פרסומת

לעיתים רחוקות אנו עוברים חודש בלי לשמוע על הפרת נתונים כלשהי; זה עשוי להיות מעודכן שירות כמו Gmail האם חשבון Gmail שלך הוא בין 42 מיליון אישורי דליפה? קרא עוד או משהו שרובנו שכחנו ממנו, כמו MySpace פייסבוק עוקבת אחר כולם, MySpace פרצה... [Digest News Digest]פייסבוק עוקבת אחר כולם ברחבי הרשת, מיליוני אישורי MySpace מוצעים למכירה, אמזון מביאה את אלכסה לדפדפן שלך, No Man's Sky סובלת עיכוב, ופרויקט פונג קורם עור וגידים. קרא עוד .

גורם למודעות הגוברת שלנו לדרכי המידע הפרטי שלנו שואב אבק על ידי גוגל חמישה דברים שגוגל כנראה יודע עליך קרא עוד , מדיה חברתית (במיוחד פייסבוק פרטיות בפייסבוק: 25 דברים שהרשת החברתית יודעת עליךפייסבוק יודעת עלינו כמות מפתיעה - מידע שאנו מתנדבים ברצון. ממידע זה אתה יכול להיות מחורק לדמוגרפיה, "אהבתי" שלך מוקלט ומערכות יחסים מנוטרים. להלן 25 דברים שפייסבוק יודע עליהם ... קרא עוד ), ואפילו הסמארטפונים שלנו מהי מערכת ההפעלה הניידת הכי מאובטחת?אנו נאבקים על תואר מערכת ההפעלה הניידת המאובטחת ביותר, יש לנו: אנדרואיד, בלקברי, אובונטו, Windows Phone ו- iOS. איזו מערכת הפעלה מיטיבה להחזיק את עצמה מפני התקפות מקוונות? קרא עוד

instagram viewer
ואף אחד לא יכול להאשים אותך בכך שאתה קצת פרנואיד באיך שהאתרים דואגים למשהו כמו חשוב כסיסמתך כל מה שאתה צריך לדעת על סיסמאותסיסמאות חשובות ורוב האנשים לא יודעים עליהם מספיק. איך בוחרים סיסמה חזקה, משתמשים בסיסמה ייחודית בכל מקום וזוכרים את כולם? איך מאבטחים את החשבונות שלך? איך... קרא עוד .

למעשה, למען השקט הנפשי, זה משהו שכולם צריכים לדעת ...

התרחיש הגרוע ביותר: טקסט רגיל

קחו בחשבון זאת: אתר מרכזי נפרץ. עברייני סייבר פרצו את כל אמצעי האבטחה הבסיסיים שהיא נוקטת, אולי מנצלים את הפגם בארכיטקטורה שלהם. אתה לקוח. אתר זה שמר את פרטיך. למרבה המזל, הובטח לך שהסיסמה שלך מאובטחת.

9415848746_b33a9831d7_z

אלא שאתר זה שומר את הסיסמה שלך כטקסט רגיל.

זו תמיד הייתה פצצה מתקתקת. סיסמאות טקסט רגילות מחכות רק לביזוז. הם לא משתמשים באלגוריתם כדי להפוך אותם לקריאים. האקרים יכולים לקרוא אותו פשוט כמו שאתה קורא משפט זה.

זו מחשבה מפחידה, לא? לא משנה כמה הסיסמה שלך מורכבת, גם אם זה עד 30 ספרות: מסד נתונים של טקסט רגיל הוא רשימת הסיסמאות של כולם, המפורטות בבירור, כולל המספרים והתווים הנוספים שתוכלו להוסיף להשתמש. גם אם האקרים לא לפצח את האתר, האם אתה באמת רוצה שמנהל יוכל לראות את פרטי הכניסה הסודי שלך?

# c4news

אני תמיד משתמש בסיסמה טובה וחזקה, כמו הרקולס או טיטאן ומעולם לא היו לי בעיות ...

- אל תטרחו (@emilbordon) 16 באוגוסט 2016

אתם עשויים לחשוב שזו בעיה נדירה ביותר, אבל כ- 30% מאתרי המסחר האלקטרוני משתמשים בשיטה זו כדי "לאבטח" את הנתונים שלך - למעשה, יש כל הבלוג המוקדש להבליט עבריינים אלה! עד לשנה שעברה, אפילו NHL שמר סיסמאות בצורה זו, כמו שעשתה אדובי לפני הפרה משמעותית.

באופן מזעזע, חברת הגנת וירוסים, מקאפי משתמש גם בטקסט רגיל.

דרך קלה לגלות אם אתר משתמש בזה היא אם, רק לאחר ההרשמה, תקבל מהם דוא"ל עם פרטי הכניסה שלך. מאוד מפוקפק. במקרה כזה, ייתכן שתרצה לשנות כל אתרים עם אותה סיסמא ולפנות לחברה כדי להודיע ​​להם כי האבטחה שלהם מדאיגה.

זה לא אומר בהכרח שהם מאחסנים אותם כטקסט רגיל, אבל זה אינדיקטור טוב - והם ממש לא צריכים לשלוח דברים כאלה במיילים. הם עשויים לטעון את זה יש להם חומות אש ואח '. כדי להגן מפני פושעי רשת, אך להזכיר להם ששום מערכת אינה מוגדרת ללא דופי ומטשטשת את הסיכוי לאבד לקוחות מולם.

בקרוב הם ישנו את דעתם. אני מקווה ...

לא טוב כמו שזה נשמע: הצפנה

אז מה האתרים האלה עושים?

רבים יפנו להצפנה. כולנו שמענו על זה: דרך אטומה לכאורה לטרוף את המידע שלך, להפוך אותו לבלתי קריא עד ששני מפתחות - האחד בידיך (זה פרטי ההתחברות שלך) והשני על ידי החברה המדוברת - הם הציג. זה רעיון נהדר, כזה שאתה צריך אפילו ליישם בסמארטפון שלך 7 סיבות מדוע להצפין את נתוני הטלפון החכם שלךהאם אתה מצפין את המכשיר שלך? כל מערכות ההפעלה העיקריות של הסמארטפונים מציעות הצפנת מכשירים, אך האם עליכם להשתמש בה? הנה הסיבה להצפנה של סמארטפון כדאי ולא תשפיע על הדרך בה אתה משתמש בסמארטפון שלך. קרא עוד ומכשירים אחרים.

23771568875_09e67f020b_o

האינטרנט פועל באמצעות הצפנה: כשאתה ראה HTTPS בכתובת האתר HTTPS בכל מקום: השתמש ב- HTTPS במקום HTTP במידת האפשר קרא עוד , פירוש הדבר שהאתר בו אתה משתמש משתמש באחד מהאתרים שכבת שקעים מאובטחים (SSL) מה זה תעודת SSL והאם אתה צריך תעודה?גלישה באינטרנט יכולה להיות מפחידה כשמדובר במידע אישי. קרא עוד או פרוטוקולי שכבת תעבורה (TLS) ל- אמת חיבורים ונתבל כיצד הגלישה באינטרנט הופכת להיות מאובטחת עוד יותריש לנו תעודות SSL להודות על האבטחה והפרטיות שלנו. עם זאת, הפרות ופגמים שנעשו לאחרונה גרמו לאמון שלך בפרוטוקול הקריפטוגרפי. למרבה המזל, SSL מסתגל, משודרג - הנה איך. קרא עוד .

אבל למרות מה ששמעת אל תאמינו לחמשת המיתוסים הללו על הצפנה!ההצפנה נשמעת מורכבת, אך היא הרבה יותר פשוטה ממה שרובם חושבים. עם זאת, אתה עלול להרגיש קצת יותר מדי בחושך כדי להשתמש בהצפנה, אז בואו נבלה כמה מיתוסים של הצפנה! קרא עוד , ההצפנה אינה מושלמת.

מה זאת אומרת הסיסמה שלי לא יכולה להכיל מרחבים אחוריים ???

- דרק קליין (@rogue_analyst) 11 באוגוסט 2016

זה אמור להיות בטוח, אבל זה רק מאובטח כמו היכן שמאחסן המפתחות. אם אתר אינטרנט מגן על המפתח שלך (כלומר, הסיסמה) באמצעות שלהם, האקר יכול לחשוף את האחרון כדי למצוא את הקודם ולפענח אותו. זה ידרוש מאמץ מועט יחסית מגנב כדי למצוא את הסיסמה שלך; לכן מסדי נתונים מרכזיים הם יעד ענק.

בעיקרון, אם המפתח שלהם מאוחסן באותו שרת משלך, ייתכן שהסיסמה שלך עשויה להיות בטקסט רגיל. זו הסיבה שבאתר PlainTextOffenders הנ"ל מופיע גם שירותים המשתמשים בהצפנה הפיכה.

פשוט באופן מפתיע (אך לא תמיד אפקטיבי): האש

20971786578_c870e94ba8_z

עכשיו אנחנו מגיעים לאנשהו. סיסמאות שוממות נשמע כמו ז'רגון שטויות שפה טכנית: למד 10 מילים חדשות שנוספו לאחרונה למילון [אינטרנט משונה ומופלא]טכנולוגיה היא המקור להרבה מילים חדשות. אם אתה חנון וחובב מילים, תאהב את העשרה האלו שנוספו לגרסה המקוונת של מילון אוקספורד האנגלי. קרא עוד , אבל זו פשוט סוג הצפנה מאובטח יותר.

במקום לאחסן את הסיסמה שלך כטקסט רגיל, אתר מריץ אותה דרך a פונקצית hash, כמו MD5 מה כל הדברים האלה בעצם MD5 Hash (משמעות הטכנולוגיה)להלן פירוט מלא של MD5, hashing וסקירה כללית קטנה של מחשבים וקריפטוגרפיה. קרא עוד , אלגוריתם Secing Hashing (SHA) -1, או SHA-256, שהופך אותו לקבוצה שונה לחלוטין של ספרות; אלה יכולים להיות מספרים, אותיות או כל תו אחר. הסיסמה שלך יכולה להיות IH3artMU0. זה עשוי להפוך ל- 7dVq $ @ ihT, ואם האקר יתפרץ למסד נתונים, זה כל מה שהם יכולים לראות. וזה עובד רק בדרך אחת. אינך יכול לפענח אותו בחזרה.

למרבה הצער, זה לא זה לבטח. זה טוב יותר מטקסט רגיל, אך הוא עדיין סטנדרטי למדי עבור פושעי רשת. המפתח הוא שסיסמה ספציפית מייצרת hash ספציפי. יש סיבה טובה לכך: בכל פעם שאתה נכנס עם הסיסמה IH3artMU0, זה עובר אוטומטית באמצעות פונקציית ה- hash והאתר מאפשר לך לגשת אם ה- hash וזו שבסיס הנתונים באתר התאמה.

המשמעות היא גם שהאקרים פיתחו שולחנות קשת, רשימת חשיש, שכבר שימשו על ידי אחרים כסיסמאות, שמערכת מתוחכמת יכולה לעבור במהירות כ פיגוע בכוח מהן התקפות כוח אמיץ ואיך אתה יכול להגן על עצמך?בטח שמעתם את הביטוי "התקפה בכוח הזרוע". אבל מה, בדיוק, זה אומר? איך זה עובד? ואיך אתה יכול להגן על עצמך מפני זה? הנה מה שאתה צריך לדעת. קרא עוד . אם בחרת סיסמא גרועה באופן מזעזע 25 סיסמאות שעליכם להימנע, השתמשו ב- WhatsApp בחינם... [Digest News Digest]אנשים ממשיכים להשתמש בסיסמאות איומות, WhatsApp עכשיו בחינם לחלוטין, AOL שוקלת לשנות את שמה, Valve מאשר משחק Half-Life מתוצרת המעריצים, והילד עם מצלמה לפנים. קרא עוד , זה יהיה גבוה על שולחנות הקשת וניתן לפצח אותם בקלות; אלה מעורפלים יותר - שילובים נרחבים במיוחד - ייקחו זמן רב יותר.

כמה גרוע זה יכול להיות? חזרה בשנת 2012, לינקדאין נפרצה מה שאתה צריך לדעת על דליפת חשבונות הלינקדאין האדיריםהאקר מוכר 117 מיליון תעודות לינקדאין פרוצות ברשת האופל בסביבות 2,200 דולר בביטקוין. קווין שבזי, מנכ"ל ומייסד LogMeOnce, עוזר לנו להבין מה בדיוק נמצא בסיכון. קרא עוד . כתובות דוא"ל והזריזות שלהן התגלו. זה 177.5 מיליון חשיש, שמשפיעים על 164.6 מיליון משתמשים. ייתכן שתחשיב שזה לא מדאיג יותר מדי: הם רק עומס של ספרות אקראיות. די בלתי ניתן לפענוח, נכון? שני פיצוחים מקצועיים החליטו לקחת מדגם של 6.4 מיליון חשיש ולראות מה הם יכולים לעשות.

הם סדק 90% מהם תוך פחות משבוע.

טוב ככל שזה מתקבל: מלח וההסה איטית

שום מערכת איננה ניתנת לסגירה מכסחי המיתוסים: עצות אבטחה מסוכנות שלא עליכם לבצעבכל מה שקשור לאבטחת אינטרנט, לכל אחד ולבן דוד שלהם יש עצות להציע לך על חבילות התוכנה הטובות ביותר להתקנה, אתרים מפונפנים שעליך להימנע מהם או שיטות עבודה מומלצות בכל הנוגע ... קרא עוד האקרים יפעלו באופן טבעי לפיצוח כל מערכות אבטחה חדשות - אך הטכניקות החזקות יותר המיושמות מאת האתרים המאובטחים ביותר כל אתר מאובטח עושה זאת באמצעות הסיסמה שלךהאם תהית אי פעם כיצד אתרים שומרים על סיסמתך מפני הפרות נתונים? קרא עוד הם חשיפות חכמות יותר.

2435626898_b04c5e7f1f_z

חשיפות מלוחות מבוססות על תרגול של nonce קריפטוגרפי, מערך נתונים אקראי שנוצר עבור כל סיסמא פרטנית, בדרך כלל ארוכה מאוד ומורכבת מאוד. הספרות הנוספות הללו מתווספות להתחלה או לסוף של סיסמא (או סיסמת דואר אלקטרוני שילובים) לפני שהוא עובר דרך פונקציית החשיש, על מנת להילחם בניסיונות שנעשו באמצעות שולחנות קשת.

בדרך כלל לא משנה אם המלחים מאוחסנים על אותם שרתים כמו חשיש; פיצוח קבוצה של סיסמאות יכול להימשך זמן רב עבור האקרים, וזה אפילו קשה יותר אם שלך הסיסמה עצמה מוגזמת ומסובכת 6 טיפים ליצירת סיסמא בלתי ניתנת לשבירה שאתה זוכראם הסיסמאות שלך אינן ייחודיות ובלתי ניתנות לשבירה, תוכל באותה מידה לפתוח את דלת הכניסה ולהזמין את השודדים לארוחת צהריים. קרא עוד . לכן עליכם להשתמש תמיד בסיסמה חזקה, לא משנה כמה אתם סומכים על אבטחת האתר.

אתרים שלוקחים את האבטחה שלהם ברצינות רבה במיוחד, הופכים יותר ויותר לחיפזון איטי כאמצעי נוסף. פונקציות ה- hash הידועות ביותר (MD5, SHA-1 ו- SHA-256) היו קיימות זמן מה, והן נמצאות בשימוש נרחב מכיוון שהן קלות יחסית ליישום, ומפעילות hashes מהר מאוד.

התייחס לסיסמה שלך כמו במברשת השיניים שלך, שנה אותה באופן קבוע ואל תשתף אותה!

- פרו נגד בריונות (מטעם פרס הצדקה דיאנה) (@AntiBullyingPro) 13 באוגוסט 2016

בעודם ממרחים מלחים, חיפזון איטי אפילו טוב יותר במאבק בהתקפות הנשענות על מהירות; על ידי הגבלת האקרים לפחות פחות ניסיונות בשנייה, לוקח להם יותר זמן לפצח, ובכך הופך את הניסיונות פחות שווים, בהתחשב גם בשיעור ההצלחה שהורדת. פושעי רשת צריכים לשקול אם כדאי לתקוף מערכות חשיש איטי הגוזלות זמן על פני "תיקונים מהירים" יחסית: למוסדות רפואיים בדרך כלל יש פחות ביטחון 5 סיבות מדוע גניבת זהות רפואית הולכת וגוברתהרמאים רוצים את הפרטים האישיים שלך ואת פרטי חשבון הבנק שלך - אך האם ידעת שהתיקים הרפואיים שלך מעניינים אותם גם הם? גלה מה אתה יכול לעשות בקשר לזה. קרא עוד למשל, כך שניתן יהיה להשיג נתונים משם עדיין יימכרו תמורת סכומים מפתיעים הנה כמה זהותך יכולה להיות שווה באינטרנט האפללא נוח לחשוב על עצמך כמצרך, אבל כל הפרטים האישיים שלך, משם וכתובת ועד פרטי חשבון בנק, שווים משהו לעבריינים מקוונים. כמה אתה שווה? קרא עוד .

זה גם מאוד אדפטיבי: אם מערכת נמצאת במתח מסוים היא יכולה להאט עוד יותר. קודה הייל, מפתח תוכנת העיקרון לשעבר של מיקרוסופט, משווה את MD5 לפונקציה של חשיש האיטי הבולט ביותר, bcrypt (אחרים כוללים PBKDF-2 וסקריפט):

"במקום לפצח סיסמה כל 40 שניות [כמו ב- MD5], הייתי מפצח אותן כל 12 שנים בערך [כשמערכת משתמשת ב- bcrypt]. ייתכן שהסיסמאות שלך לא צריכות סוג כזה של אבטחה וייתכן שתזדקק לאלגוריתם השוואה מהיר יותר, אבל bcrypt מאפשר לך לבחור את איזון המהירות והביטחון שלך. "

ומכיוון שעדיין ניתן ליישם חשיש איטי תוך פחות משנייה, אסור להיפגע ממשתמשים.

למה זה משנה?

כאשר אנו משתמשים בשירות מקוון, אנו מתקשרים בחוזה אמון. עליכם להיות בטוחים בידיעה כי המידע האישי שלכם נשמר.

"המחשב הנייד שלי מוגדר לצלם אחרי שלושה ניסיונות סיסמא שגויים" pic.twitter.com/yBNzPjnMA2

- חתולים בחלל (@CatsLoveSpace) 16 באוגוסט 2016

שמירת סיסמתך בבטחה המדריך השלם לפישוט ואבטחת חייך באמצעות LastPass ו- Xmarksאמנם הענן אומר שאתה יכול לגשת בקלות למידע החשוב שלך בכל מקום שאתה נמצא, אבל זה גם אומר שיש לך הרבה סיסמאות לעקוב אחריהם. לכן נוצר LastPass. קרא עוד זה חשוב במיוחד. למרות אזהרות רבות, רבים מאיתנו משתמשים באותו אתר באתרים שונים, כך שאם יש, למשל, הפרת פייסבוק האם הפייסבוק שלך נפרץ? כך תוכלו לדעת (ולתקן את זה)ישנם צעדים שאתה יכול לנקוט כדי למנוע פריצה בפייסבוק, ודברים שאתה יכול לעשות במקרה שהפייסבוק שלך ייפרץ. קרא עוד , פרטי ההתחברות שלך לאתרים אחרים שאתה מרבה להשתמש באותה סיסמה עשויים להיות גם ספר פתוח עבור פושעי רשת.

האם גילית עברייני טקסט רגילים? באילו אתרים אתה סומך באופן מרומז? מה לדעתך השלב הבא לאחסון סיסמא מאובטח?

קרדיטים לתמונות: סטודיו אפריקה / Shutterstock, סיסמאות שגויות מאת לולו הולר [לא ניתן להשיג עוד]; כניסה באמצעות רכב איטליה; קבצי סיסמא לינוקס מאת כריסטיאן קולן; ו שייקר מלח מאת קארין כריסטנר.

כשהוא לא צופה בטלוויזיה, קורא ספרים של קומיקס מארוול, מקשיב ל"קוצ'רס "ואובססיביות בגלל רעיונות לתסריט, פיליפ בייטס מתחזה לסופר פרילנסר. הוא נהנה לאסוף הכל.