Motløs over nedfallet fra Heartbleed? Du er ikke alene. Den lille feilen i verdens mest populære SSL-bibliotek stakk store hull i sikkerheten som pakket inn kommunikasjon med alle slags skybaserte nettsteder, apper og tjenester – og hullene er ikke engang alle lappet ennå.
Heartbleed-feilen tillot angripere å trekke tilbake den snoop-resistente foringen til OpenSSL og kikke på kommunikasjonen mellom klient og server. Dette ga hackere en titt på ting som passord og øktinformasjonskapsler, som er små databiter som serveren sender deg etter at du logger på og nettleseren din sender tilbake hver gang du gjør noe for å bevise det du. Og hvis feilen påvirket et finansnettsted, kan annen sensitiv informasjon du sendte gjennom nettet, som kredittkort- eller skatteinformasjon, ha blitt sett.
Anbefalte videoer
Hvordan kan Internett best beskytte seg mot katastrofale feil som dette? Vi har noen ideer.
Ja, du trenger sikrere passord: Slik lager du dem
Ok, så bedre passord ville ikke forhindre neste Heartbleed, men de kan redde deg fra å bli hacket en dag. Mange mennesker er bare forferdelige til å lage sikre passord.
Du har hørt alt før: ikke bruk "passord1", "passord2" osv. De fleste passord har ikke nok av det som kalles entropi - det er de definitivt ikke tilfeldig og de vil bli gjettet om en angriper noen gang får muligheten til å gjøre mange gjetninger, enten ved å hamre på tjenesten eller (mer sannsynlig) stjele passordhasjene - matematiske avledninger av passordene som kan kontrolleres, men ikke reverseres tilbake til originalen passord.
Uansett hva du gjør, ikke bruk det samme passordet på mer enn ett sted.
Programvare eller tjenester for passordbehandling som bruker ende-til-ende-kryptering kan også hjelpe. KeepPass er et godt eksempel på førstnevnte; LastPass av sistnevnte. Beskytt e-posten din godt, siden den kan brukes til å tilbakestille de fleste passordene dine. Og uansett hva du gjør, ikke bruk det samme passordet på mer enn ett sted – du ber bare om problemer.
Nettsteder må implementere engangspassord
OTP står for "engangspassord", og du kan allerede bruke det hvis du har satt opp en nettside/tjeneste som krever at du bruker Google Authenticator. De fleste av disse autentikatorene (inkludert Googles) bruker en Internett-standard kalt TOTP, eller tidsbasert engangspassord, som er beskrevet her.
Hva er TOTP? I et nøtteskall genererer nettstedet du er på et hemmelig nummer, som sendes én gang til autentiseringsprogrammet ditt, vanligvis gjennom en QR kode. I den tidsbaserte varianten genereres et nytt sekssifret nummer fra det hemmelige nummeret hvert 30. sekund. Nettstedet og klienten (datamaskinen din) trenger ikke å kommunisere igjen; numrene vises ganske enkelt på autentiseringsmaskinen din, og du leverer dem til nettstedet som forespurt i forbindelse med passordet ditt, og du er inne. Det er også en variant som fungerer ved å sende de samme kodene til deg via en tekstmelding.
Fordeler med TOTP: Selv om Heartbleed eller en lignende feil skulle føre til avsløring av både passordet ditt og nummeret på autentiseringsenheten din, er nettstedet du samhandling med har nesten helt sikkert allerede merket det nummeret som brukt, og det kan ikke brukes igjen – og det vil uansett være ugyldig innen 30 sekunder. Hvis et nettsted ikke allerede tilbyr denne tjenesten, kan det sannsynligvis gjøre det relativt enkelt, og hvis du har praktisk talt hvilken som helst smarttelefon, kan du kjøre en autentisering. Det er litt upraktisk å konsultere telefonen din for å logge på, gitt, men sikkerhetsfordelen for enhver tjeneste du bryr deg om gjør det verdt det.
Risikoer ved TOTP: Innbrudd på en server a annerledes måte kan føre til avsløring av det hemmelige nummeret, slik at angriperen kan lage sin egen autentisering. Men hvis du bruker TOTP sammen med et passord som ikke er lagret av nettstedet – lagrer de fleste gode leverandører en hasj som er sterkt motstandsdyktig mot reverse engineering – så mellom de to er risikoen stor senkes.
Kraften til klientsertifikater (og hva de er)
Du har sannsynligvis aldri hørt om klientsertifikater, men de har faktisk eksistert veldig lenge (i Internett-år, selvfølgelig). Grunnen til at du sannsynligvis ikke har hørt om dem er at de er et ork å få. Det er mye lettere å bare få brukere til å velge et passord, så bare høysikkerhetssider har en tendens til å bruke sertifikater.
Hva er et klientsertifikat? Klientsertifikater beviser at du er den personen du påstår du er. Alt du trenger å gjøre er å installere den (og en fungerer på mange nettsteder) i nettleseren din, og velg deretter å bruke den når et nettsted vil at du skal autentisere. Disse sertifikatene er en nær slektning av SSL-sertifikatene nettsteder bruker for å identifisere seg på datamaskinen din.
Den mest effektive måten et nettsted kan beskytte dataene dine på er å aldri være i besittelse av dem i utgangspunktet.
Fordeler med klientsertifikater: Uansett hvor mange nettsteder du logger på med et klientsertifikat, er matematikkens kraft på din side; ingen vil kunne bruke det samme sertifikatet til å late som om de er deg, selv om de observerer økten din.
Risikoer ved klientsertifikater: Den primære risikoen ved et klientsertifikat er at noen kan bryte seg inn din datamaskinen og stjele den, men det finnes begrensninger for den risikoen. Et annet potensielt problem er at typiske klientsertifikater inneholder noe identitetsinformasjon du kanskje ikke ønsker å avsløre til alle nettsteder du bruker. Selv om klientsertifikater har eksistert for alltid, og fungerende støtte finnes på webserveren programvare, er det fortsatt mye arbeid å gjøre på både tjenesteleverandørenes og nettleserens sider de fungerer vi vil. Fordi de brukes så sjelden, får de lite utviklingsoppmerksomhet.
Viktigst: End-to-end-kryptering
Den mest effektive måten et nettsted kan beskytte dataene dine på er å aldri være i besittelse av dem i utgangspunktet – i hvert fall ikke en versjon den kan lese. Hvis et nettsted kan lese dataene dine, kan en angriper med tilstrekkelig tilgang lese dataene dine. Dette er grunnen til at vi liker ende-til-ende-kryptering (E2EE).
Hva er ende-til-ende-kryptering? Dette betyr at du kryptere dataene på din side, og det forblir kryptert til den når personen du har tenkt den til, eller den kommer tilbake til deg.
Fordeler med E2EE: End-to-end-kryptering er allerede implementert i noen få tjenester, som online backup-tjenester. Det er også svakere versjoner av det i noen meldingstjenester, spesielt de som dukket opp etter Snowden-avsløringene. Det er imidlertid vanskelig for nettsteder å gjøre ende-til-ende-kryptering, av to grunner: de kan trenge å se dataene dine for å tilby tjenesten deres, og nettlesere er forferdelige til å utføre E2EE. Men i smarttelefonappens tidsalder er ende-til-ende-kryptering noe som kan og bør gjøres oftere. De fleste apper bruker ikke E2EE i dag, men vi håper vi vil se mer av det fremover. Hvis appene dine ikke bruker E2EE for de sensitive dataene dine, bør du klage.
Risikoer ved E2EE: For at ende-til-ende-kryptering skal fungere, må det gjøres over hele linja – hvis en app eller et nettsted bare gjør det halvhjertet, kan hele korthuset kollapse. Ett stykke ukryptert data kan noen ganger brukes for å få tilgang til resten. Sikkerhet er et spill med svakeste ledd; bare ett ledd i kjeden må ikke bryte den.
Så hva nå?
Det er åpenbart ikke mye du som bruker kan kontrollere. Du vil være heldig å finne en tjeneste som bruker engangspassord med en autentisering. Men du bør definitivt snakke med nettstedene og appene du bruker og la dem vite at du oppdager feil i programvare skjer, og du tror de bør ta sikkerhet mer seriøst og ikke bare stole på passord.
Hvis flere av nettet bruker disse avanserte sikkerhetsmetodene, kanskje neste gang det er en Heartbleed-programvarekatastrofe – og det vil være, til slutt - vi trenger ikke å få så mye panikk.
[Bilde med tillatelse fra ljå5/Shutterstock]
