ハートブリード フォールアウト: さらなる大惨事を防ぐ 4 つの方法

ハッカー

ハートブリードの余波に落胆しましたか? あなたは一人じゃない。 世界で最も人気のある SSL ライブラリの小さなバグが、当社のセキュリティを包むセキュリティに大きな穴を開けました。 あらゆる種類のクラウドベースの Web サイト、アプリ、サービスとの通信 - 穴はすべてではありません まだパッチが適用されています。

Heartbleed のバグにより、攻撃者は OpenSSL のスヌープ耐性の裏地を剥がし、クライアントとサーバー間の通信を覗き見ることができました。 これにより、ハッカーはパスワードやセッション Cookie などの小さなデータを閲覧できるようになりました。 サーバーはログイン後にあなたに送信し、ブラウザはあなたが何かをするたびに、それが正しいことを証明するために返信します。 あなた。 また、バグが金融サイトに影響を与えた場合、クレジット カードや税金情報など、ネットを介してやり取りされていた他の機密情報が見られる可能性があります。

おすすめ動画

このような壊滅的なバグからインターネットを最大限に守るにはどうすればよいでしょうか? いくつかアイデアがあります。

はい、より安全なパスワードが必要です。パスワードの作成方法は次のとおりです。

なるほど、パスワードを改善しても次のハートブリードを防ぐことはできませんが、いつかハッキングから身を守ることができるかもしれません。 多くの人は安全なパスワードを作成するのが苦手です。

「password1」、「password2」などは使用しないでください。 ほとんどのパスワードには、いわゆるエントロピーが十分ではありません。 ない ランダムと彼ら 意思 攻撃者がサービスを攻撃するか、または (おそらく) 多くの推測を行う機会を得た場合に推測されます。 パスワード ハッシュの盗用 - パスワードの数学的導出。チェックは可能ですが、元に戻すことはできません。 パスワード。

どのような場合でも、同じパスワードを複数の場所で使用しないでください。

多くのサービス プロバイダーは、エントロピーを増加させるために、句読点や数字を含む一定の長さのパスワードをユーザーに要求することで、この問題に取り組んでいます。 しかし、悲しい現実は、このようなルールはほんの少ししか役に立たないということです。 より良い選択肢は、実際の記憶に残る単語の長いフレーズです。これは、馬のバッテリーの定番パスワードとして知られるようになりました。 
このXKCDコミック コンセプトを説明しています。 残念ながら、あなたも (私と同じように) そのようなパスワードの使用を許可しないプロバイダーに遭遇するかもしれません。 (はい、10 文字までに制限している金融機関があります。 いいえ、彼らが何を吸っているのか知りません。)

エンドツーエンド暗号化を使用するパスワード管理ソフトウェアまたはサービスも役立ちます。 キーパス は前者の良い例です。 ラストパス 後者の。 ほとんどのパスワードのリセットに電子メールが使用される可能性があるため、電子メールは十分に保護してください。 また、どのような場合でも、同じパスワードを複数の場所で使用しないでください。トラブルを招くだけです。

Web サイトにはワンタイム パスワードを実装する必要がある

OTP は「ワンタイム パスワード」の略で、使用する必要がある Web サイト/サービスを設定している場合は、すでに使用している可能性があります。 Google認証システム. これらの認証システム (Google を含む) のほとんどは、TOTP (時間ベースのワンタイム パスワード) と呼ばれるインターネット標準を使用します。 ここで説明されているのは.

TOTPとは何ですか? 簡単に言うと、閲覧している Web サイトは秘密の番号を生成し、通常は認証プログラムを通じてこの番号が一度渡されます。 QRコード. 時間ベースのバリエーションでは、その秘密の番号から 30 秒ごとに新しい 6 桁の番号が生成されます。 Web サイトとクライアント (コンピューター) は再度通信する必要はありません。 番号は認証システムに表示されるだけで、要求に応じてパスワードと組み合わせて Web サイトに番号を入力すれば、すぐに使用できます。 同じコードをテキスト メッセージで送信することで機能するバリエーションもあります。

LastPass Android アプリ
LastPass の Android アプリ

TOTP の利点: たとえ、Heartbleed または同様のバグにより、パスワードと認証システムの番号の両方が漏洩したとしても、あなたがアクセスしている Web サイトは との対話により、ほぼ確実にその番号はすでに使用済みとしてマークされており、再度使用することはできません。いずれにしても 30 秒以内に無効になります。 Web サイトがまだこのサービスを提供していない場合は、おそらく比較的簡単に提供できます。また、事実上すべてのスマートフォンをお持ちであれば、認証システムを実行できます。 確かに、ログインするために携帯電話を参照するのは少し不便ですが、重要なサービスのセキュリティ上の利点を考慮すると、それだけの価値があります。

TOTP のリスク: サーバーに侵入する 違う この方法では秘密番号が漏洩し、攻撃者が独自の認証子を作成できる可能性があります。 ただし、Web サイトに保存されていないパスワードと TOTP を組み合わせて使用​​している場合、ほとんどの優れたプロバイダーは リバース エンジニアリングに対して強力な耐性を持つハッシュ。その場合、両者の間でリスクが大幅に高まります。 下げた。

クライアント証明書の威力 (そしてクライアント証明書とは何か)

クライアント証明書について聞いたことがないかもしれませんが、実際には非常に長い間 (もちろん、インターネットの時代には) 存在していました。 おそらくあなたがそれらについて聞いたことがない理由は、それらを入手するのが面倒だからです。 ユーザーにパスワードを選択させる方がはるかに簡単なので、セキュリティの高いサイトのみが証明書を使用する傾向があります。

クライアント証明書とは何ですか? クライアント証明書は、あなたが主張する本人であることを証明します。 これをブラウザにインストールし (多くのサイトで機能します)、サイトが認証を必要とする場合に使用することを選択するだけです。 これらの証明書は、Web サイトがコンピュータに対して自分自身を識別するために使用する SSL 証明書に近いものです。

Web サイトがデータを保護する最も効果的な方法は、最初からそのデータを決して所有しないことです。

クライアント証明書の利点: クライアント証明書を使用してサインインするサイトの数に関係なく、数学の力が味方します。 たとえあなたのセッションを観察したとしても、誰もその同じ証明書を使用してあなたになりすますことはできません。

クライアント証明書のリスク: クライアント証明書の主なリスクは、何者かが侵入する可能性があることです。 あなたの コンピュータを盗んでしまう可能性がありますが、そのリスクを軽減する方法があります。 もう 1 つの潜在的な問題は、一般的なクライアント証明書には、使用するすべてのサイトに公開したくない ID 情報が含まれていることです。 クライアント証明書は永遠に存在しており、Web サーバーには実用的なサポートが存在しますが、 ソフトウェアを開発するには、サービスプロバイダー側​​とブラウザー側の両方でやるべき作業がまだたくさんあります。 彼らは働いています 良い. これらはめったに使用されないため、開発の注目はほとんどありません。

最も重要なこと: エンドツーエンドの暗号化

Web サイトがデータを保護する最も効果的な方法は、最初からデータを決して所有しないことです。少なくとも、Web サイトが読み取れるバージョンは保持しないことです。 Web サイトがデータを読み取ることができる場合、十分なアクセス権を持つ攻撃者がデータを読み取ることができます。 これが、私たちがエンドツーエンド暗号化 (E2EE) を好む理由です。

エンドツーエンド暗号化とは何ですか? これは、あなたが 暗号化する あなた側のデータ、そしてそれ 滞在します 宛先に届くまで、またはあなたに返送されるまで暗号化されます。

E2EE の利点: エンドツーエンドの暗号化は、オンライン バックアップ サービスなど、いくつかのサービスですでに実装されています。 一部のメッセージング サービス、特にスノーデン氏の暴露後に出現したメッセージング サービスには、このバージョンの弱いバージョンもあります。 ただし、Web サイトがエンドツーエンドの暗号化を行うのは 2 つの理由により困難です。1 つは、サービスを提供するためにデータを参照する必要がある可能性があること、もう 1 つは Web ブラウザーが E2EE を実行する能力が低いことです。 しかし、スマートフォン アプリの時代では、エンドツーエンドの暗号化はより頻繁に実行できるものであり、そうすべきです。 現在、ほとんどのアプリは E2EE を使用していませんが、今後はさらに多くのアプリが使用されることを期待しています。 アプリが機密データに E2EE を使用していない場合は、苦情を言う必要があります。

E2EE のリスク: エンドツーエンドの暗号化が機能するには、全面的に暗号化を行う必要があります。アプリや Web サイトが中途半端に暗号化を行っていると、砂上の楼閣全体が崩壊する可能性があります。 暗号化されていないデータの 1 つが、残りのデータにアクセスするために使用されることがあります。 セキュリティは最も弱い部分を狙うゲームです。 チェーン内の 1 つのリンクだけが切断されなければなりません。

んで、どうする?

明らかに、ユーザーが制御できることは多くありません。 認証機能を備えたワンタイム パスワードを使用するサービスを見つけることができれば幸運です。 ただし、使用している Web サイトやアプリと必ず話し合い、バグに気づいたことを知らせる必要があります。 ソフトウェアではこうした問題が発生するため、単にセキュリティに依存するのではなく、セキュリティをもっと真剣に受け止めるべきだと考えます。 パスワード。

より多くのネットがこれらの高度なセキュリティ手法を使用するようになれば、次回はハートブリード規模のソフトウェア大惨事が起こるかもしれません。 意思 いずれ、それほどパニックに陥る必要はなくなるでしょう。

[画像提供: サイザー5/シャッターストック]