Scoraggiato dalle conseguenze di Heartbleed? Non sei solo. Il piccolo bug nella libreria SSL più famosa al mondo ha creato enormi buchi nella sicurezza che avvolge il nostro comunicazioni con tutti i tipi di siti Web, app e servizi basati su cloud e i buchi non sono nemmeno tutti ancora patchato.
Il bug Heartbleed ha consentito agli aggressori di rimuovere il rivestimento resistente allo snoop di OpenSSL e di sbirciare le comunicazioni tra client e server. Ciò ha consentito agli hacker di osservare cose come password e cookie di sessione, che sono piccole porzioni di dati che il file il server ti invia dopo aver effettuato l'accesso e il tuo browser ti invia indietro ogni volta che fai qualcosa per dimostrarlo Voi. E se il bug ha colpito un sito finanziario, potrebbero essere state viste altre informazioni sensibili che stavi trasmettendo in rete, come carte di credito o dati fiscali.
Video consigliati
Come può Internet proteggersi al meglio da bug catastrofici come questo? Abbiamo alcune idee.
Sì, hai bisogno di password più sicure: ecco come crearle
Ok, quindi password migliori non impedirebbero il prossimo Heartbleed, ma potrebbero salvarti dall'essere hackerato un giorno. Molte persone sono semplicemente pessime nel creare password sicure.
Hai già sentito tutto: non usare "password1", "password2" ecc. La maggior parte delle password non ha abbastanza di quella che viene chiamata entropia: lo sono sicuramente non casuale e loro Volere essere indovinato se un utente malintenzionato ha l'opportunità di fare molte ipotesi, martellando il servizio o (più probabilmente) rubare gli hash delle password: derivazioni matematiche delle password che possono essere controllate ma non ripristinate nell'originale parola d'ordine.
Qualunque cosa tu faccia, non utilizzare la stessa password in più di un posto.
Possono essere d'aiuto anche software o servizi di gestione delle password che utilizzano la crittografia end-to-end. KeepPass è un buon esempio del primo; LastPass di quest'ultimo. Proteggi bene la tua posta elettronica, poiché può essere utilizzata per reimpostare la maggior parte delle tue password. E qualunque cosa tu faccia, non utilizzare la stessa password in più di un posto: stai solo andando in cerca di guai.
I siti web devono implementare password monouso
OTP sta per "password monouso" e potresti già utilizzarla se hai configurato un sito Web/servizio che richiede l'utilizzo Autenticatore di Google. La maggior parte di questi autenticatori (compresi quelli di Google) utilizzano uno standard Internet chiamato TOTP, o Time-based One-Time Password, che è descritto qui.
Cos'è il TOTP? In poche parole, il sito web in cui ti trovi genera un numero segreto, che viene passato una volta al tuo programma di autenticazione, in genere tramite un QR Code. Nella variante basata sul tempo, ogni 30 secondi viene generato un nuovo numero di sei cifre da quel numero segreto. Il sito web e il client (il tuo computer) non hanno bisogno di comunicare nuovamente; i numeri vengono semplicemente visualizzati sul tuo autenticatore e tu li fornisci al sito web come richiesto insieme alla tua password, e il gioco è fatto. Esiste anche una variante che funziona inviandoti gli stessi codici tramite un messaggio di testo.
Vantaggi del TOTP: Anche se Heartbleed o un bug simile dovessero comportare la divulgazione sia della tua password che del numero sul tuo autenticatore, il sito web su cui ti trovi l'interazione con ha quasi certamente già contrassegnato quel numero come utilizzato e non può essere utilizzato di nuovo e comunque non sarà più valido entro 30 secondi. Se un sito web non offre già questo servizio, probabilmente può farlo in modo relativamente semplice e, se possiedi praticamente uno smartphone, puoi eseguire un autenticatore. È leggermente scomodo consultare il telefono per accedere, certo, ma il vantaggio in termini di sicurezza per qualsiasi servizio a cui tieni ne vale la pena.
Rischi di TOTP: Violazione di un server a diverso modo potrebbe comportare la divulgazione del numero segreto, consentendo all'aggressore di creare il proprio autenticatore. Ma se utilizzi TOTP insieme a una password che non è memorizzata dal sito Web, la maggior parte dei buoni fornitori memorizza un file hash che è fortemente resistente al reverse engineering: quindi tra loro due, il rischio è enorme abbassato.
La potenza dei certificati client (e cosa sono)
Probabilmente non hai mai sentito parlare di certificati client, ma in realtà esistono da molto tempo (negli anni di Internet, ovviamente). Il motivo per cui probabilmente non ne hai sentito parlare è che sono un lavoro ingrato da ottenere. È molto più semplice convincere gli utenti a scegliere una password, quindi solo i siti ad alta sicurezza tendono a utilizzare i certificati.
Cos'è un certificato client? I certificati cliente dimostrano che sei la persona che affermi di essere. Tutto quello che devi fare è installarlo (e funziona su molti siti) nel tuo browser, quindi scegliere di usarlo quando un sito richiede l'autenticazione. Questi certificati sono cugini stretti dei certificati SSL che i siti Web utilizzano per identificarsi sul tuo computer.
Il modo più efficace in cui un sito Web può proteggere i tuoi dati è in primo luogo non esserne mai in possesso.
Vantaggi dei certificati client: Non importa a quanti siti accedi con un certificato client, il potere della matematica è dalla tua parte; nessuno potrà utilizzare quello stesso certificato per fingere di essere te, anche se osserva la tua sessione.
Rischi dei certificati client: Il rischio principale di un certificato client è che qualcuno possa violarlo tuo computer e rubarlo, ma esistono attenuanti per questo rischio. Un altro potenziale problema è che i tipici certificati client contengono alcune informazioni sull'identità che potresti non voler divulgare a ogni sito che utilizzi. Sebbene i certificati client siano in circolazione da sempre e il supporto funzionante esista nel server Web software, c’è ancora molto lavoro da fare sia sul lato dei fornitori di servizi che su quello dei browser funzionano BENE. Poiché vengono utilizzati così raramente, ricevono poca attenzione dallo sviluppo.
La cosa più importante: crittografia end-to-end
Il modo più efficace con cui un sito Web può proteggere i tuoi dati è non entrarne mai in possesso, almeno non in una versione che possa leggere. Se un sito web può leggere i tuoi dati, un utente malintenzionato con accesso sufficiente può leggere i tuoi dati. Questo è il motivo per cui ci piace la crittografia end-to-end (E2EE).
Cos'è la crittografia end-to-end? Ciò significa che tu crittografare i dati sul tuo terminale, e così via soggiorni crittografato finché non raggiunge la persona a cui lo desideri o non ritorna a te.
Vantaggi di E2EE: La crittografia end-to-end è già implementata in alcuni servizi, come i servizi di backup online. Ne esistono anche versioni più deboli in alcuni servizi di messaggistica, soprattutto quelli emersi dopo le rivelazioni di Snowden. Tuttavia, è difficile per i siti Web eseguire la crittografia end-to-end, per due motivi: potrebbero aver bisogno di vedere i tuoi dati per fornire il loro servizio e i browser Web sono pessimi nell'eseguire E2EE. Ma nell’era delle app per smartphone, la crittografia end-to-end è qualcosa che può e deve essere eseguita più spesso. La maggior parte delle app oggi non utilizza E2EE, ma speriamo di vederne di più in futuro. Se le tue app non utilizzano E2EE per i tuoi dati sensibili, dovresti presentare un reclamo.
Rischi di E2EE: Affinché la crittografia end-to-end funzioni, deve essere eseguita a tutti i livelli: se un'app o un sito Web lo fanno solo a malincuore, l'intero castello di carte potrebbe crollare. A volte è possibile utilizzare un dato non crittografato per accedere al resto. La sicurezza è l’anello più debole; solo un anello della catena deve riuscire a spezzarla.
E ora?
Ovviamente, non c’è molto che tu, come utente, puoi controllare. Sarai fortunato a trovare un servizio che utilizza password monouso con un autenticatore. Ma dovresti assolutamente parlare con i siti Web e le app che utilizzi e far loro sapere che ti rendi conto dei bug nel software accadono e pensi che dovrebbero prendere più sul serio la sicurezza e non semplicemente fare affidamento su di essa Le password.
Se una parte maggiore della Rete utilizza questi metodi di sicurezza avanzati, forse la prossima volta si verificherà una catastrofe software su scala Heartbleed. Volere essere, alla fine, non dovremo farci prendere dal panico così tanto.
[Immagine per gentile concessione di scyther5/Shutterstock]
