Modløs over nedfaldet fra Heartbleed? Du er ikke alene. Den lille fejl i verdens mest populære SSL-bibliotek prikkede store huller i sikkerheden, der pakkede vores kommunikation med alle slags cloud-baserede websteder, apps og tjenester - og hullerne er ikke engang alle lappet endnu.
Heartbleed-fejlen gjorde det muligt for angribere at trække den snoop-resistente foring af OpenSSL tilbage og kigge på kommunikationen mellem klient og server. Dette gav hackere et kig på ting som adgangskoder og sessionscookies, som er små stykker data, som serveren sender dig, når du logger på, og din browser sender tilbage, hver gang du gør noget for at bevise, at det er det du. Og hvis fejlen påvirkede et finansielt websted, kan andre følsomme oplysninger, du sendte gennem nettet, såsom kreditkort- eller skatteoplysninger, være blevet set.
Anbefalede videoer
Hvordan kan internettet bedst beskytte sig mod katastrofale fejl som denne? Vi har et par ideer.
Ja, du har brug for sikrere adgangskoder: Sådan laver du dem
Okay, så bedre adgangskoder ville ikke forhindre den næste Heartbleed, men de kan redde dig fra at blive hacket en dag. Mange mennesker er bare forfærdelige til at skabe sikre adgangskoder.
Du har hørt det hele før: Brug ikke "adgangskode1", "adgangskode2" osv. De fleste adgangskoder har ikke nok af det, der kaldes entropi - det er de bestemt ikke tilfældige og de vilje blive gættet, hvis en angriber nogensinde får mulighed for at lave mange gæt, enten ved at hamre på tjenesten eller (mere sandsynligt) stjæle kodeords-hasherne - matematiske afledninger af adgangskoden, der kan kontrolleres, men ikke vendes tilbage til originalen adgangskode.
Uanset hvad du gør, så brug ikke den samme adgangskode mere end ét sted.
Adgangskodestyringssoftware eller tjenester, der bruger end-to-end-kryptering, kan også hjælpe. KeepPass er et godt eksempel på førstnævnte; LastPass af sidstnævnte. Beskyt din e-mail godt, da den kan bruges til at nulstille de fleste af dine adgangskoder. Og uanset hvad du gør, så brug ikke den samme adgangskode mere end ét sted – du beder bare om problemer.
Websites skal implementere engangsadgangskoder
OTP står for "engangskodeord", og du kan allerede bruge det, hvis du har oprettet en hjemmeside/tjeneste, der kræver, at du bruger Google Authenticator. De fleste af disse autentificeringer (inklusive Googles) bruger en internetstandard kaldet TOTP eller tidsbaseret engangsadgangskode, som er beskrevet her.
Hvad er TOTP? I en nøddeskal genererer den hjemmeside, du er på, et hemmeligt nummer, som sendes én gang til dit autentificeringsprogram, typisk gennem en QR kode. I den tidsbaserede variant genereres et nyt sekscifret nummer fra det hemmelige nummer hvert 30. sekund. Hjemmesiden og klienten (din computer) behøver ikke at kommunikere igen; numre vises simpelthen på din autentificering, og du leverer dem til webstedet som anmodet i forbindelse med din adgangskode, og du er med. Der er også en variant, der virker ved at sende de samme koder til dig via en sms.
Fordele ved TOTP: Selvom Heartbleed eller en lignende fejl skulle resultere i offentliggørelse af både din adgangskode og nummeret på din autentificering, er det websted, du er interagerer med har næsten helt sikkert allerede markeret det nummer som brugt, og det kan ikke bruges igen - og det vil alligevel være ugyldigt inden for 30 sekunder. Hvis en hjemmeside ikke allerede tilbyder denne service, kan den sandsynligvis gøre det relativt nemt, og hvis du har stort set en hvilken som helst smartphone, kan du køre en autentificering. Det er lidt ubelejligt at konsultere din telefon for at logge ind, givet, men sikkerhedsfordelen for enhver tjeneste, du holder af, gør det det værd.
Risici ved TOTP: Indbrud på en server a forskellige måde kunne resultere i afsløringen af det hemmelige nummer, hvilket gør det muligt for angriberen at oprette deres egen autentificering. Men hvis du bruger TOTP sammen med en adgangskode, der ikke er gemt af webstedet - gemmer de fleste gode udbydere en hash, der er stærkt modstandsdygtig over for reverse engineering - så mellem de to af dem er din risiko meget sænkes.
Styrken ved klientcertifikater (og hvad de er)
Du har sikkert aldrig hørt om klientcertifikater, men de har faktisk eksisteret i meget lang tid (i internetår, selvfølgelig). Grunden til, at du sandsynligvis ikke har hørt om dem, er, at de er en opgave at få. Det er langt nemmere bare at få brugerne til at vælge en adgangskode, så kun højsikkerhedswebsteder har en tendens til at bruge certifikater.
Hvad er et klientcertifikat? Kundecertifikater beviser, at du er den person, du påstår, du er. Alt du skal gøre er at installere det (og en fungerer på tværs af mange websteder) i din browser og derefter vælge at bruge det, når et websted vil have dig til at godkende. Disse certifikater er en nær fætter til de SSL-certifikater, som websteder bruger til at identificere sig over for din computer.
Den mest effektive måde et websted kan beskytte dine data på er aldrig at være i besiddelse af dem i første omgang.
Fordele ved klientcertifikater: Uanset hvor mange websteder du logger ind på med et klientcertifikat, er matematikkens kraft på din side; ingen vil være i stand til at bruge det samme certifikat til at udgive sig for at være dig, selvom de observerer din session.
Risici ved klientcertifikater: Den primære risiko ved et klientcertifikat er, at nogen kan bryde ind din computer og stjæle den, men der er begrænsninger for den risiko. Et andet potentielt problem er, at typiske klientcertifikater indeholder nogle identitetsoplysninger, som du måske ikke ønsker at videregive til alle websteder, du bruger. Selvom klientcertifikater har eksisteret for evigt, og der findes fungerende support på webserveren software, er der stadig meget arbejde at gøre på både tjenesteudbyderes og browseres side de virker godt. Fordi de bruges så sjældent, får de lidt udviklings opmærksomhed.
Vigtigst af alt: End-to-end-kryptering
Den mest effektive måde et websted kan beskytte dine data på, er aldrig at være i besiddelse af dem i første omgang - i hvert fald ikke en version, den kan læse. Hvis et websted kan læse dine data, kan en hacker med tilstrækkelig adgang læse dine data. Det er derfor, vi kan lide end-to-end-kryptering (E2EE).
Hvad er ende-til-ende-kryptering? Det betyder, at du kryptere dataene på din ende, og det bliver krypteret, indtil den når frem til den person, du er tiltænkt den, eller den vender tilbage til dig.
Fordele ved E2EE: End-to-end-kryptering er allerede implementeret i nogle få tjenester, såsom online backup-tjenester. Der er også svagere versioner af det i nogle meddelelsestjenester, især dem, der dukkede op efter Snowden-afsløringerne. Det er dog svært for websteder at lave ende-til-ende-kryptering af to grunde: de skal muligvis se dine data for at levere deres service, og webbrowsere er forfærdelige til at udføre E2EE. Men i smartphone-appens tidsalder er ende-til-ende-kryptering noget, der kan og bør gøres oftere. De fleste apps bruger ikke E2EE i dag, men vi håber, vi vil se mere af det fremover. Hvis dine apps ikke bruger E2EE til dine følsomme data, bør du klage.
Risici ved E2EE: For at ende-til-ende-kryptering skal fungere, skal det gøres over hele linjen – hvis en app eller hjemmeside kun gør det halvhjertet, kan hele korthuset kollapse. Et stykke ukrypteret data kan nogle gange bruges til at få adgang til resten. Sikkerhed er et spil med det svageste led; kun ét led i kæden må ikke bryde det.
Så hvad nu?
Det er klart, at der ikke er meget, du som bruger kan kontrollere. Du vil være heldig at finde en tjeneste, der bruger engangsadgangskoder med en autentificering. Men du bør bestemt tale med de websteder og apps, du bruger, og lade dem vide, at du opdager fejl i software ske, og du synes, de skal tage sikkerhed mere seriøst og ikke blot stole på adgangskoder.
Hvis flere af nettet bruger disse avancerede sikkerhedsmetoder, er der måske næste gang en Heartbleed-skala softwarekatastrofe - og der vilje være, til sidst - vi behøver ikke at gå så meget i panik.
[Billede udlånt af le5/Shutterstock]
