wie Websites Ihr Passwort vor Datenverletzungen schützen? Weiterlesen sind klügere Hashes.

Gesalzene Hashes basieren auf der Praxis einer kryptografischen Nonce, einem zufälligen Datensatz, der für jedes einzelne Passwort generiert wird und normalerweise sehr lang und sehr komplex ist. Diese zusätzlichen Ziffern werden am Anfang oder Ende eines Passworts (oder E-Mail-Passworts) hinzugefügt Kombinationen), bevor es die Hash-Funktion durchläuft, um Versuche mit zu bekämpfen Regenbogentische.

Es spielt im Allgemeinen keine Rolle, ob die Salze auf denselben Servern wie Hashes gespeichert sind. Das Knacken einer Reihe von Passwörtern kann für Hacker sehr zeitaufwändig sein und wird noch schwieriger, wenn Sie Passwort selbst ist übertrieben und kompliziert 6 Tipps zum Erstellen eines unzerbrechlichen Passworts, an das Sie sich erinnern könnenWenn Ihre Passwörter nicht eindeutig und unzerbrechlich sind, können Sie auch die Haustür öffnen und die Räuber zum Mittagessen einladen. Weiterlesen . Aus diesem Grund sollten Sie immer ein sicheres Kennwort verwenden, unabhängig davon, wie sehr Sie der Sicherheit einer Website vertrauen.

Websites, die ihre und damit auch Ihre Sicherheit besonders ernst nehmen, wenden sich zunehmend langsamen Hashes als zusätzliche Maßnahme zu. Die bekanntesten Hash-Funktionen (MD5, SHA-1 und SHA-256) gibt es schon seit einiger Zeit und werden häufig verwendet, da sie relativ einfach zu implementieren sind und Hashes sehr schnell anwenden.

Behandle dein Passwort wie deine Zahnbürste, ändere es regelmäßig und teile es nicht!

- Anti-Mobbing Pro (von der Wohltätigkeitsorganisation The Diana Award) (@AntiBullyingPro) 13. August 2016

Während Sie immer noch Salze auftragen, können langsame Hashes Angriffe, die auf Geschwindigkeit beruhen, noch besser bekämpfen. Indem Hacker auf wesentlich weniger Versuche pro Sekunde beschränkt werden, dauert das Knacken länger, wodurch sich Versuche weniger lohnen, auch unter Berücksichtigung der verringerten Erfolgsrate. Cyberkriminelle müssen abwägen, ob es sich lohnt, zeitaufwändige langsame Hash-Systeme über vergleichsweise „schnelle Lösungen“ anzugreifen: Medizinische Einrichtungen haben normalerweise weniger Sicherheit 5 Gründe, warum der Diebstahl medizinischer Identität zunimmtBetrüger möchten Ihre persönlichen Daten und Bankkontodaten - aber wussten Sie, dass Ihre medizinischen Unterlagen auch für sie von Interesse sind? Finden Sie heraus, was Sie dagegen tun können. Weiterlesen Zum Beispiel können so Daten, die von dort erhalten werden könnten noch für überraschende Summen weiterverkauft werden So viel könnte Ihre Identität im Dark Web wert seinEs ist unangenehm, sich als Ware zu betrachten, aber alle Ihre persönlichen Daten, von Name und Adresse bis hin zu Bankkontodaten, sind für Online-Kriminelle etwas wert. Wie viel bist du wert? Weiterlesen .

Es ist auch sehr anpassungsfähig: Wenn ein System einer besonderen Belastung ausgesetzt ist, kann es sich noch weiter verlangsamen. Coda Hale, Microsofts ehemaliger Principle Software Developer, vergleicht MD5 mit der vielleicht bemerkenswertesten langsamen Hash-Funktion, bcrypt (andere umfassen PBKDF-2 und scrypt):

"Anstatt alle 40 Sekunden ein Kennwort zu knacken [wie bei MD5], würde ich sie etwa alle 12 Jahre knacken [wenn ein System bcrypt verwendet]. Ihre Passwörter benötigen möglicherweise nicht diese Art von Sicherheit und Sie benötigen möglicherweise einen schnelleren Vergleichsalgorithmus. Mit bcrypt können Sie jedoch Ihr Gleichgewicht zwischen Geschwindigkeit und Sicherheit auswählen. “

Und da ein langsamer Hash immer noch in weniger als einer Sekunde implementiert werden kann, sollten Benutzer nicht betroffen sein.

Warum spielt es eine Rolle?

Wenn wir einen Onlinedienst nutzen, schließen wir einen Vertrauensvertrag ab. Sie sollten sicher sein, dass Ihre persönlichen Daten sicher aufbewahrt werden.

"Mein Laptop ist so eingerichtet, dass nach drei falschen Passwortversuchen ein Bild aufgenommen wird." pic.twitter.com/yBNzPjnMA2

- Katzen im Weltraum (@CatsLoveSpace) 16. August 2016

Speichern Sie Ihr Passwort sicher Der vollständige Leitfaden zur Vereinfachung und Sicherung Ihres Lebens mit LastPass und XmarksWährend die Cloud bedeutet, dass Sie überall problemlos auf Ihre wichtigen Informationen zugreifen können, bedeutet dies auch, dass Sie viele Passwörter im Auge behalten müssen. Deshalb wurde LastPass erstellt. Weiterlesen ist besonders wichtig. Trotz zahlreicher Warnungen verwenden viele von uns dieselbe für verschiedene Websites. Wenn dies beispielsweise der Fall ist, eine Facebook-Verletzung Wurde Ihr Facebook gehackt? Hier erfahren Sie, wie Sie es erkennen (und beheben).Es gibt Schritte, die Sie unternehmen können, um zu verhindern, dass Sie auf Facebook gehackt werden, und Maßnahmen, die Sie ergreifen können, falls Ihr Facebook gehackt wird. Weiterlesen Ihre Anmeldedaten für andere Websites, die Sie häufig mit demselben Kennwort verwenden, sind möglicherweise auch ein offenes Buch für Cyberkriminelle.

Haben Sie Plain Text Offenders entdeckt? Welchen Websites vertrauen Sie implizit? Was ist Ihrer Meinung nach der nächste Schritt zur sicheren Speicherung von Passwörtern?

Bildnachweis: Africa Studio / Shutterstock, falsche Passwörter von Lulu Hoeller [nicht mehr verfügbar]; Login von Automobile Italia; Linux-Passwortdateien von Christiaan Colen; und Salzstreuer von Karyn Christner.