하트블리드 낙진: 또 다른 재앙을 예방하는 4가지 방법

해커

Heartbleed의 낙진으로 인해 낙담하셨나요? 당신은 혼자가 아닙니다. 세계에서 가장 인기 있는 SSL 라이브러리의 작은 버그로 인해 보안에 큰 구멍이 생겼습니다. 모든 종류의 클라우드 기반 웹사이트, 앱, 서비스와의 커뮤니케이션 — 허점이 전부는 아닙니다. 아직 패치되었습니다.

Heartbleed 버그를 통해 공격자는 OpenSSL의 스누핑 방지 라이닝을 벗겨내고 클라이언트와 서버 간의 통신을 엿볼 수 있었습니다. 이를 통해 해커는 암호 및 세션 쿠키와 같은 정보를 볼 수 있었습니다. 서버는 귀하가 로그인한 후에 귀하에게 메시지를 보내고 귀하의 브라우저는 귀하가 무언가를 할 때마다 이를 증명하기 위해 다시 보냅니다. 너. 그리고 버그가 금융 사이트에 영향을 미쳤다면 신용 카드나 세금 정보와 같이 인터넷을 통해 전달되는 기타 민감한 정보가 보일 수도 있습니다.

추천 동영상

인터넷이 이와 같은 치명적인 버그로부터 자신을 가장 잘 보호할 수 있는 방법은 무엇입니까? 몇 가지 아이디어가 있습니다.

예, 더 안전한 비밀번호가 필요합니다. 비밀번호를 만드는 방법은 다음과 같습니다.

좋아요, 더 나은 비밀번호가 다음 Heartbleed를 예방하지는 못하지만 언젠가 해킹당하는 것을 막을 수는 있습니다. 많은 사람들이 안전한 비밀번호를 만드는 데 어려움을 겪습니다.

이전에 모두 들어본 적이 있을 것입니다. "password1", "password2" 등을 사용하지 마십시오. 대부분의 비밀번호에는 엔트로피라는 것이 충분하지 않습니다. ~ 아니다 무작위로 그리고 그들은 ~ 할 것이다 공격자가 서비스를 망치거나 (가능성이 더 높음) 많은 추측을 할 기회를 얻은 경우 추측됩니다. 비밀번호 해시 훔치기 - 확인할 수는 있지만 원본으로 되돌릴 수는 없는 비밀번호를 수학적으로 유도합니다. 비밀번호.

무엇을 하든, 한 곳 이상에서 동일한 비밀번호를 사용하지 마세요.

많은 서비스 제공업체에서는 엔트로피를 높이기 위해 구두점과 숫자가 포함된 특정 길이의 비밀번호를 사용자에게 요구함으로써 이 문제에 접근합니다. 하지만 슬픈 현실은 이와 같은 규칙이 약간의 도움만 준다는 것입니다. 더 나은 옵션은 실제적이고 기억에 남는 단어로 구성된 긴 문구입니다. 이는 "올바른 말 배터리 필수품" 비밀번호로 알려져 있습니다.
이 XKCD 만화 개념을 설명하고 있습니다. 불행하게도 당신은 (나처럼) 그런 비밀번호를 사용하는 것을 허용하지 않는 제공업체를 만날 수도 있습니다. (예, 10자 제한을 적용하는 금융 기관이 있습니다. 아니, 그 사람들이 무슨 담배를 피우는지 모르겠어요.)

종단간 암호화를 사용하는 비밀번호 관리 소프트웨어나 서비스도 도움이 될 수 있습니다. 키패스 전자의 좋은 예입니다. 라스트패스 후자의. 이메일은 대부분의 비밀번호를 재설정하는 데 사용될 수 있으므로 잘 보호하세요. 그리고 무엇을 하든, 한 곳 이상에서 동일한 비밀번호를 사용하지 마세요. 문제를 야기할 뿐입니다.

웹사이트는 일회용 비밀번호를 구현해야 합니다

OTP는 "일회용 비밀번호"를 의미하며 OTP를 사용해야 하는 웹사이트/서비스 설정이 있는 경우 이미 사용할 수 있습니다. 구글 OTP. 이러한 인증자(Google 포함)의 대부분은 TOTP(Time-based One-Time Password)라는 인터넷 표준을 사용합니다. 여기에 설명된 것은.

TOTP란 무엇입니까? 간단히 말해서, 귀하가 방문 중인 웹사이트는 일반적으로 인증 프로그램에 한 번 전달되는 비밀 번호를 생성합니다. QR 코드. 시간 기반 변형에서는 30초마다 해당 비밀 번호에서 새로운 6자리 숫자가 생성됩니다. 웹사이트와 클라이언트(귀하의 컴퓨터)는 다시 통신할 필요가 없습니다. 번호는 인증기에 표시되며 요청에 따라 비밀번호와 함께 웹사이트에 제공하면 됩니다. 문자 메시지를 통해 동일한 코드를 전송하여 작동하는 변형도 있습니다.

LastPass 안드로이드 앱
LastPass의 Android 앱

TOTP의 장점: Heartbleed 또는 유사한 버그로 인해 귀하의 비밀번호와 인증기 번호가 모두 공개되더라도 귀하가 사용하는 웹사이트는 과의 상호 작용은 이미 해당 번호를 사용된 것으로 표시했으며 다시 사용할 수 없으며 어쨌든 30초 이내에 유효하지 않게 됩니다. 웹사이트에서 아직 이 서비스를 제공하지 않는 경우 비교적 쉽게 제공할 수 있으며, 거의 모든 스마트폰이 있는 경우 인증기를 실행할 수 있습니다. 로그인하기 위해 휴대폰을 확인하는 것은 약간 불편하지만, 관심 있는 모든 서비스에 대한 보안 이점은 그만한 가치가 있습니다.

TOTP의 위험: 서버에 침입 다른 그렇게 하면 비밀 번호가 공개되어 공격자가 자신의 인증자를 만들 수 있게 됩니다. 하지만 웹사이트에 저장되지 않은 비밀번호와 함께 TOTP를 사용하는 경우 대부분의 우수한 제공업체는 리버스 엔지니어링에 강한 저항력을 지닌 해시 — 둘 사이의 위험은 매우 큽니다. 낮아졌습니다.

클라이언트 인증서의 힘(및 그 정의)

클라이언트 인증서에 대해 들어본 적이 없을 수도 있지만 실제로는 매우 오랫동안 사용되어 왔습니다(물론 인터넷 시대를 기준으로). 당신이 아마 들어보지 못한 이유는 그것들이 얻기 힘든 일이기 때문입니다. 사용자가 비밀번호를 선택하도록 하는 것이 훨씬 쉽기 때문에 보안 수준이 높은 사이트에서만 인증서를 사용하는 경향이 있습니다.

클라이언트 인증서란 무엇입니까? 클라이언트 인증서는 귀하가 귀하가 주장하는 사람임을 증명합니다. 여러분이 해야 할 일은 브라우저에 이 프로그램을 설치한 다음(여러 사이트에서 작동함) 사이트에서 인증을 요청할 때 사용하도록 선택하는 것뿐입니다. 이 인증서는 웹사이트가 컴퓨터에서 자신을 식별하는 데 사용하는 SSL 인증서와 가까운 사촌입니다.

웹사이트가 귀하의 데이터를 보호할 수 있는 가장 효과적인 방법은 애초에 해당 데이터를 절대로 소유하지 않는 것입니다.

클라이언트 인증서의 장점: 클라이언트 인증서로 로그인하는 사이트 수에 관계없이 수학의 힘은 여러분 편입니다. 세션을 관찰하더라도 누구도 동일한 인증서를 사용하여 귀하인 것처럼 가장할 수 없습니다.

클라이언트 인증서의 위험: 클라이언트 인증서의 주요 위험은 누군가가 침입할 수 있다는 것입니다. 당신의 컴퓨터를 사용하여 훔치지만 이러한 위험을 완화할 수 있는 방법이 있습니다. 또 다른 잠재적인 문제는 일반적인 클라이언트 인증서가 사용하는 모든 사이트에 공개하고 싶지 않은 일부 신원 정보를 담고 있다는 것입니다. 클라이언트 인증서는 영원히 사용되어 왔고 웹 서버에는 작업 지원이 존재합니다. 소프트웨어를 구현하기 위해 서비스 제공업체와 브라우저 측 모두 아직 해야 할 일이 많습니다. 그들은 일한다 . 거의 사용되지 않기 때문에 개발에 거의 관심을 기울이지 않습니다.

가장 중요한 것은 엔드투엔드 암호화입니다.

웹사이트가 귀하의 데이터를 보호할 수 있는 가장 효과적인 방법은 처음부터 해당 데이터를 소유하지 않는 것입니다. 적어도 읽을 수 있는 버전은 아닙니다. 웹사이트에서 귀하의 데이터를 읽을 수 있으면 충분한 액세스 권한이 있는 공격자가 귀하의 데이터를 읽을 수 있습니다. 이것이 바로 우리가 E2EE(종단 간 암호화)를 선호하는 이유입니다.

종단간 암호화란 무엇입니까? 이는 당신이 암호화하다 귀하 측의 데이터와 숙박 귀하가 원하는 사람에게 전달되거나 귀하에게 반환될 때까지 암호화됩니다.

E2EE의 장점: 엔드투엔드 암호화는 온라인 백업 서비스와 같은 일부 서비스에서 이미 구현되었습니다. 일부 메시징 서비스, 특히 Snowden 폭로 이후 갑자기 등장한 서비스에는 더 약한 버전도 있습니다. 하지만 웹사이트에서 엔드투엔드 암호화를 수행하는 것은 두 가지 이유 때문에 어렵습니다. 서비스를 제공하기 위해 사용자의 데이터를 확인해야 할 수도 있고, 웹 브라우저는 E2EE 수행에 형편없기 때문입니다. 그러나 스마트폰 앱 시대에는 엔드투엔드 암호화가 더 자주 수행될 수 있고 수행되어야 하는 일입니다. 현재 대부분의 앱은 E2EE를 사용하지 않지만 앞으로는 더 많이 볼 수 있기를 바랍니다. 앱이 민감한 데이터에 E2EE를 사용하지 않는다면 불만을 제기해야 합니다.

E2EE의 위험: 엔드투엔드 암호화가 작동하려면 전반적으로 수행되어야 합니다. 앱이나 웹사이트가 이를 성의 없이 수행한다면 카드 하우스 전체가 무너질 수 있습니다. 암호화되지 않은 데이터 중 하나를 사용하여 나머지 데이터에 액세스할 수 있는 경우가 있습니다. 보안은 가장 취약한 링크 게임입니다. 체인의 단 하나의 링크만 끊어지지 않아야 합니다.

그럼 이제 어떡하지?

분명히 사용자로서 제어할 수 있는 것은 많지 않습니다. 인증자와 함께 일회용 비밀번호를 사용하는 서비스를 찾으면 운이 좋을 것입니다. 하지만 사용하는 웹사이트와 앱에 확실히 이야기하고 버그를 발견했다는 사실을 알려야 합니다. 소프트웨어에 문제가 발생하면 단순히 보안에 의존하는 것이 아니라 보안을 더 심각하게 고려해야 한다고 생각합니다. 비밀번호.

더 많은 인터넷이 이러한 고급 보안 방법을 사용한다면 다음 번에는 Heartbleed 규모의 소프트웨어 재앙이 발생할 수 있습니다. ~ 할 것이다 결국 우리는 그렇게 당황할 필요가 없을 것입니다.

[이미지 제공: 큰낫5/셔터스톡]