Wie schützen Websites Ihre Passwörter?
Wir gehen jetzt selten einen Monat, ohne von einer Art von Datenschutzverletzung zu hören. könnte es ein aktueller Dienst sein, wie Gmail Ist Ihr Gmail-Konto unter 42 Millionen ausgelassenen Anmeldeinformationen? Gehört Ihr Google Mail-Konto zu 42 Millionen ausgelassenen Anmeldeinformationen? Lesen Sie mehr oder etwas, was die meisten von uns vergessen haben, wie MySpace Facebook Tracks Everybody, MySpace Got Hacked… [Tech News Digest] Facebook Tracks Everybody, MySpace Got Hacked… [Tech News Digest] Facebook verfolgt jeden im Web, Millionen von MySpace Anmeldeinformationen stehen zum Verkauf, Amazon bringt Alexa in Ihren Browser, No Man's Sky erleidet eine Verzögerung und Pong Project nimmt Gestalt an. Weiterlesen .
Faktor in unserem zunehmenden Bewusstsein für die Art und Weise, wie unsere privaten Informationen von Google abgesaugt werden Fünf Dinge Google weiß wahrscheinlich über Sie fünf Dinge Google weiß wahrscheinlich über Sie Lesen Sie mehr, Social Media (insbesondere Facebook Facebook Datenschutz: 25 Dinge, die das soziale Netzwerk über Sie kennt Facebook Datenschutz: 25 Dinge, die das soziale Netzwerk kennt Facebook kennt eine überraschende Menge über uns - Informationen, die wir freiwillig zur Verfügung stellen. Von diesen Informationen aus können Sie in eine demografische Liste aufgenommen werden, Ihre "Gefällt mir" -Aufzeichnungen werden aufgezeichnet und die Beziehungen werden überwacht. Hier sind 25 Dinge, über die Facebook weiß … Read More) und sogar unsere eigenen Smartphones Was ist das sicherste mobile Betriebssystem? Was ist das sicherste mobile Betriebssystem? Um den Titel des sichersten mobilen Betriebssystems kämpfen, haben wir: Android, BlackBerry, Ubuntu, Windows Phone und iOS. Welches Betriebssystem kann sich gegen Online-Angriffe am besten behaupten? Lesen Sie mehr, und niemand kann Sie dafür verantwortlich machen, ein bisschen paranoid zu sein, wie Websites nach etwas suchen, das so wichtig ist wie Ihr Passwort. Alles, was Sie über Kennwörter wissen müssen Alles, was Sie über Kennwörter wissen müssen Kennwörter sind wichtig und die meisten Menschen wissen nicht genug darüber Sie. Wie wählen Sie ein sicheres Kennwort aus, verwenden Sie überall ein eindeutiges Kennwort und erinnern Sie sich an alle? Wie sichern Sie Ihre Konten? Wie mache ich… Read More .
Für den Seelenfrieden ist dies etwas, das jeder wissen muss…
Das ungünstigste Szenario: Nur Text
Bedenken Sie Folgendes: Eine große Website wurde gehackt. Cyberkriminelle haben alle grundlegenden Sicherheitsmaßnahmen durchbrochen und möglicherweise einen Fehler in ihrer Architektur ausgenutzt. Du bist ein Kunde. Diese Seite hat Ihre Angaben gespeichert. Zum Glück haben Sie versichert, dass Ihr Passwort sicher ist.
Außer dass diese Site Ihr Passwort als Klartext speichert.
Es war immer eine tickende Bombe. Klartextpasswörter warten nur darauf, geplündert zu werden. Sie verwenden keinen Algorithmus, um sie unlesbar zu machen. Hacker können es so einfach lesen, wie Sie diesen Satz lesen.
Es ist ein gruseliger Gedanke, nicht wahr? Es ist egal, wie komplex Ihr Kennwort ist, auch wenn es bis zu 30 Stellen lang ist: Eine Klartextdatenbank enthält eine Liste aller Kennwörter aller Benutzer, einschließlich aller zusätzlichen Zahlen und Zeichen, die Sie verwenden. Auch wenn Hacker nicht Crack the site, möchten Sie wirklich, dass der Administrator Ihre vertraulichen Anmeldedaten sehen kann??
# c4news
Ich benutze immer ein gutes, starkes Passwort wie Hercules oder Titan und hatte noch nie Probleme…
- Stört euch nicht (@emilbordon) am 16. August 2016
Sie denken vielleicht, dass dies ein sehr seltenes Problem ist, aber schätzungsweise 30% der eCommerce-Websites verwenden diese Methode “sichern” Ihre Daten - in der Tat gibt es einen ganzen Blog, um diese Täter hervorzuheben! Bis zum letzten Jahr hat sogar die NHL Passwörter auf diese Weise gespeichert, ebenso wie Adobe vor einem schwerwiegenden Verstoß.
Schockierend, Virenschutzfirma, verwendet McAfee auch Nur-Text.
Eine einfache Möglichkeit, um herauszufinden, ob eine Website dies verwendet, ist, wenn Sie direkt nach der Anmeldung eine E-Mail von ihnen erhalten, in der Ihre Anmeldedaten aufgeführt sind. Sehr zwielichtig In diesem Fall möchten Sie möglicherweise alle Websites mit demselben Kennwort ändern und das Unternehmen kontaktieren, um sie darauf hinzuweisen, dass ihre Sicherheit Besorgnis erregend ist.
Das bedeutet nicht zwangsläufig, dass sie als reiner Text gespeichert werden, aber es ist ein guter Indikator - und sie sollten sowas eigentlich nicht in E-Mails versenden. Sie können argumentieren, dass sie Firewalls haben et al. um vor Cyberkriminellen zu schützen, erinnern Sie sie jedoch daran, dass kein System fehlerlos ist und die Aussicht, Kunden vor ihnen zu verlieren, droht.
Sie werden ihre Meinung bald ändern. Hoffnungsvoll…
Nicht so gut wie es klingt: Verschlüsselung
Also, was machen diese Seiten??
Viele wenden sich der Verschlüsselung zu. Wir haben alle davon gehört: eine scheinbar undurchdringliche Art, Ihre Informationen zu verschlüsseln und unlesbar zu machen, bis zwei Schlüssel - einer, der von Ihnen aufbewahrt wird (das sind Ihre Anmeldedaten) - und der andere von der fraglichen Firma, präsentiert werden. Es ist eine großartige Idee, die Sie sogar auf Ihrem Smartphone implementieren sollten. 7 Gründe, warum Sie Ihre Smartphone-Daten verschlüsseln sollten 7 Gründe, warum Sie Ihre Smartphone-Daten verschlüsseln sollten Verschlüsseln Sie Ihr Gerät? Alle großen Smartphone-Betriebssysteme bieten Geräteverschlüsselung, sollten Sie sie jedoch verwenden? Dies ist der Grund, warum sich die Verschlüsselung mit Smartphones lohnt und die Verwendung Ihres Smartphones nicht beeinträchtigt. Lesen Sie mehr und andere Geräte.
Das Internet läuft mit Verschlüsselung: Wenn HTTPS in der URL angezeigt wird HTTPS Everywhere: HTTPS statt HTTP verwenden, wenn möglich HTTPS Everywhere: HTTPS anstelle von HTTP verwenden. Wenn möglich. Lesen Sie mehr. Dies bedeutet, dass die Site, auf der Sie sich befinden, entweder Secure Sockets verwendet Layer (SSL) Was ist ein SSL-Zertifikat und benötigen Sie ein Zertifikat? Was ist ein SSL-Zertifikat und benötigen Sie eines? Das Surfen im Internet kann unheimlich sein, wenn persönliche Informationen betroffen sind. Weitere Informationen oder TLS-Protokolle (Transport Layer Security), um Verbindungen zu überprüfen und Daten durcheinander zu bringen. So wird das Web-Browsing noch sicherer. Das Web-Browsing wird noch sicherer. Wir haben SSL-Zertifikate für unsere Sicherheit und unseren Datenschutz zu verdanken. Die jüngsten Verstöße und Fehler haben jedoch möglicherweise Ihr Vertrauen in das kryptografische Protokoll beeinträchtigt. Glücklicherweise passt sich SSL an und wird aktualisiert - so geht's. Weiterlesen .
Aber trotz allem, was Sie vielleicht gehört haben, glauben Sie nicht an diese 5 Mythen über Verschlüsselung! Glauben Sie diesen 5 Mythen über Verschlüsselung nicht! Verschlüsselung hört sich komplex an, ist aber weitaus unkomplizierter als die meisten glauben. Trotzdem fühlen Sie sich vielleicht etwas zu dunkel, um die Verschlüsselung zu nutzen, also lassen Sie uns einige Mythen der Verschlüsselung aufgeben! Lesen Sie mehr, Verschlüsselung ist nicht perfekt.
Whaddya bedeutet, dass mein Passwort keine Backspaces enthalten kann ???
- Derek Klein (@rogue_analyst) 11. August 2016
Es sollte sicher sein, aber es ist nur so sicher, wie die Schlüssel gespeichert werden. Wenn eine Website Ihren Schlüssel (d. H. Kennwort) mit ihrem eigenen Schlüssel schützt, könnte ein Hacker den letzteren freigeben, um den ersten Schlüssel zu finden und ihn zu entschlüsseln. Ein Dieb benötigt relativ wenig Aufwand, um Ihr Passwort zu finden. Deshalb sind Schlüsseldatenbanken ein massives Ziel.
Wenn der Schlüssel auf demselben Server wie Ihr Server gespeichert ist, kann Ihr Kennwort grundsätzlich auch im Klartext sein. Deshalb listet die vorgenannte PlainTextOffenders-Site auch Dienste auf, die reversible Verschlüsselung verwenden.
Überraschend einfach (aber nicht immer effektiv): Hashing
Jetzt kommen wir irgendwo hin. Das Hashing von Passwörtern klingt wie ein Unsinn-Jargon. Tech Jargon: 10 neue Wörter, die dem Wörterbuch kürzlich hinzugefügt wurden [Weird & Wonderful Web] Tech-Jargon: 10 neue Wörter, die kürzlich dem Wörterbuch hinzugefügt wurden [Weird & Wonderful Web] Technologie ist die Quelle für viele neue Wörter . Wenn Sie ein Geek und ein Wortliebhaber sind, werden Sie diese zehn lieben, die der Online-Version des Oxford English Dictionary hinzugefügt wurden. Lesen Sie mehr, aber es ist einfach eine sicherere Form der Verschlüsselung.
Anstatt Ihr Kennwort als Klartext zu speichern, führt eine Site eine Hash-Funktion aus, wie beispielsweise MD5 What All this MD5 Hash Stuff Tatsächlich bedeutet [Technologie erklärt]. Was all dies MD5 Hash Stuff Tatsächlich bedeutet [Technologie erklärt] Hier ist ein vollständiger Ablauf von MD5, Hashing und eine kleine Übersicht über Computer und Kryptographie. Lesen Sie mehr, Secure Hashing Algorithm (SHA) -1 oder SHA-256, wodurch es in einen völlig anderen Satz von Ziffern umgewandelt wird. Dies können Zahlen, Buchstaben oder beliebige andere Zeichen sein. Ihr Passwort könnte IH3artMU0 sein. Das könnte sich in 7dVq $ @ ihT verwandeln, und wenn ein Hacker in eine Datenbank eingebrochen ist, können sie dies nicht mehr sehen. Und es funktioniert nur auf eine Weise. Sie können es nicht wieder entschlüsseln.
Leider nicht Das sichern. Es ist besser als reiner Text, aber für Internetkriminelle ist es immer noch ein Standard. Der Schlüssel ist, dass ein bestimmtes Passwort einen bestimmten Hash erzeugt. Dafür gibt es einen guten Grund: Jedes Mal, wenn Sie sich mit dem Kennwort IH3artMU0 anmelden, durchläuft es automatisch diese Hash-Funktion, und die Website ermöglicht den Zugriff, wenn dieser Hash und der in der Datenbank der Website übereinstimmen.
Es bedeutet auch, dass Hacker Regenbogentabellen entwickelt haben, eine Liste von Hashes, die bereits von anderen als Kennwörter verwendet werden, die ein ausgeklügeltes System schnell als Brute-Force-Angriff durchlaufen kann. Was sind Brute-Force-Angriffe und wie können Sie sich schützen? Was sind Brute-Force-Angriffe und wie können Sie sich schützen? Sie haben wahrscheinlich den Satz "Brute-Force-Angriff" gehört. Aber was genau bedeutet das? Wie funktioniert es? Und wie kannst du dich davor schützen? Hier ist was Sie wissen müssen. Weiterlesen . Wenn Sie ein schockierend schlechtes Passwort gewählt haben 25 Passwörter, die Sie vermeiden müssen, verwenden Sie WhatsApp kostenlos… [Tech News Digest] 25 Passwörter, die Sie vermeiden müssen, verwenden Sie WhatsApp kostenlos… [Tech News Digest] Die Menschen verwenden weiterhin schreckliche Passwörter, WhatsApp ist jetzt völlig kostenlos, AOL erwägt, seinen Namen zu ändern, Valve genehmigt ein von Fans erstelltes Half-Life-Spiel und The Boy With a Camera for a Face. Lesen Sie mehr, das ist hoch auf den Regenbogentischen und könnte leicht geknackt werden; Obskurere - besonders umfangreiche Kombinationen - werden länger dauern.
Wie schlimm kann es sein? Im Jahr 2012 wurde LinkedIn gehackt. Was Sie über das massive LinkedIn-Konto wissen müssen Was Sie über das massive LinkedIn-Konto wissen müssen Ein Hacker verkauft 117 Millionen gehackte LinkedIn-Anmeldeinformationen im Dark-Web für rund 2.200 US-Dollar in Bitcoin. Kevin Shabazi, CEO und Gründer von LogMeOnce, hilft uns zu verstehen, was gefährdet ist. Weiterlesen . E-Mail-Adressen und die entsprechenden Hashes wurden durchgesickert. Das sind 177,5 Millionen Hashes, von denen 164,6 Millionen Benutzer betroffen sind. Sie stellen vielleicht fest, dass dies keine allzu große Sorge ist: Sie enthalten lediglich zufällige Ziffern. Ziemlich unverständlich, richtig? Zwei professionelle Cracker entschieden sich für eine Stichprobe von 6,4 Millionen Hashes und sehen, was sie tun können.
Sie knackten 90% von ihnen in weniger als einer Woche.
So gut wie es nur geht: Salting und Slow Hashes
Kein System ist unüberwindlich. Mythbusters: Gefährliche Sicherheitsratschläge, die Sie nicht befolgen sollten Mythbusters: Gefährliche Sicherheitsratschläge, die Sie nicht befolgen sollten Wenn es um Internetsicherheit geht, hat jeder und sein Cousin Ratschläge, um Sie über die besten Softwarepakete zu informieren, die zwielichtige Websites installieren Um sich von oder bewährten Vorgehensweisen zu befreien, wenn es um Folgendes geht… Lesen Sie mehr - Hacker arbeiten natürlich daran, neue Sicherheitssysteme zu knacken - aber die stärkeren Techniken, die von den sichersten Websites implementiert werden, machen jede sichere Website mit Ihrem Kennwort. Jede sichere Website macht dies Mit Ihrem Passwort Haben Sie sich jemals gefragt, wie Websites Ihr Passwort vor Verstößen gegen Daten schützen? Weitere Informationen sind intelligentere Hashes.
Salted Hashes basieren auf der Praxis einer kryptographischen Nonce, einer zufälligen Datenmenge, die für jedes einzelne Passwort generiert wird, normalerweise sehr lang und sehr komplex. Diese zusätzlichen Ziffern werden an den Anfang oder das Ende eines Passworts (oder E-Mail-Passwort-Kombinationen) angehängt, bevor es die Hash-Funktion durchläuft, um Versuche mit Regenbogentabellen zu bekämpfen.
Es ist im Allgemeinen egal, ob die Salze auf denselben Servern wie Hashes gespeichert sind. Das Knacken einer Reihe von Passwörtern kann für Hacker enorm zeitaufwändig sein. Dies ist noch schwieriger, wenn Ihr Passwort selbst übermäßig und kompliziert ist. 6 Tipps zum Erstellen eines unzerbrechlichen Passworts, an das Sie sich erinnern können 6 Tipps zum Erstellen eines unzerbrechlichen Passworts, an das Sie sich erinnern können, wenn Ihre Passwörter vorhanden sind Nicht einzigartig und unzerbrechlich, Sie können auch die Haustür öffnen und die Räuber zum Mittagessen einladen. Weiterlesen . Aus diesem Grund sollten Sie immer ein sicheres Kennwort verwenden, unabhängig davon, wie sehr Sie der Sicherheit einer Website vertrauen.
Websites, die ihre und besonders Ihre Sicherheit besonders ernst nehmen, wenden sich zunehmend als langsame Hashes an. Die bekanntesten Hash-Funktionen (MD5, SHA-1 und SHA-256) gibt es schon seit einiger Zeit und sind weit verbreitet, da sie relativ einfach zu implementieren sind und Hashes sehr schnell anwenden.
Behandeln Sie Ihr Passwort wie Ihre Zahnbürste, ändern Sie es regelmäßig und geben Sie es nicht weiter!
- Anti-Mobbing Pro (von der Wohltätigkeitsorganisation The Diana Award) (@AntiBullyingPro) 13. August 2016
Trotz der Anwendung von Salzen können langsame Hashes Angriffe, die auf Geschwindigkeit angewiesen sind, noch besser entgegenwirken. Durch die Beschränkung der Hacker auf wesentlich weniger Versuche pro Sekunde dauert es länger, bis sie knacken, wodurch Versuche weniger wert sind, wenn man auch die geringere Erfolgsrate berücksichtigt. Cyberkriminelle müssen abwägen, ob es sich lohnt, zeitraubende langsame Hash-Systeme vergleichsweise in Angriff zu nehmen “schnelle Korrekturen”: Medizinische Einrichtungen haben in der Regel weniger Sicherheit. 5 Gründe, warum der Diebstahl von medizinischer Identität zunimmt. 5 Gründe, warum der Diebstahl von medizinischer Identität zunimmt. Betrüger wollen Ihre persönlichen Daten und Informationen zu Ihrem Bankkonto - aber wussten Sie, dass Ihre Krankenakten auch für sie von Interesse sind? Finden Sie heraus, was Sie dagegen tun können. Lesen Sie zum Beispiel mehr, damit Daten, die von dort abgerufen werden können, für überraschende Summen weiterverkauft werden können. So viel könnte Ihre Identität im dunklen Web wert sein Hier ist, wie viel Ihre Identität im dunklen Web wert sein könnte Es ist unbequem zu denken von Ihnen als Ware, aber alle Ihre persönlichen Daten, vom Namen und von der Adresse bis zur Bankverbindung, sind für Online-Kriminelle etwas wert. Wie viel bist du wert? Weiterlesen .
Es ist auch sehr anpassungsfähig: Wenn ein System besonders beansprucht wird, kann es noch langsamer werden. Coda Hale, Microsofts früherer Principle Software Developer, vergleicht MD5 mit der vielleicht bemerkenswertesten langsamen Hash-Funktion, bcrypt (andere enthalten PBKDF-2 und scrypt):
“Anstatt ein Passwort alle 40 Sekunden zu knacken [wie bei MD5], würde ich sie alle etwa 12 Jahre knacken [wenn ein System bcrypt verwendet]. Für Ihre Kennwörter ist diese Sicherheit möglicherweise nicht erforderlich, und Sie benötigen möglicherweise einen schnelleren Vergleichsalgorithmus. Mit bcrypt können Sie jedoch Ihr Gleichgewicht zwischen Geschwindigkeit und Sicherheit auswählen.”
Und da ein langsamer Hash noch in weniger als einer Sekunde implementiert werden kann, sollten Benutzer nicht betroffen sein.
Warum spielt es eine Rolle?
Wenn wir einen Onlinedienst nutzen, schließen wir einen Vertrauensvertrag. Sie sollten sicher sein, dass Ihre persönlichen Daten sicher aufbewahrt werden.
"Mein Laptop ist so eingerichtet, dass er nach drei falschen Kennwortversuchen ein Foto aufnehmen kann" pic.twitter.com/yBNzPjnMA2
- Katzen im Weltall (@CatsLoveSpace) 16. August 2016
Sicheres Speichern des Kennworts Das vollständige Handbuch zur Vereinfachung und Sicherung Ihres Lebens mit LastPass und Xmarks Das vollständige Handbuch zur Vereinfachung und Sicherung Ihres Lebens mit LastPass und Xmarks Während der Cloud bedeutet, dass Sie von überall aus auf Ihre wichtigen Informationen zugreifen können, bedeutet dies jedoch auch, dass Sie dies tun Habe viele Passwörter, die du nicht verpassen solltest. Deshalb wurde LastPass erstellt. Lesen Sie mehr ist besonders wichtig. Trotz zahlreicher Warnungen verwenden viele von uns dieselbe Website für verschiedene Websites. Wenn also beispielsweise ein Facebook-Verstoß vorliegt, wurde Ihr Facebook-Account gehackt? Hier erfahren Sie, wie Sie sagen (und beheben können), ob Ihr Facebook gehackt wurde. Hier erfahren Sie, wie Sie dies erklären und beheben können. Sie können Schritte unternehmen, um zu verhindern, dass Sie auf Facebook gehackt werden. Außerdem können Sie Maßnahmen ergreifen, wenn Ihr Facebook gehackt wird. Lesen Sie weiter, Ihre Anmeldedaten für andere Websites, auf denen Sie häufig dasselbe Kennwort verwenden, können auch ein offenes Buch für Cyberkriminelle sein.
Haben Sie Plain Text Offenders entdeckt? Welchen Sites vertrauen Sie implizit? Was denken Sie ist der nächste Schritt für die sichere Speicherung von Kennwörtern??
Bildnachweise: Africa Studio / Shutterstock, falsche Kennwörter von Lulu Hoeller; Login von Automobile Italia; Linux-Passwortdateien von Christiaan Colen; und Salzstreuer von Karyn Christner.
Erfahren Sie mehr über: Verschlüsselung, Online-Datenschutz, Online-Sicherheit.