Kas olete Heartbleedi sademete tõttu pettunud? Sa ei ole üksi. Pisike viga maailma populaarseimas SSL-i teegis lõi tohutud augud meie ümbrisesse. side igasuguste pilvepõhiste veebisaitide, rakenduste ja teenustega – ja augud pole isegi kõik veel lapitud.
Heartbleedi viga võimaldas ründajatel eemaldada OpenSSL-i nuhkimiskindla voodri ning piiluda kliendi ja serveri vahelist suhtlust. See andis häkkeritele pilgu sellistele asjadele nagu paroolid ja seansiküpsised, mis on väikesed andmetükid server saadab teid pärast sisselogimist ja teie brauser saadab tagasi iga kord, kui teete midagi, et seda tõestada sina. Ja kui viga mõjutas finantssaiti, võidi näha muud tundlikku teavet, mida te võrgu kaudu edastasite, näiteks krediitkaardi- või maksuteavet.
Soovitatavad videod
Kuidas saab Internet end kõige paremini kaitsta selliste katastroofiliste vigade eest? Meil on paar ideed.
Jah, vajate turvalisemaid paroole: nende loomiseks tehke järgmist
Olgu, paremad paroolid ei takistaks järgmist Heartbleedi, kuid need võivad päästa teid kunagi häkkimisest. Paljud inimesed on lihtsalt kohutavad turvaliste paroolide loomisel.
Olete seda kõike varem kuulnud: ärge kasutage "password1", "password2" jne. Enamikul paroolidel ei ole piisavalt seda, mida nimetatakse entroopiaks – kindlasti on mitte juhuslikud ja nemad tahe ära arvata, kui ründajal avaneb kunagi võimalus teha palju oletusi, kas teenuse haamriga või (tõenäolisemalt) parooliräside varastamine – paroolide matemaatilised tuletised, mida saab kontrollida, kuid mida ei saa originaaliks tagasi pöörata parool.
Mida iganes teete, ärge kasutage sama parooli rohkem kui ühes kohas.
Abi võib olla ka paroolihaldustarkvarast või teenustest, mis kasutavad täielikku krüptimist. KeePass on hea näide esimesest; LastPass viimastest. Hoidke oma e-posti hoolikalt, sest seda saab kasutada enamiku paroolide lähtestamiseks. Ja mida iganes teete, ärge kasutage sama parooli rohkem kui ühes kohas – te lihtsalt küsite probleeme.
Veebisaidid peavad rakendama ühekordseid paroole
OTP tähendab "ühekordset parooli" ja võite seda juba kasutada, kui teil on seadistatud veebisait/teenus, mis nõuab Google Authenticator. Enamik neist autentijatest (sealhulgas Google'i omadest) kasutavad Interneti-standardit nimega TOTP ehk ajapõhist ühekordset parooli, mida siin kirjeldatakse.
Mis on TOTP? Lühidalt, veebisait, millel viibite, genereerib salanumbri, mis edastatakse üks kord teie autentimisprogrammile, tavaliselt QR kood. Ajapõhises variatsioonis genereeritakse sellest salanumbrist iga 30 sekundi järel uus kuuekohaline arv. Veebisait ja klient (teie arvuti) ei pea uuesti suhtlema; numbrid kuvatakse lihtsalt teie autentijal ja te edastate need veebisaidile, nagu nõutakse koos parooliga, ja oletegi. Samuti on olemas variant, mis toimib nii, et saadab teile samad koodid tekstisõnumiga.
TOTP eelised: Isegi kui Heartbleedi või sarnase vea tõttu avalikustatakse nii teie parool kui ka autentimisnumber, on veebisait, mida te olete kasutajaga suhtlemine on peaaegu kindlasti selle numbri juba kasutatuks märkinud ja seda ei saa uuesti kasutada – ja see muutub niikuinii 30 sekundi jooksul kehtetuks. Kui veebisait seda teenust veel ei paku, saab seda tõenäoliselt suhteliselt lihtsalt teha ja kui teil on praktiliselt ükskõik milline nutitelefon, saate käivitada autentimise. Sisselogimiseks telefoniga konsulteerimine on küll veidi ebamugav, kuid see on seda väärt, et iga teile olulise teenuse turvasoodustus.
TOTP riskid: Serverisse sissemurdmine a erinev See võib viia salanumbri avalikustamiseni, võimaldades ründajal luua oma autentija. Kuid kui kasutate TOTP-d koos parooliga, mida veebisait ei salvesta, salvestab enamik häid teenusepakkujaid räsi, mis on selle pöördprojekteerimise vastu tugevalt vastupidav – siis on nende kahe vahel teie risk väga suur langetatud.
Kliendisertifikaatide võimsus (ja mis need on)
Tõenäoliselt pole te kunagi kuulnud kliendisertifikaatidest, kuid need on tegelikult olnud väga pikka aega (loomulikult Interneti-aastatel). Põhjus, miks te ilmselt pole neist kuulnud, on see, et neid on raske hankida. Palju lihtsam on panna kasutajad lihtsalt parooli valima, nii et sertifikaate kasutavad tavaliselt ainult kõrge turvalisusega saidid.
Mis on kliendisertifikaat? Kliendisertifikaadid tõendavad, et olete see, kellena te end väidate. Kõik, mida pead tegema, on installida see (ja üks töötab paljudel saitidel) oma brauserisse ja seejärel valida, kas seda kasutada, kui sait soovib teie autentimist. Need sertifikaadid on SSL-sertifikaatide lähedane sugulane, mida veebisaidid kasutavad teie arvutis enda tuvastamiseks.
Kõige tõhusam viis, kuidas veebisait teie andmeid kaitsta saab, on see, et te ei saa neid kunagi omada.
Kliendisertifikaatide eelised: Olenemata sellest, kui paljudele saitidele kliendisertifikaadiga sisse logite, on matemaatika jõud teie poolel; keegi ei saa sama sertifikaati kasutada teie esinemiseks, isegi kui nad jälgivad teie seanssi.
Kliendisertifikaatide riskid: Kliendisertifikaadi esmane risk on see, et keegi võib sisse murda sinu arvutisse ja varastada, kuid seda riski on võimalik leevendada. Teine võimalik probleem on see, et tüüpilised kliendisertifikaadid sisaldavad teatud identiteedi teavet, mida te ei pruugi soovida avaldada igale kasutatavale saidile. Kuigi kliendisertifikaadid on olemas olnud igavesti ja veebiserveris on töötugi olemas tarkvara, on veel palju tööd teha nii teenusepakkujate kui ka brauserite poolel nad töötavad hästi. Kuna neid kasutatakse nii harva, pööratakse neile vähe tähelepanu.
Kõige tähtsam: otsast lõpuni krüptimine
Kõige tõhusam viis, kuidas veebisait teie andmeid kaitsta saab, on see, et te ei oma neid kunagi – vähemalt mitte versiooni, mida see lugeda saab. Kui veebisait saab teie andmeid lugeda, saab piisava juurdepääsuga ründaja teie andmeid lugeda. Seetõttu meeldib meile täielik krüptimine (E2EE).
Mis on otsast lõpuni krüptimine? See tähendab, et teie krüpteerida teie andmed ja see jääb krüpteeritakse, kuni see jõuab inimeseni, kellele selle kavatsete, või teile tagasi jõuab.
E2EE eelised: Täielik krüptimine on juba rakendatud mõnes teenuses, näiteks võrgus pakutavates varundusteenustes. Mõnedes sõnumsideteenustes on ka selle nõrgemaid versioone, eriti neid, mis ilmusid pärast Snowdeni paljastusi. Veebisaitidel on raske teha täielikku krüptimist kahel põhjusel: võib-olla peavad nad teenuse osutamiseks nägema teie andmeid ja veebibrauserid ei suuda E2EE-d täita. Kuid nutitelefonirakenduste ajastul on otsast lõpuni krüptimine midagi, mida saab ja tuleks teha sagedamini. Enamik rakendusi ei kasuta täna E2EE-d, kuid loodame, et näeme seda edaspidi rohkem. Kui teie rakendused ei kasuta teie tundlike andmete jaoks E2EE-d, peaksite esitama kaebuse.
E2EE riskid: Täieliku krüptimise toimimiseks tuleb seda teha kõikjal – kui rakendus või veebisait teeb seda vaid pooleldi, võib kogu kaardimaja kokku kukkuda. Ühte krüptimata andmete tükki saab mõnikord kasutada ülejäänud andmetele juurdepääsu saamiseks. Turvalisus on nõrgima lüliga mäng; ainult üks lüli ketis ei tohi seda murda.
Mis siis nüüd?
Ilmselgelt pole palju, mida teie kasutajana kontrollida saate. Teil veab, kui leiate teenuse, mis kasutab autentimisseadmega ühekordseid paroole. Kuid kindlasti peaksite rääkima kasutatavate veebisaitide ja rakendustega ning andma neile teada, et märkate vigu tarkvaras juhtuvad ja te arvate, et nad peaksid turvalisust tõsisemalt võtma ja mitte lihtsalt sellele lootma paroolid.
Kui suurem osa Internetist kasutab neid täiustatud turbemeetodeid, võib järgmisel korral juhtuda Heartbleedi mastaabis tarkvarakatastroof – ja seal tahe lõpuks olla – me ei pea nii palju paanitsema.
[Pilt viisakalt vikater5/Shutterstock]
