Heartbleed Fallout: 4 načini za preprečevanje nove katastrofe

heker

Razočarani zaradi padavin iz Heartbleeda? Niste sami. Drobna napaka v najbolj priljubljeni svetovni knjižnici SSL je povzročila velike luknje v varnosti, ki je zavila naše komunikacije z vsemi vrstami spletnih mest, aplikacij in storitev v oblaku - in luknje še niso niti zakrpane.

Napaka Heartbleed je napadalcem omogočila, da odstranijo odporno podlogo OpenSSL in pokukajo v komunikacijo med odjemalcem in strežnikom. To je hekerjem omogočilo vpogled v stvari, kot so gesla in piškotki seje, ki so majhni podatki, ki jih strežnik pošlje po prijavi in ​​jih brskalnik pošlje nazaj vsakič, ko nekaj storite, da dokaže, da ste to vi. In če je napaka vplivala na finančno spletno mesto, so morda vidne druge občutljive informacije, ki ste jih posredovali po internetu, na primer podatki o kreditni kartici ali davku.

Kako se lahko internet najbolje zaščiti pred takšnimi katastrofalnimi hrošči? Imamo nekaj idej.

Da, potrebujete varnejša gesla: Evo, kako jih narediti

V redu, zato boljša gesla ne bi preprečila naslednjega Heartbleeda, vendar vam bodo morda nekoč rešila vdora. Mnogi ljudje grozno ustvarjajo varna gesla.

Vse ste že slišali: ne uporabljajte »password1«, »password2« itd. Večina gesel nima dovolj tega, kar imenujemo entropija - zagotovo sone naključno in onivolja bodite uganili, če dobi napadalec kdaj priložnost uganiti bodisi s kladivom storitve bodisi (bolj verjetno) s krajo zgoščenih gesel - matematične izpeljave gesel, ki jih je mogoče preveriti, vendar jih ni mogoče vrniti nazaj v prvotno geslo.

Karkoli počnete, ne uporabljajte istega gesla na več mestih.

Mnogi ponudniki storitev se tega problema lotijo ​​tako, da od uporabnikov zahtevajo gesla določene dolžine, ki vsebujejo ločila in številke, da bi poskušali povečati entropijo. Žalostna resničnost pa je, da takšna pravila le malo pomagajo. Boljša možnost so dolge besedne zveze z dejanskimi, nepozabnimi besedami - tisto, kar je postalo znano kot geslo za "pravilno konjsko baterijo", v počastitev tega stripa XKCD, ki razlaga koncept. Na žalost lahko (tako kot jaz) naletite na ponudnike, ki vam ne dovolijo, da tako uporabljate gesla. (Da, obstajajo finančne institucije, ki vas omejijo na 10 znakov. Ne, ne vem, kaj kadijo.)

Pomagajo vam lahko tudi programska oprema za upravljanje gesel ali storitve, ki uporabljajo šifriranje od konca do konca. KeePass je dober primer prvega; LastPass slednjega. Dobro zaščitite svojo e-pošto, saj jo lahko uporabite za ponastavitev večine gesel. In kar koli naredite, ne uporabljajte istega gesla več kot na enem mestu - samo prosite za težave.

Spletna mesta morajo uporabljati enkratna gesla

OTP pomeni »enkratno geslo« in ga boste morda že uporabili, če imate nastavljeno spletno mesto / storitev, ki zahteva uporabo Google Authenticator. Večina teh overiteljev (vključno z Googlovimi) uporablja internetni standard, imenovan TOTP, ali časovno utemeljeno enkratno geslo, ki je opisano tukaj.

Kaj je TOTP? Na kratko, spletno mesto, na katerem ste, ustvari skrivno številko, ki se enkrat posreduje programu za preverjanje pristnosti, običajno prek kode QR. V časovno spremenjeni različici se iz te skrivne številke vsakih 30 sekund ustvari nova šestmestna številka. Spletnemu mestu in odjemalcu (vaš računalnik) ni treba znova komunicirati; Številke se preprosto prikažejo na vašem avtentifikatorju in jih posredujete na spletno mesto, kot je zahtevano v povezavi z vašim geslom, in tu ste. Obstaja tudi različica, ki deluje tako, da vam iste kode pošlje prek besedilnega sporočila.

LastPass Android App LastPassova aplikacija za Android

Prednosti TOTP: Tudi če bi Heartbleed ali podobna napaka povzročila razkritje vašega gesla in številke na vašem avtentifikatorju, je spletno mesto, s katerim komunicirate, to številko že skoraj zagotovo označilo kot uporabljeno in ga ni mogoče ponovno uporabiti - in bo v 30 sekundah neveljavna. Če spletno mesto te storitve že ne ponuja, jo verjetno lahko stori razmeroma enostavno in če imate skoraj vsak pametni telefon, lahko zaženete avtentifikator. Nekoliko neprijetno je, če se za prijavo po telefonu posvetujete s svojim telefonom, vendar je ugodnost varnosti za katero koli storitev, ki vas zanima, vredna tega.

Tveganja za TOTP: Vdor v strežnik a drugačen način bi lahko privedel do razkritja tajne številke, kar bi napadalcu omogočilo, da ustvari lastno avtentifikator. Če pa uporabljate TOTP v povezavi z geslom, ki ga spletno mesto ne shrani - večina dobrih ponudnikov shrani razpršitev, ki je močno odporna na njeno obratno inženirstvo -, potem je tveganje med njima močno zmanjšano.

Moč potrdil strank (in kakšna so)

Za potrdila strank verjetno še niste slišali, so pa dejansko že zelo dolgo (seveda v internetnih letih). Razlog, zakaj zanje verjetno niste slišali, je ta, da jih je težko opraviti. Veliko lažje je uporabnike preprosto izbrati za geslo, zato le spletna mesta z visoko stopnjo varnosti uporabljajo potrdila.

Kaj je potrdilo stranke? Potrdila strank dokazujejo, da ste oseba, za katero trdite, da ste. Vse, kar morate storiti, je, da ga namestite (in eno deluje na številnih spletnih mestih) v brskalnik, nato pa se odločite, da ga uporabite, ko spletno mesto želi, da preverite pristnost. Ta potrdila so bližnji bratranec potrdil SSL, s katerimi se spletna mesta identificirajo v vašem računalniku.

Najučinkovitejši način, kako lahko spletno mesto zaščiti vaše podatke, je, da jih nikoli ne poseduje.

Prednosti potrdil strank: Ne glede na to, na koliko spletnih mest se prijavite s certifikatom stranke, je moč matematike na vaši strani; nihče ne bo mogel uporabiti istega potrdila, da bi se pretvarjal, da ste vi, tudi če opazuje vašo sejo.

Tveganja potrdil strank: Primarno tveganje potrdila stranke je, da lahko nekdo vdre v njegavaš računalnik in ga ukradli, vendar obstaja tveganje za zmanjšanje tveganja. Druga možna težava je, da tipična potrdila odjemalcev vsebujejo nekatere podatke o identiteti, ki jih morda ne želite razkriti na vsakem spletnem mestu, ki ga uporabljate. Čeprav odjemalska potrdila obstajajo že od nekdaj in v programski opremi spletnih strežnikov obstaja delovna podpora, je še veliko dela na strani ponudnikov storitev in brskalnikov, da bodo lahko delovalino. Ker jih uporabljajo tako redko, so malo pozorni na razvoj.

Najpomembneje: šifriranje od konca do konca

Najučinkovitejši način, kako lahko spletno mesto zaščiti vaše podatke, je, da jih nikoli ne poseduje - vsaj ne različice, ki jo lahko prebere. Če lahko spletno mesto bere vaše podatke, lahko napadalec z zadostnim dostopom bere vaše podatke. Zato nam je všeč šifriranje od konca do konca (E2EE).

Kaj je šifriranje od konca do konca? To pomeni, da šifrirate podatke na svojem koncu in toostane šifrirano, dokler ne pride do osebe, za katero jo nameravate, ali se vam vrne.

Prednosti E2EE: Šifriranje od konca do konca je že uporabljeno v nekaterih storitvah, kot so spletne varnostne kopije. V nekaterih storitvah za pošiljanje sporočil obstajajo tudi njegove šibkejše različice, zlasti tiste, ki so se pojavile po razkritjih Snowdena. Spletna mesta težko šifrirajo od konca do konca iz dveh razlogov: morda bodo morali videti vaše podatke, da bi zagotovili svoje storitve, in spletni brskalniki so grozni pri izvajanju E2EE. Toda v dobi aplikacije za pametni telefon je šifriranje od konca do konca nekaj, kar se lahko in bi bilo treba pogosteje izvajati. Večina aplikacij danes ne uporablja E2EE, vendar upamo, da bomo še več videli. Če vaše aplikacije za občutljive podatke ne uporabljajo E2EE, se pritožite.

Tveganja za E2EE: Da bo šifriranje od konca do konca delovalo, je treba to storiti vsesplošno - če aplikacija ali spletno mesto to počne le z pol srca, se lahko celo hiša kart sesuje. En del nešifriranih podatkov lahko včasih uporabimo za dostop do ostalih.Varnost je igra s najšibkejšimi povezavami; samo en člen v verigi ga ne sme prekiniti.

Torej, kaj zdaj?

Očitno ni veliko, kar lahko kot uporabnik nadzorujete. Imeli boste srečo, da boste našli storitev, ki uporablja enkratna gesla z avtentifikatorjem. Vsekakor pa se morate pogovoriti s spletnimi mesti in aplikacijami, ki jih uporabljate, ter jim sporočiti, da ugotovite, da se napake v programski opremi zgodijo, in menite, da bi morali varnost jemati bolj resno in se ne zanašati le na gesla.

Če večina interneta uporablja te napredne varnostne metode, bo morda naslednjič prišlo do katastrofe programske opreme Heartbleed - in tam bovolja sčasoma - ne bomo morali toliko paničariti.

[Slika dovoljena s strani scyther5 / Shutterstock]

Zadnje objave

$config[zx-auto] not found$config[zx-overlay] not found