Hoe houden websites uw wachtwoorden veilig?
We gaan nu zelden een maand zonder te horen over een soort datalek; het kan een up-to-date service zijn zoals Gmail Is Your Gmail Account met 42 miljoen gelekte referenties? Is uw Gmail-account onder de 42 miljoen gelekte inloggegevens? Meer lezen of iets dat de meesten van ons zijn vergeten, zoals MySpace Facebook Tracks Everybody, MySpace Got Hacked ... [Tech News Digest] Facebook volgt iedereen, MySpace is gehackt ... [Tech News Digest] Facebook volgt iedereen op internet, miljoenen MySpace inloggegevens zijn te koop, Amazon brengt Alexa naar je browser, No Man's Sky loopt vertraging op en Pong Project krijgt vorm. Lees verder .
Factor in ons toenemend bewustzijn van de manier waarop onze privéinformatie wordt opgezogen door Google Five Things Google weet waarschijnlijk over u Vijf dingen Google weet waarschijnlijk over u Lees meer, sociale media (met name Facebook Facebook Privacy: 25 dingen die het sociale netwerk weet over u Facebook Privacy: 25 dingen Het sociale netwerk weet alles over jou Facebook kent een verrassend aantal over ons - informatie die we vrijwillig aanbieden.Van die informatie kun je een demografische lijst krijgen, je "likes" worden vastgelegd en relaties worden gecontroleerd. ... Lees meer), en zelfs onze eigen smartphones Wat is het meest veilige mobiele besturingssysteem? Wat is het meest veilige mobiele besturingssysteem? Vechtend voor de titel van het meest veilige mobiele besturingssysteem, hebben we: Android, BlackBerry, Ubuntu, Windows Phone en iOS. Welk besturingssysteem is het best in staat zich staande te houden tegen online aanvallen? Meer lezen, en niemand kan je kwalijk nemen dat je een beetje paranoïde bent over hoe websites zorgen voor iets dat zo belangrijk is als je wachtwoord Alles wat je moet weten over wachtwoorden Alles wat je moet weten over wachtwoorden Wachtwoorden zijn belangrijk en de meeste mensen weten niet genoeg over hen. Hoe kies je een sterk wachtwoord, gebruik je overal een uniek wachtwoord en onthoud je ze allemaal? Hoe beveilig je je accounts? Hoe kan ik ... Lees meer .
In feite is dit voor alle gemoedsrust iets dat iedereen moet weten ...
The Worst Case Scenario: Plain Text
Beschouw dit: een belangrijke website is gehackt. Cybercriminelen hebben alle elementaire veiligheidsmaatregelen getroffen die ze nodig hebben, misschien door misbruik te maken van hun architectuur. Je bent een klant. Die site heeft uw gegevens opgeslagen. Gelukkig bent u er zeker van dat uw wachtwoord veilig is.
Behalve die site bewaart uw wachtwoord als platte tekst.
Het was altijd een tikkende bom. Platte tekst wachtwoorden wachten gewoon om geplunderd te worden. Ze gebruiken geen algoritme om ze onleesbaar te maken. Hackers kunnen het lezen net zo eenvoudig als u deze zin aan het lezen bent.
Het is een enge gedachte, is het niet? Het maakt niet uit hoe ingewikkeld uw wachtwoord is, ook al is het pi tot 30 cijfers: een gewone tekstdatabase is een lijst met ieders wachtwoorden, duidelijk omschreven, inclusief de extra cijfers en tekens die u gebruikt. Zelfs als hackers niet doen kraak de site, zou je echt willen dat admin je vertrouwelijke inloggegevens kan zien?
# c4news
Ik gebruik altijd een goed, sterk wachtwoord, zoals Hercules of Titan en ik heb nooit problemen gehad ...
- Doe geen moeite (@emilbordon) 16 augustus 2016
Je zou kunnen denken dat dit een zeer zeldzaam probleem is, maar naar schatting 30% van de eCommerce-websites gebruiken deze methode om “beveiligen” uw gegevens - in feite is er een hele blog gewijd aan het markeren van deze overtreders! Tot vorig jaar bewaarde zelfs de NHL wachtwoorden op deze manier, net als Adobe voor een grote overtreding.
Het schokkende, virusbeveiligingsbedrijf McAfee maakt ook gebruik van platte tekst.
Een eenvoudige manier om erachter te komen of een site dit gebruikt, is door direct na het aanmelden een e-mail van hen te ontvangen met uw inloggegevens. Zeer dodgy. In dat geval wilt u misschien sites met datzelfde wachtwoord wijzigen en contact opnemen met het bedrijf om hen erop te attenderen dat hun beveiliging zorgwekkend is.
Het betekent niet noodzakelijk dat ze worden opgeslagen als platte tekst, maar het is een goede indicator - en ze zouden dit soort dingen eigenlijk toch niet in e-mails moeten verzenden. Ze kunnen beweren dat ze een firewall hebben et al. beschermen tegen cybercriminelen, maar herinner hen eraan dat geen enkel systeem onberispelijk is en het vooruitzicht om klanten voor zich te verliezen benadeelt.
Ze zullen snel van gedachten veranderen. Hopelijk…
Niet zo goed als het klinkt: encryptie
Dus wat deze sites doen?
Velen zullen codering gebruiken. We hebben er allemaal van gehoord: een schijnbaar ondoordringbare manier om uw informatie te versleutelen, waardoor deze onleesbaar wordt totdat twee sleutels - één die u bijhoudt (dat zijn uw inloggegevens) en de andere door het bedrijf in kwestie - worden gepresenteerd. Het is een geweldig idee, een idee dat je zelfs op je smartphone moet implementeren 7 Redenen waarom je je smartphonegegevens moet coderen 7 Redenen waarom je je smartphonegegevens moet versleutelen Versleutel je je apparaat? Alle belangrijke besturingssystemen voor smartphones bieden apparaatcodering, maar moet u deze gebruiken? Hier is de reden waarom smartphoneversleuteling de moeite waard is en heeft geen invloed op de manier waarop u uw smartphone gebruikt. Meer lezen en andere apparaten.
Het internet draait op codering: wanneer u HTTPS ziet in de URL HTTPS Everywhere: gebruik HTTPS in plaats van HTTP indien mogelijk HTTPS overal: gebruik HTTPS in plaats van HTTP indien mogelijk lees meer, dat betekent dat de site waarop u zich bevindt, ofwel de Secure Sockets gebruikt Laag (SSL) Wat is een SSL-certificaat en heeft u er een nodig? Wat is een SSL-certificaat en heeft u er een nodig? Surfen op het internet kan eng zijn als het om persoonlijke gegevens gaat. Meer lezen of Transport Layer Security (TLS) -protocollen om verbindingen te verifiëren en allegaartjes door elkaar te halen Hoe Web Browsing nog veiliger wordt Hoe Web Browsing nog veiliger wordt We hebben SSL-certificaten te danken voor onze veiligheid en privacy. Maar recente inbreuken en fouten hebben mogelijk uw vertrouwen in het cryptografische protocol aangetast. Gelukkig is SSL aan het aanpassen, omdat het geüpgraded is - hier is hoe. Lees verder .
Maar ondanks wat je misschien hebt gehoord, moet je deze 5 mythen over encryptie niet geloven! Geloof deze 5 mythen niet over encryptie! Versleuteling klinkt ingewikkeld, maar is veel eenvoudiger dan de meeste denken. U kunt zich echter een beetje te donker voelen om gebruik te maken van codering, dus laten we een aantal versleutelingsmythes kapot maken! Meer lezen, versleuteling is niet perfect.
Whaddya wil zeggen dat mijn wachtwoord geen backspaces kan bevatten ???
- Derek Klein (@rogue_analyst) 11 augustus 2016
Het moet veilig zijn, maar het is alleen zo veilig als waar de sleutels worden bewaard. Als een website uw sleutel (dat wil zeggen wachtwoord) beschermt met de eigen sleutel, kan een hacker de sleutel blootleggen om de eerste te vinden en te decoderen. Het zou relatief weinig moeite kosten van een dief om je wachtwoord te vinden; daarom zijn belangrijke databases een enorm doelwit.
Kortom, als hun sleutel wordt opgeslagen op dezelfde server als die van u, kan uw wachtwoord net zo goed in platte tekst zijn. Dat is de reden waarom de bovengenoemde site van PlainTextOffenders ook een lijst weergeeft van services die omkeerbare codering gebruiken.
Verrassend eenvoudig (maar niet altijd effectief): haspelen
Nu komen we ergens. Hashing-wachtwoorden klinkt als onzin-jargon Tech Jargon: Leer 10 nieuwe woorden Onlangs toegevoegd aan het woordenboek [Weird & Wonderful Web] Tech Jargon: leer 10 nieuwe woorden Onlangs toegevoegd aan het woordenboek [Weird & Wonderful Web] Technologie is de bron voor veel nieuwe woorden . Als u een nerd en een woordminnaar bent, zult u van deze tien houden die aan de online versie van Oxford English Dictionary werden toegevoegd. Meer lezen, maar het is gewoon een veiliger vorm van codering.
In plaats van je wachtwoord op te slaan als platte tekst, voert een site een hash-functie uit, zoals MD5 What All This MD5 Hash Stuff betekent eigenlijk [technologie verklaard] Wat al deze MD5 Hash Stuff feitelijk betekent [Technologie verklaard] Hier is een volledige run-down van MD5, hashen en een klein overzicht van computers en cryptografie. Read More, Secure Hashing Algorithm (SHA) -1, of SHA-256, waarmee het wordt omgezet in een geheel andere reeks cijfers; dit kunnen cijfers, letters of andere tekens zijn. Uw wachtwoord kan IH3artMU0 zijn. Dat kan 7dVq $ @ ihT worden en als een hacker een database binnenbreekt, is dat alles wat ze kunnen zien. En het werkt maar op één manier. Je kunt het niet terug decoderen.
Helaas is dat niet zo dat veilig. Het is beter dan gewone tekst, maar het is nog steeds vrij standaard voor cybercriminelen. De sleutel is dat een specifiek wachtwoord een specifieke hash produceert. Daar is een goede reden voor: elke keer dat je inlogt met het wachtwoord IH3artMU0, passeert het automatisch die hash-functie en de website geeft je toegang als die hash en die in de database-match van de site.
Het betekent ook dat hackers regenboogtabellen hebben ontwikkeld, een lijst met hashes, die al door anderen als wachtwoorden zijn gebruikt, die een geavanceerd systeem snel kan doorlopen als een brute-kracht-aanval. Wat zijn Brute Force-aanvallen en hoe kun je jezelf beschermen? Wat zijn Brute Force-aanvallen en hoe kun je jezelf beschermen? Je hebt waarschijnlijk de uitdrukking "brute force attack" gehoord. Maar wat betekent dat precies? Hoe werkt het? En hoe kun je jezelf ertegen beschermen? Dit is wat je moet weten. Lees verder . Als je een schokkend slecht wachtwoord hebt gekozen 25 Wachtwoorden die je moet vermijden, Gebruik WhatsApp gratis ... [Tech News Digest] 25 wachtwoorden die je moet vermijden, Gebruik WhatsApp gratis ... [Tech News Digest] Mensen blijven vreselijke wachtwoorden gebruiken, WhatsApp is nu helemaal gratis, AOL overweegt de naam te veranderen, Valve keurt een door fans gemaakt Half-Life-spel goed en The Boy With a Camera for a Face. Meer lezen, dat zal hoog zijn aan de regenboogtafels en kan gemakkelijk worden gekraakt; meer obscure degenen - met name uitgebreide combinaties - zullen langer duren.
Hoe erg kan het zijn? In 2012 werd LinkedIn gehackt Wat u moet weten over de enorme LinkedIn-accounts Lekken Wat u moet weten over de enorme LinkedIn-accounts Lek Een hacker verkoopt 117 miljoen gehackte LinkedIn-referenties op het Dark-web voor ongeveer $ 2200 in Bitcoin. Kevin Shabazi, CEO en oprichter van LogMeOnce, helpt ons te begrijpen wat er precies dreigt. Lees verder . E-mailadressen en de bijbehorende hashes zijn gelekt. Dat zijn 177,5 miljoen hashes, die 164,6 miljoen gebruikers treffen. Misschien vind je dat niet zo'n zorg, het zijn gewoon een hoop willekeurige cijfers. Best niet te ontcijferen, toch? Twee professionele crackers besloten om een steekproef van 6,4 miljoen hashes te nemen en te zien wat ze konden doen.
Ze hebben 90% van hen in minder dan een week gekraakt.
Zo goed als het wordt: zouten en langzame hash
Geen systeem is onneembaar Mythbusters: gevaarlijk veiligheidsadvies Mythbusters moet u niet volgen: gevaarlijke veiligheidsadviezen die u niet moet volgen Als het gaat om internetbeveiliging, heeft iedereen en zijn neef advies om u de beste softwarepakketten aan te bieden die u moet installeren, dodgy sites om uit de buurt te blijven van best practices als het gaat om ... Lees meer - hackers zullen uiteraard werken om nieuwe beveiligingssystemen te kraken - maar de sterkere technieken geïmplementeerd door de meest veilige sites Elke beveiligde website doet dit met uw wachtwoord Elke beveiligde website doet dit Met uw wachtwoord Heeft u zich ooit afgevraagd hoe websites uw wachtwoord beveiligen tegen datalekken? Meer lezen zijn slimmere hashes.
Gezouten hashes zijn gebaseerd op de praktijk van een cryptografische nonce, een willekeurige dataset gegenereerd voor elk individueel wachtwoord, meestal erg lang en zeer complex. Deze extra cijfers worden toegevoegd aan het begin of aan het einde van een wachtwoord (of combinaties van e-mail en wachtwoorden) voordat deze de hashfunctie passeren, om pogingen die met regenboogtabellen zijn gemaakt, te bestrijden..
Het maakt over het algemeen niet uit of de zouten worden opgeslagen op dezelfde servers als hashes; kraken van een reeks wachtwoorden kan enorm veel tijd kosten voor hackers, nog moeilijker gemaakt als je wachtwoord zelf buitensporig en ingewikkeld is 6 Tips voor het maken van een onbreekbaar wachtwoord dat je kunt onthouden 6 Tips voor het maken van een onbreekbaar wachtwoord dat je kunt onthouden Als je wachtwoorden zijn niet uniek en onbreekbaar, je kunt net zo goed de voordeur openen en de overvallers uitnodigen voor de lunch. Lees verder . Daarom moet u altijd een sterk wachtwoord gebruiken, ongeacht hoeveel u de beveiliging van een site vertrouwt.
Websites die hun, en bij uitbreiding uw, veiligheid bijzonder serieus nemen, kiezen steeds vaker voor trage hashes als extra maatregel. De bekendste hashfuncties (MD5, SHA-1 en SHA-256) bestaan al een tijdje en worden veel gebruikt omdat ze relatief gemakkelijk te implementeren zijn en heel snel hashes toepassen.
Behandel je wachtwoord zoals je tandenborstel, verander het regelmatig en deel het niet!
- Anti-Bullying Pro (van liefdadigheid The Diana Award) (@AntiBullyingPro) 13 augustus 2016
Terwijl het nog steeds zouten toepast, zijn langzame hashes nog beter in het bestrijden van aanvallen die afhankelijk zijn van snelheid; door hackers te beperken tot aanzienlijk minder pogingen per seconde, duurt het langer om te kraken, waardoor pogingen minder de moeite waard zijn, gelet ook op de verlaagde slagingskans. Cybercriminelen moeten afwegen of het de moeite waard is om tijdrovende langzame hashsystemen over te nemen in vergelijking met andere “snelle reparaties”: medische instellingen hebben doorgaans minder beveiliging 5 Redenen waarom medische identiteitsdiefstal stijgt 5 Redenen waarom medische identiteitsdiefstal toeneemt Oplichters willen uw persoonlijke gegevens en bankrekeninggegevens, maar wist u dat uw medische gegevens ook van belang zijn voor hen? Ontdek wat u eraan kunt doen. Lees meer, bijvoorbeeld, zodat gegevens die van daaruit kunnen worden verkregen nog steeds kunnen worden verkocht voor verrassende bedragen. Hier is hoeveel uw identiteit waard kon zijn op het donkere web. Hier is hoeveel uw identiteit waard kan zijn op het donkere web. Het is ongemakkelijk om te denken van uzelf als handelsartikel, maar al uw persoonlijke gegevens, van naam en adres tot bankrekeninggegevens, zijn iets waard voor online criminelen. Hoeveel ben je waard? Lees verder .
Het is ook zeer adaptief: als een systeem onder hoge druk staat, kan het nog verder vertragen. Coda Hale, Microsoft's voormalige Principle Software Developer, vergelijkt MD5 met misschien wel de meest opvallende langzame hash-functie, bcrypt (andere omvatten PBKDF-2 en scrypt):
“In plaats van elke 40 seconden een wachtwoord te kraken [zoals bij MD5], zou ik ze elke 12 jaar kraken [als een systeem bcrypt gebruikt]. Uw wachtwoorden hebben misschien niet zo'n beveiliging nodig en u hebt mogelijk een sneller vergelijkingsalgoritme nodig, maar met bcrypt kunt u uw evenwicht tussen snelheid en beveiliging kiezen.”
En omdat een langzame hash nog steeds in minder dan een seconde kan worden geïmplementeerd, moeten gebruikers hier geen hinder van ondervinden.
Waarom maakt het uit?
Wanneer we een online service gebruiken, gaan we een vertrouwenscontract aan. Je moet veilig zijn in de wetenschap dat je persoonlijke informatie veilig wordt bewaard.
"Mijn laptop is ingesteld om een foto te maken na drie onjuiste wachtwoordpogingen" pic.twitter.com/yBNzPjnMA2
- Katten in de ruimte (@CatsLoveSpace) 16 augustus, 2016
Uw wachtwoord veilig opslaan De complete handleiding voor het vereenvoudigen en beveiligen van uw leven met LastPass en Xmarks De complete handleiding voor het vereenvoudigen en beveiligen van uw leven met LastPass en Xmarks Terwijl de cloud betekent dat u eenvoudig toegang hebt tot uw belangrijke informatie, waar u ook bent, betekent dit ook dat u heb veel wachtwoorden om bij te houden. Dat is waarom LastPass is gemaakt. Meer lezen is vooral belangrijk. Ondanks vele waarschuwingen gebruiken velen van ons dezelfde voor verschillende sites, dus als er bijvoorbeeld een Facebook-breuk Is Has Your Facebook is gehackt? Hier is hoe te vertellen (en het te repareren) Is uw Facebook gehackt? Hier leest u hoe u het kunt vertellen (en repareren) Er zijn stappen die u kunt nemen om te voorkomen dat u wordt gehackt op Facebook en dingen die u kunt doen als uw Facebook wordt gehackt. Meer lezen, uw inloggegevens voor andere sites die u vaak met hetzelfde wachtwoord gebruikt, kunnen ook een open boek voor cybercriminelen zijn.
Hebt u Plain Text Offenders ontdekt? Welke sites vertrouwt u impliciet? Wat denk je dat de volgende stap is voor veilige wachtwoordopslag?
Afbeeldingscredits: Africa Studio / Shutterstock, onjuiste wachtwoorden door Lulu Hoeller; Inloggen door Automobile Italia; Linux wachtwoordbestanden van Christiaan Colen; en zoutvaatje door Karyn Christner.
Ontdek meer over: Versleuteling, Online privacy, Online beveiliging.