Разочарованы последствиями Heartbleed? Ты не один. Крошечная ошибка в самой популярной в мире библиотеке SSL проделала огромные дыры в системе безопасности, обертывающей наши связь со всеми видами облачных веб-сайтов, приложений и сервисов — и это еще не все дыры пропатчен еще.
Ошибка Heartbleed позволила злоумышленникам отодвинуть защищенную от слежки оболочку OpenSSL и просмотреть обмен данными между клиентом и сервером. Это позволило хакерам взглянуть на такие вещи, как пароли и файлы cookie сеанса, которые представляют собой небольшие фрагменты данных, которые сервер отправляет вам сообщение после входа в систему, а ваш браузер отправляет ответ каждый раз, когда вы что-то делаете, чтобы доказать, что это ты. А если ошибка затронула финансовый сайт, могла быть обнаружена и другая конфиденциальная информация, которую вы передаете через Сеть, например информация о кредитной карте или налоговая информация.
Рекомендуемые видео
Как Интернет может лучше всего защитить себя от подобных катастрофических ошибок? У нас есть несколько идей.
Да, вам нужны более безопасные пароли: вот как их сделать
Ладно, лучшие пароли не предотвратят следующий Heartbleed, но однажды они могут спасти вас от взлома. Многие люди просто ужасно умеют создавать надежные пароли.
Вы все это уже слышали: не используйте «пароль1», «пароль2» и т. д. Большинству паролей не хватает того, что называется энтропией — они определенно нет случайный и они воля можно угадать, если злоумышленник когда-либо получит возможность сделать множество предположений, либо путем взлома службы, либо (что более вероятно) кража хэшей паролей — математических выводов паролей, которые можно проверить, но нельзя вернуть в исходное состояние. пароль.
Что бы вы ни делали, не используйте один и тот же пароль более чем в одном месте.
Программное обеспечение или службы для управления паролями, использующие сквозное шифрование, также могут помочь. Кипасс является хорошим примером первого; Последний проход последнего. Тщательно охраняйте свою электронную почту, так как ее можно использовать для сброса большинства ваших паролей. И что бы вы ни делали, не используйте один и тот же пароль более чем в одном месте — вы просто напрашиваетесь на неприятности.
Веб-сайты должны использовать одноразовые пароли
OTP означает «одноразовый пароль», и вы, возможно, уже используете его, если у вас настроен веб-сайт/сервис, требующий использования Google Аутентификатор. Большинство этих аутентификаторов (включая Google) используют интернет-стандарт под названием TOTP или одноразовый пароль на основе времени. который описан здесь.
Что такое ТОТП? Короче говоря, веб-сайт, на котором вы находитесь, генерирует секретный номер, который один раз передается в вашу программу аутентификации, обычно через QR код. В варианте, основанном на времени, новое шестизначное число генерируется на основе этого секретного числа каждые 30 секунд. Веб-сайту и клиенту (вашему компьютеру) больше не нужно взаимодействовать; Номера просто отображаются на вашем аутентификаторе, и вы отправляете их на веб-сайт по запросу вместе с вашим паролем, и вы вошли. Существует также вариант, который работает, отправляя вам те же коды в текстовом сообщении.
Преимущества ТОТП: Даже если Heartbleed или подобная ошибка приведет к раскрытию вашего пароля и номера вашего аутентификатора, веб-сайта, на котором вы находитесь, взаимодействие с почти наверняка уже пометило этот номер как использованный, и его нельзя использовать снова — и в любом случае он станет недействительным в течение 30 секунд. Если веб-сайт еще не предлагает эту услугу, вероятно, это можно сделать относительно легко, и если у вас есть практически любой смартфон, вы можете запустить аутентификатор. Конечно, немного неудобно пользоваться телефоном для входа в систему, но преимущества безопасности для любой службы, которая вам интересна, того стоят.
Риски TOTP: Взлом сервера другой способ может привести к раскрытию секретного номера, что позволит злоумышленнику создать собственный аутентификатор. Но если вы используете TOTP в сочетании с паролем, который не хранится на веб-сайте, большинство хороших провайдеров хранят хеш, который сильно устойчив к его реверс-инжинирингу - тогда между ними двумя ваш риск значительно опущен.
Сила клиентских сертификатов (и что они собой представляют)
Вы, вероятно, никогда не слышали о клиентских сертификатах, но на самом деле они существуют очень давно (конечно, в годы Интернета). Причина, по которой вы, вероятно, о них не слышали, заключается в том, что достать их непросто. Гораздо проще просто заставить пользователей выбрать пароль, поэтому сертификаты обычно используют только сайты с высоким уровнем безопасности.
Что такое сертификат клиента? Сертификаты клиентов доказывают, что вы являетесь тем человеком, за которого себя выдаете. Все, что вам нужно сделать, это установить его (и он работает на многих сайтах) в своем браузере, а затем выбрать его использование, когда сайт требует от вас аутентификации. Эти сертификаты являются близкими родственниками сертификатов SSL, которые веб-сайты используют для идентификации на вашем компьютере.
Самый эффективный способ, которым веб-сайт может защитить ваши данные, — это вообще никогда не владеть ими.
Преимущества клиентских сертификатов: Независимо от того, на сколько сайтов вы войдете с помощью клиентского сертификата, сила математики на вашей стороне; никто не сможет использовать тот же сертификат, чтобы выдать себя за вас, даже если они будут наблюдать за вашим сеансом.
Риски клиентских сертификатов: Основной риск клиентского сертификата заключается в том, что кто-то может взломать его. твой компьютер и украсть его, но этот риск можно снизить. Другая потенциальная проблема заключается в том, что типичные клиентские сертификаты содержат некоторую идентификационную информацию, которую вы, возможно, не захотите раскрывать на каждом используемом вами сайте. Хотя клиентские сертификаты существовали всегда, и на веб-сервере существует рабочая поддержка. программного обеспечения, как поставщикам услуг, так и браузерам еще предстоит проделать большую работу, чтобы они работают хорошо. Поскольку они используются так редко, им уделяется мало внимания при разработке.
Самое главное: сквозное шифрование.
Самый эффективный способ, которым веб-сайт может защитить ваши данные, — это вообще никогда не владеть ими — по крайней мере, той версией, которую он может прочитать. Если веб-сайт может прочитать ваши данные, злоумышленник с достаточным доступом может прочитать ваши данные. Вот почему нам нравится сквозное шифрование (E2EE).
Что такое сквозное шифрование? Это означает, что вы шифровать данные на вашей стороне, и это остается зашифровано до тех пор, пока оно не дойдет до человека, которому вы его предназначаете, или не вернется к вам.
Преимущества E2EE: Сквозное шифрование уже реализовано в нескольких службах, например в службах онлайн-резервного копирования. В некоторых мессенджерах есть и более слабые версии, особенно в тех, которые появились после разоблачений Сноудена. Однако веб-сайтам сложно выполнять сквозное шифрование по двум причинам: им может потребоваться доступ к вашим данным для предоставления своих услуг, а веб-браузеры плохо справляются с E2EE. Но в эпоху приложений для смартфонов сквозное шифрование — это то, что можно и нужно делать чаще. Большинство приложений сегодня не используют E2EE, но мы надеемся, что в будущем мы увидим больше его. Если ваши приложения не используют E2EE для ваших конфиденциальных данных, вам следует жаловаться.
Риски E2EE: Чтобы сквозное шифрование работало, оно должно применяться повсеместно — если приложение или веб-сайт будет делать это нерешительно, весь карточный домик может рухнуть. Иногда один фрагмент незашифрованных данных можно использовать для получения доступа к остальным. Безопасность — это игра с самым слабым звеном; только одно звено в цепи не должно ее разорвать.
Ну что теперь?
Очевидно, что вы, как пользователь, не можете многое контролировать. Вам повезет найти сервис, использующий одноразовые пароли с аутентификатором. Но вам обязательно следует поговорить с веб-сайтами и приложениями, которые вы используете, и сообщить им, что вы заметили ошибки. в программном обеспечении случаются, и вы думаете, что им следует более серьезно относиться к безопасности, а не просто полагаться на пароли.
Если большая часть Сети будет использовать эти передовые методы безопасности, возможно, в следующий раз произойдет программная катастрофа масштаба Heartbleed — и тогда воля быть, в конце концов — нам не придется так сильно паниковать.
[Изображение предоставлено коса5/Шаттерсток]
