Nedslagen av nedfallet från Heartbleed? Du är inte ensam. Den lilla buggen i världens mest populära SSL-bibliotek gjorde stora hål i säkerheten som omslöt vår kommunikation med alla typer av molnbaserade webbplatser, appar och tjänster – och hålen är inte ens alla lappat ännu.
Heartbleed-felet gjorde det möjligt för angripare att dra tillbaka det snoopresistenta fodret i OpenSSL och kika på kommunikationen mellan klient och server. Detta gav hackare en titt på saker som lösenord och sessionscookies, som är små databitar som servern skickar dig efter att du loggat in och din webbläsare skickar tillbaka varje gång du gör något för att bevisa att det är det du. Och om felet påverkade en finansiell webbplats kan annan känslig information som du skickade via nätet, som kreditkorts- eller skatteinformation, ha setts.
Rekommenderade videor
Hur kan Internet bäst skydda sig mot katastrofala buggar som denna? Vi har några idéer.
Ja, du behöver säkrare lösenord: Så här gör du dem
Okej, så bättre lösenord skulle inte förhindra nästa Heartbleed, men de kan rädda dig från att bli hackad någon gång. Många människor är bara hemska på att skapa säkra lösenord.
Du har hört allt förut: använd inte "lösenord1", "lösenord2" etc. De flesta lösenord har inte tillräckligt med vad som kallas entropi – det är de definitivt inte slumpmässigt och de kommer gissas om en angripare någonsin får möjlighet att göra massor av gissningar, antingen genom att hamra på tjänsten eller (mer troligt) stjäla lösenordshascharna – matematiska härledningar av lösenorden som kan kontrolleras men inte vändas tillbaka till originalet Lösenord.
Vad du än gör, använd inte samma lösenord på mer än ett ställe.
Programvara eller tjänster för lösenordshantering som använder end-to-end-kryptering kan också hjälpa. KeepPass är ett bra exempel på det förra; LastPass den senare. Skydda din e-post väl, eftersom den kan användas för att återställa de flesta av dina lösenord. Och vad du än gör, använd inte samma lösenord på mer än ett ställe – du ber bara om problem.
Webbplatser måste implementera engångslösenord
OTP står för "engångslösenord" och du kanske redan använder det om du har en webbplats/tjänst som kräver att du använder Google Authenticator. De flesta av dessa autentiseringsorgan (inklusive Googles) använder en internetstandard som kallas TOTP, eller Time-based One-Time Password, som beskrivs här.
Vad är TOTP? I ett nötskal genererar webbplatsen du är på ett hemligt nummer, som skickas en gång till ditt autentiseringsprogram, vanligtvis genom en QR-kod. I den tidsbaserade varianten genereras ett nytt sexsiffrigt nummer från det hemliga numret var 30:e sekund. Webbplatsen och klienten (din dator) behöver inte kommunicera igen; siffror visas helt enkelt på din autentisering och du skickar dem till webbplatsen enligt begäran tillsammans med ditt lösenord, och du är med. Det finns också en variant som fungerar genom att skicka samma koder till dig via ett textmeddelande.
Fördelar med TOTP: Även om Heartbleed eller en liknande bugg skulle resultera i att både ditt lösenord och numret på din autentisering avslöjas, är webbplatsen du interagerar med har nästan säkert redan markerat det numret som använt och det kan inte användas igen – och det kommer att vara ogiltigt inom 30 sekunder ändå. Om en webbplats inte redan erbjuder den här tjänsten kan den förmodligen göra det relativt enkelt, och om du har praktiskt taget vilken smartphone som helst kan du köra en autentisering. Det är lite obekvämt att konsultera din telefon för att logga in, visst, men säkerhetsfördelarna för alla tjänster du bryr dig om gör det värt det.
Risker med TOTP: Inbrott i en server a annorlunda sätt kan resultera i att det hemliga numret avslöjas, vilket gör det möjligt för angriparen att skapa sin egen autentisering. Men om du använder TOTP tillsammans med ett lösenord som inte lagras av webbplatsen – lagrar de flesta bra leverantörer en hash som är starkt motståndskraftig mot omvänd konstruktion – då mellan de två är din risk stor sänkt.
Kraften hos klientcertifikat (och vad de är)
Du har förmodligen aldrig hört talas om klientcertifikat, men de har faktiskt funnits väldigt länge (i internetår, förstås). Anledningen till att du förmodligen inte har hört talas om dem är att de är ett jobb att få. Det är mycket lättare att bara få användare att välja ett lösenord, så bara högsäkerhetssajter brukar använda certifikat.
Vad är ett kundcertifikat? Kundcertifikat bevisar att du är den person du påstår att du är. Allt du behöver göra är att installera det (och en fungerar på många webbplatser) i din webbläsare och sedan välja att använda det när en webbplats vill att du ska autentisera. Dessa certifikat är en nära kusin till de SSL-certifikat som webbplatser använder för att identifiera sig för din dator.
Det mest effektiva sättet en webbplats kan skydda din data på är att aldrig ha dem i första hand.
Fördelar med klientcertifikat: Oavsett hur många webbplatser du loggar in på med ett kundcertifikat, är matematikens kraft på din sida; ingen kommer att kunna använda samma certifikat för att låtsas vara du, även om de observerar din session.
Risker med klientcertifikat: Den primära risken med ett kundcertifikat är att någon kan bryta sig in din dator och stjäla den, men det finns begränsningar för den risken. Ett annat potentiellt problem är att typiska klientcertifikat innehåller viss identitetsinformation som du kanske inte vill avslöja för varje webbplats du använder. Även om klientcertifikat har funnits för evigt, och fungerande stöd finns i webbservern programvara, finns det fortfarande mycket arbete att göra på både tjänsteleverantörers och webbläsares sida de fungerar väl. Eftersom de används så sällan får de lite utvecklingsuppmärksamhet.
Viktigast av allt: End-to-end-kryptering
Det mest effektiva sättet som en webbplats kan skydda din data på är att aldrig ha dem i första hand – åtminstone inte en version som den kan läsa. Om en webbplats kan läsa dina data kan en angripare med tillräcklig tillgång läsa dina data. Det är därför vi gillar end-to-end-kryptering (E2EE).
Vad är end-to-end-kryptering? Det betyder att du kryptera data på din sida, och det stannar krypterad tills den når personen du avser den för, eller så kommer den tillbaka till dig.
Fördelar med E2EE: End-to-end-kryptering är redan implementerad i ett fåtal tjänster, som online backup-tjänster. Det finns också svagare versioner av det i vissa meddelandetjänster, särskilt de som dök upp efter Snowden-avslöjandena. Det är dock svårt för webbplatser att göra end-to-end-kryptering av två skäl: de kan behöva se din data för att kunna tillhandahålla sin tjänst, och webbläsare är dåliga på att utföra E2EE. Men i smartphone-appens tid är end-to-end-kryptering något som kan och bör göras oftare. De flesta appar använder inte E2EE idag, men vi hoppas att vi kommer att se mer av det framöver. Om dina appar inte använder E2EE för dina känsliga uppgifter bör du klaga.
Risker med E2EE: För att end-to-end-kryptering ska fungera måste det göras över hela linjen – om en app eller webbplats bara gör det halvhjärtat kan hela korthuset kollapsa. En bit okrypterad data kan ibland användas för att få tillgång till resten. Säkerhet är ett spel med den svagaste länken; endast en länk i kedjan får misslyckas med att bryta den.
Så, vad nu?
Uppenbarligen finns det inte mycket som du som användare kan kontrollera. Du kommer att ha tur att hitta en tjänst som använder engångslösenord med en autentisering. Men du bör definitivt prata med de webbplatser och appar du använder och låta dem veta att du inser buggar i programvara hända, och du tycker att de borde ta säkerheten mer seriöst och inte bara lita på lösenord.
Om fler på nätet använder dessa avancerade säkerhetsmetoder, kanske nästa gång det blir en programkatastrof i Heartbleed-skalan – och där kommer så småningom kommer vi inte behöva få så mycket panik.
[Bild med tillstånd av lie5/Shutterstock]
