Heartbleed Fallout: 4 manieren om een ​​nieuwe catastrofe te voorkomen

hacker

Ontmoedigd door de gevolgen van Heartbleed? Je bent niet alleen. De kleine bug in de populairste SSL-bibliotheek ter wereld heeft enorme gaten in de beveiliging geslagen communicatie met allerlei soorten cloudgebaseerde websites, apps en diensten – en de gaten zijn nog niet eens allemaal nog gepatcht.

Dankzij de Heartbleed-bug konden aanvallers de snuffelbestendige voering van OpenSSL verwijderen en naar de communicatie tussen client en server kijken. Hierdoor kregen hackers inzicht in zaken als wachtwoorden en sessiecookies, dit zijn kleine stukjes gegevens die de server stuurt u nadat u zich heeft aangemeld en uw browser stuurt elke keer dat u iets doet terug om te bewijzen dat dit zo is Jij. En als de bug een financiële site trof, is er mogelijk ook andere gevoelige informatie die u via internet doorgeeft, zoals creditcard- of belastinggegevens, gezien.

Aanbevolen video's

Hoe kan het internet zichzelf het beste beschermen tegen dit soort catastrofale bugs? We hebben een paar ideeën.

Ja, je hebt veiligere wachtwoorden nodig: zo maak je ze

Oké, dus betere wachtwoorden kunnen de volgende Heartbleed niet voorkomen, maar ze kunnen je er wel van weerhouden ooit gehackt te worden. Veel mensen zijn gewoon slecht in het maken van veilige wachtwoorden.

Je hebt het allemaal al eerder gehoord: gebruik niet ‘wachtwoord1’, ‘wachtwoord2’, enz. De meeste wachtwoorden hebben niet genoeg van wat entropie wordt genoemd; dat is zeker het geval niet willekeurig en zij zullen geraden worden als een aanvaller ooit de kans krijgt om veel te raden, hetzij door op de service te hameren of (waarschijnlijker) het stelen van de wachtwoord-hashes: wiskundige afleidingen van de wachtwoorden die kunnen worden gecontroleerd maar niet kunnen worden teruggedraaid naar het origineel wachtwoord.

Wat je ook doet, gebruik hetzelfde wachtwoord niet op meer dan één plek.

Veel serviceproviders benaderen dit probleem door van gebruikers te eisen dat ze wachtwoorden van een bepaalde lengte hebben, inclusief leestekens en cijfers, om te proberen de entropie te vergroten. De trieste realiteit is echter dat dit soort regels maar een klein beetje helpen. Een betere optie zijn lange zinnen met daadwerkelijke, gedenkwaardige woorden – wat bekend is geworden als het ‘juiste paardenbatterij-nietje’-wachtwoord, ter ere van deze XKCD-strip het concept uitleggen. Helaas kun je (net als ik) providers tegenkomen die je dit soort wachtwoorden niet laten gebruiken. (Ja, er zijn financiële instellingen die je beperken tot 10 tekens. Nee, ik weet niet wat ze roken.)

Software of services voor wachtwoordbeheer die end-to-end-codering gebruiken, kunnen ook helpen. KeePass is een goed voorbeeld van het eerste; LastPass van laatstgenoemde. Bewaak uw e-mail goed, want deze kan worden gebruikt om de meeste van uw wachtwoorden opnieuw in te stellen. En wat u ook doet, gebruik hetzelfde wachtwoord niet op meer dan één plek; u vraagt ​​alleen maar om problemen.

Websites moeten eenmalige wachtwoorden implementeren

OTP staat voor ‘eenmalig wachtwoord’ en u kunt het al gebruiken als u een website/service heeft ingesteld waarvoor u deze moet gebruiken Google Authenticator. De meeste van deze authenticators (waaronder die van Google) gebruiken een internetstandaard genaamd TOTP, oftewel op tijd gebaseerd eenmalig wachtwoord. die hier wordt beschreven.

Wat is TOTP? In een notendop: de website waarop u zich bevindt, genereert een geheim nummer, dat één keer wordt doorgegeven aan uw authenticatieprogramma, meestal via een QR code. In de op tijd gebaseerde variant wordt elke 30 seconden een nieuw zescijferig nummer gegenereerd op basis van dat geheime nummer. De website en client (uw computer) hoeven niet opnieuw te communiceren; nummers worden eenvoudigweg weergegeven op uw authenticator en u geeft ze zoals gevraagd op de website in combinatie met uw wachtwoord, en u doet mee. Er is ook een variant die werkt door dezelfde codes via een sms naar u te sturen.

LastPass Android-app
De Android-app van LastPass

Voordelen van TOTP: Zelfs als Heartbleed of een soortgelijke bug zou resulteren in het vrijgeven van zowel uw wachtwoord als het nummer op uw authenticator, zal de website waar u zich bevindt interactie met heeft dat nummer vrijwel zeker al gemarkeerd als gebruikt en het kan niet opnieuw worden gebruikt - en het zal hoe dan ook binnen 30 seconden ongeldig zijn. Als een website deze service nog niet aanbiedt, kan dit waarschijnlijk relatief eenvoudig worden gedaan, en als u vrijwel elke smartphone heeft, kunt u een authenticator gebruiken. Het is enigszins lastig om je telefoon te raadplegen om in te loggen, maar het beveiligingsvoordeel voor elke dienst die je belangrijk vindt, maakt het de moeite waard.

Risico's van TOTP: Inbreken in een server a verschillend Deze manier zou ertoe kunnen leiden dat het geheime nummer wordt vrijgegeven, waardoor de aanvaller zijn eigen authenticator kan maken. Maar als je TOTP gebruikt in combinatie met een wachtwoord dat niet door de website wordt opgeslagen, slaan de meeste goede providers een hasj die sterk resistent is tegen reverse-engineering ervan, en tussen die twee is je risico enorm verlaagd.

De kracht van clientcertificaten (en wat ze zijn)

U heeft waarschijnlijk nog nooit van clientcertificaten gehoord, maar ze bestaan ​​al heel lang (uiteraard in de internetjaren). De reden dat je er waarschijnlijk nog nooit van hebt gehoord, is dat het een hele klus is om ze te krijgen. Het is veel eenvoudiger om gebruikers gewoon een wachtwoord te laten kiezen, dus alleen hoogbeveiligde sites gebruiken vaak certificaten.

Wat is een klantcertificaat? Klantcertificaten bewijzen dat u de persoon bent die u beweert te zijn. Het enige wat u hoeft te doen is het in uw browser te installeren (en het werkt op veel sites) en er vervolgens voor kiezen om het te gebruiken wanneer een site wil dat u zich authenticeert. Deze certificaten zijn nauw verwant aan de SSL-certificaten die websites gebruiken om zichzelf bij uw computer te identificeren.

De meest effectieve manier waarop een website uw gegevens kan beschermen, is door deze nooit in het bezit te hebben.

Voordelen van clientcertificaten: Het maakt niet uit op hoeveel sites u zich aanmeldt met een klantcertificaat, de kracht van wiskunde staat aan uw kant; niemand zal datzelfde certificaat kunnen gebruiken om zich voor te doen als u, zelfs als ze uw sessie observeren.

Risico's van clientcertificaten: Het voornaamste risico van een clientcertificaat is dat iemand erin kan inbreken jouw computer en deze stelen, maar er zijn oplossingen voor dat risico. Een ander potentieel probleem is dat typische clientcertificaten bepaalde identiteitsgegevens bevatten die u mogelijk niet openbaar wilt maken aan elke site die u gebruikt. Hoewel clientcertificaten er altijd al zijn geweest, bestaat er werkende ondersteuning in de webserver software, er is nog veel werk aan de winkel, zowel aan de kant van de serviceproviders als aan de kant van de browsers ze werken Goed. Omdat ze zo zelden worden gebruikt, krijgen ze weinig ontwikkelingsaandacht.

Het allerbelangrijkste: end-to-end-encryptie

De meest effectieve manier waarop een website uw gegevens kan beschermen, is door deze nooit in het bezit te hebben – althans niet over een versie die deze kan lezen. Als een website uw gegevens kan lezen, kan een aanvaller met voldoende toegang uw gegevens uitlezen. Daarom houden we van end-to-end-encryptie (E2EE).

Wat is end-to-end-encryptie? Dit betekent dat jij versleutelen de gegevens aan uw kant, en het blijft gecodeerd totdat het de persoon bereikt voor wie u het bedoelt, of totdat het naar u terugkeert.

Voordelen van E2EE: End-to-end-encryptie is al in een aantal diensten geïmplementeerd, zoals online back-updiensten. Er zijn ook zwakkere versies ervan in sommige berichtendiensten, vooral degenen die opdoken na de onthullingen van Snowden. Het is echter moeilijk voor websites om end-to-end-encryptie uit te voeren, om twee redenen: het kan zijn dat ze uw gegevens nodig hebben om hun service te kunnen verlenen, en webbrowsers zijn slecht in het uitvoeren van E2EE. Maar in het tijdperk van de smartphone-app is end-to-end-encryptie iets dat vaker kan en moet worden gedaan. De meeste apps gebruiken E2EE momenteel niet, maar we hopen dat we er in de toekomst meer van zullen zien. Als uw apps E2EE niet gebruiken voor uw gevoelige gegevens, moet u een klacht indienen.

Risico's van E2EE: Om end-to-end-encryptie te laten werken, moet dit over de hele linie worden gedaan: als een app of website dit maar halfslachtig doet, kan het hele kaartenhuis instorten. Soms kan één stuk niet-versleutelde gegevens worden gebruikt om toegang te krijgen tot de rest. Beveiliging is een spel met de zwakste schakel; slechts één schakel in de keten mag er niet in slagen deze te verbreken.

Dus wat nu?

Het is duidelijk dat u als gebruiker niet veel kunt controleren. Je zult geluk hebben als je een service vindt die eenmalige wachtwoorden met een authenticator gebruikt. Maar u moet zeker met de websites en apps die u gebruikt praten en hen laten weten dat u bugs opmerkt in software gebeuren, en je denkt dat ze de beveiliging serieuzer moeten nemen en er niet alleen maar op moeten vertrouwen wachtwoorden.

Als een groter deel van het internet deze geavanceerde beveiligingsmethoden gebruikt, zal er de volgende keer misschien een softwareramp op Heartbleed-schaal plaatsvinden. zullen Uiteindelijk zullen we niet zo erg in paniek hoeven te raken.

[Afbeelding met dank aan zeis5/Shutterstock]