Heartbleed Fallout: 4 วิธีในการป้องกันภัยพิบัติอีกครั้ง

ท้อแท้กับผลกระทบจาก Heartbleed หรือไม่? คุณไม่ได้โดดเดี่ยว. จุดบกพร่องเล็กๆ ในไลบรารี SSL ที่ได้รับความนิยมมากที่สุดในโลกทำให้เกิดช่องโหว่ขนาดใหญ่ในการรักษาความปลอดภัยของเรา การสื่อสารกับเว็บไซต์ แอพ และบริการบนคลาวด์ทุกประเภท — และช่องโหว่ก็ไม่ได้ทั้งหมดด้วยซ้ำ แพตช์ยัง

ข้อบกพร่อง Heartbleed ช่วยให้ผู้โจมตีสามารถลอกการป้องกันการสอดแนมของ OpenSSL และดูการสื่อสารระหว่างไคลเอนต์และเซิร์ฟเวอร์ได้ วิธีนี้ทำให้แฮกเกอร์สามารถตรวจดูสิ่งต่างๆ เช่น รหัสผ่านและคุกกี้เซสชัน ซึ่งเป็นข้อมูลชิ้นเล็กๆ ที่ เซิร์ฟเวอร์จะส่งคุณหลังจากที่คุณเข้าสู่ระบบ และเบราว์เซอร์ของคุณจะส่งกลับทุกครั้งที่คุณทำอะไรบางอย่างเพื่อพิสูจน์ว่าเป็นเช่นนั้น คุณ. และหากจุดบกพร่องส่งผลกระทบต่อไซต์ทางการเงิน ข้อมูลที่ละเอียดอ่อนอื่นๆ ที่คุณส่งผ่านอินเทอร์เน็ต เช่น ข้อมูลบัตรเครดิตหรือภาษี ก็อาจถูกมองเห็นได้

อินเทอร์เน็ตจะป้องกันตัวเองจากข้อผิดพลาดร้ายแรงเช่นนี้ได้ดีที่สุดได้อย่างไร เรามีไอเดียเล็กๆ น้อยๆ

ใช่ คุณต้องมีรหัสผ่านที่ปลอดภัยกว่านี้: ต่อไปนี้เป็นวิธีสร้างรหัสผ่าน

โอเค รหัสผ่านที่ดีกว่าจะไม่ป้องกัน Heartbleed ครั้งถัดไป แต่อาจช่วยคุณจากการถูกแฮ็กสักวันหนึ่ง หลายๆ คนแย่มากกับการสร้างรหัสผ่านที่ปลอดภัย

คุณเคยได้ยินมาหมดแล้ว: อย่าใช้ "รหัสผ่าน 1" "รหัสผ่าน 2" ฯลฯ รหัสผ่านส่วนใหญ่มีสิ่งที่เรียกว่าเอนโทรปีไม่เพียงพอ—แน่นอน ไม่ สุ่มและพวกเขา จะ เดาได้หากผู้โจมตีได้รับโอกาสในการคาดเดามากมาย ไม่ว่าจะโดยการทุบบริการหรือ (มีแนวโน้มมากกว่า) การขโมยแฮชรหัสผ่าน - การสืบค้นรหัสผ่านทางคณิตศาสตร์ที่สามารถตรวจสอบได้ แต่ไม่สามารถย้อนกลับกลับไปสู่ต้นฉบับได้ รหัสผ่าน.

ผู้ให้บริการหลายรายแก้ไขปัญหานี้โดยกำหนดให้ผู้ใช้ต้องมีรหัสผ่านที่มีความยาวตามที่กำหนด โดยมีเครื่องหมายวรรคตอนและตัวเลขเพื่อพยายามเพิ่มเอนโทรปี ความจริงที่น่าเศร้าก็คือกฎเช่นนี้ช่วยได้เพียงเล็กน้อยเท่านั้น ตัวเลือกที่ดีกว่าคือวลียาวๆ ที่เป็นคำจริงและน่าจดจำ ซึ่งกลายเป็นที่รู้จักในชื่อรหัสผ่าน "ลวดเย็บกระดาษม้าที่ถูกต้อง" เพื่อเป็นเกียรติแก่ การ์ตูน XKCD นี้ อธิบายแนวคิด น่าเสียดายที่คุณอาจ (เหมือนฉัน) พบเจอผู้ให้บริการที่ไม่อนุญาตให้คุณใช้รหัสผ่านแบบนั้น (ใช่ มีสถาบันการเงินที่จำกัดคุณไว้ที่ 10 อักขระ ไม่ ฉันไม่รู้ว่าพวกเขากำลังสูบบุหรี่อยู่)

ซอฟต์แวร์หรือบริการการจัดการรหัสผ่านที่ใช้การเข้ารหัสจากต้นทางถึงปลายทางสามารถช่วยได้เช่นกัน คีพาส เป็นตัวอย่างที่ดีของอดีต; LastPass ของหลัง ปกป้องอีเมลของคุณอย่างดี เนื่องจากสามารถใช้เพื่อรีเซ็ตรหัสผ่านส่วนใหญ่ของคุณได้ และไม่ว่าคุณจะทำอะไรก็ตาม อย่าใช้รหัสผ่านเดียวกันในที่มากกว่าหนึ่งแห่ง คุณแค่กำลังถามถึงปัญหาเท่านั้น

เว็บไซต์จำเป็นต้องใช้รหัสผ่านแบบใช้ครั้งเดียว

OTP ย่อมาจาก “รหัสผ่านแบบใช้ครั้งเดียว” และคุณสามารถใช้รหัสผ่านนั้นได้หากคุณมีเว็บไซต์/บริการที่กำหนดให้คุณต้องใช้ Google Authenticator. ตัวตรวจสอบความถูกต้องเหล่านี้ส่วนใหญ่ (รวมถึงของ Google) ใช้มาตรฐานอินเทอร์เน็ตที่เรียกว่า TOTP หรือรหัสผ่านแบบใช้ครั้งเดียวตามเวลา ซึ่งอธิบายไว้ที่นี่.

ทีโอทีพี คืออะไร? โดยสรุป เว็บไซต์ที่คุณเข้าชมจะสร้างหมายเลขลับซึ่งจะถูกส่งต่อไปยังโปรแกรมตรวจสอบความถูกต้องของคุณหนึ่งครั้ง โดยทั่วไปจะผ่านทาง คิวอาร์โค้ด. ในรูปแบบที่อิงตามเวลา หมายเลขหกหลักใหม่จะถูกสร้างขึ้นจากหมายเลขลับนั้นทุกๆ 30 วินาที เว็บไซต์และไคลเอนต์ (คอมพิวเตอร์ของคุณ) ไม่จำเป็นต้องสื่อสารอีก หมายเลขจะแสดงบนเครื่องยืนยันตัวตนของคุณและคุณระบุหมายเลขดังกล่าวให้กับเว็บไซต์ตามที่ร้องขอร่วมกับรหัสผ่านของคุณ เท่านี้คุณก็เข้าได้แล้ว นอกจากนี้ยังมีรูปแบบที่ทำงานโดยการส่งรหัสเดียวกันถึงคุณทางข้อความ

ข้อดีของ TOTP: แม้ว่า Heartbleed หรือข้อบกพร่องที่คล้ายกันจะส่งผลให้มีการเปิดเผยทั้งรหัสผ่านและหมายเลขในเครื่องยืนยันตัวตนของคุณ เว็บไซต์ที่คุณ การโต้ตอบกับได้ทำเครื่องหมายหมายเลขนั้นว่าใช้แล้วและจะไม่สามารถใช้ได้อีก และจะใช้งานไม่ได้ภายใน 30 วินาทีอยู่ดี หากเว็บไซต์ยังไม่มีบริการนี้ ก็อาจทำได้ค่อนข้างง่าย และหากคุณมีสมาร์ทโฟนแทบทุกเครื่อง คุณก็เรียกใช้ตัวตรวจสอบสิทธิ์ได้ ไม่สะดวกเล็กน้อยที่จะปรึกษาโทรศัพท์ของคุณเพื่อเข้าสู่ระบบ แต่ประโยชน์ด้านความปลอดภัยสำหรับบริการใดๆ ที่คุณสนใจนั้นกลับคุ้มค่า

ความเสี่ยงของ TOTP: บุกเข้าไปในเซิร์ฟเวอร์ แตกต่าง อาจส่งผลให้มีการเปิดเผยหมายเลขลับ ทำให้ผู้โจมตีสามารถสร้างเครื่องยืนยันตัวตนของตนเองได้ แต่ถ้าคุณใช้ TOTP ร่วมกับรหัสผ่านที่เว็บไซต์ไม่ได้จัดเก็บไว้ ผู้ให้บริการที่ดีส่วนใหญ่จะจัดเก็บ a แฮชที่มีความทนทานต่อการทำวิศวกรรมย้อนกลับอย่างมาก—ระหว่างสองสิ่งนี้ ความเสี่ยงของคุณก็มีมาก ลดลง

พลังของใบรับรองไคลเอ็นต์ (และคืออะไร)

คุณอาจไม่เคยได้ยินเกี่ยวกับใบรับรองไคลเอ็นต์มาก่อน แต่จริงๆ แล้วใบรับรองเหล่านี้มีมานานแล้ว (แน่นอนว่าในปีอินเทอร์เน็ต) เหตุผลที่คุณอาจไม่เคยได้ยินเกี่ยวกับสิ่งเหล่านี้ก็คือมันเป็นงานที่น่าเบื่อ มันง่ายกว่ามากที่จะให้ผู้ใช้เลือกรหัสผ่าน ดังนั้นเฉพาะไซต์ที่มีความปลอดภัยสูงเท่านั้นที่มีแนวโน้มที่จะใช้ใบรับรอง

ใบรับรองไคลเอนต์คืออะไร? ใบรับรองไคลเอ็นต์พิสูจน์ว่าคุณคือบุคคลที่คุณอ้างว่าเป็น สิ่งที่คุณต้องทำคือติดตั้ง (และใช้งานได้ในหลายไซต์) ในเบราว์เซอร์ของคุณ จากนั้นเลือกที่จะใช้เมื่อไซต์ต้องการให้คุณตรวจสอบสิทธิ์ ใบรับรองเหล่านี้เป็นญาติใกล้ชิดกับใบรับรอง SSL ที่เว็บไซต์ใช้เพื่อระบุตัวตนกับคอมพิวเตอร์ของคุณ

ข้อดีของใบรับรองไคลเอ็นต์: ไม่ว่าคุณจะลงชื่อเข้าใช้ด้วยใบรับรองไคลเอ็นต์กี่ไซต์ก็ตาม พลังของคณิตศาสตร์ก็เข้าข้างคุณ จะไม่มีใครสามารถใช้ใบรับรองเดียวกันนั้นเพื่อปลอมตัวเป็นคุณได้ แม้ว่าพวกเขาจะสังเกตเห็นเซสชั่นของคุณก็ตาม

ความเสี่ยงของใบรับรองไคลเอ็นต์: ความเสี่ยงหลักของใบรับรองไคลเอ็นต์คืออาจมีผู้บุกรุกเข้าไป ของคุณ คอมพิวเตอร์และขโมยมันไป แต่ความเสี่ยงดังกล่าวก็มีการบรรเทาลงได้ ปัญหาที่อาจเกิดขึ้นอีกประการหนึ่งคือใบรับรองไคลเอ็นต์ทั่วไปจะมีข้อมูลประจำตัวบางอย่างที่คุณอาจไม่ต้องการเปิดเผยในทุกไซต์ที่คุณใช้ แม้ว่าใบรับรองไคลเอ็นต์จะมีอยู่ตลอดไปและยังมีการสนับสนุนการทำงานอยู่ในเว็บเซิร์ฟเวอร์ ซอฟต์แวร์ ยังมีงานอีกมากที่ต้องทำทั้งฝั่งผู้ให้บริการและฝั่งเบราว์เซอร์ พวกเขาทำงาน ดี. เนื่องจากไม่ค่อยได้ใช้ จึงได้รับความสนใจในการพัฒนาน้อย

สิ่งที่สำคัญที่สุด: การเข้ารหัสจากต้นทางถึงปลายทาง

วิธีที่มีประสิทธิภาพมากที่สุดที่เว็บไซต์สามารถปกป้องข้อมูลของคุณได้คืออย่าให้เว็บไซต์ครอบครองข้อมูลนั้นตั้งแต่แรก อย่างน้อยก็ไม่ใช่เวอร์ชันที่เว็บไซต์สามารถอ่านได้ หากเว็บไซต์สามารถอ่านข้อมูลของคุณได้ ผู้โจมตีที่มีสิทธิ์เข้าถึงเพียงพอจะสามารถอ่านข้อมูลของคุณได้ นี่คือเหตุผลที่เราชอบการเข้ารหัสจากต้นทางถึงปลายทาง (E2EE)

การเข้ารหัสตั้งแต่ต้นทางถึงปลายทางคืออะไร? ซึ่งหมายความว่าคุณ เข้ารหัส ข้อมูลในส่วนของคุณและมัน อยู่ เข้ารหัสจนกว่าจะถึงบุคคลที่คุณต้องการหรือส่งกลับมาหาคุณ

ข้อดีของ E2EE: มีการใช้งานการเข้ารหัสจากต้นทางถึงปลายทางในบริการบางอย่างแล้ว เช่น บริการสำรองข้อมูลออนไลน์ นอกจากนี้ยังมีเวอร์ชันที่อ่อนแอกว่าในบริการส่งข้อความบางบริการ โดยเฉพาะอย่างยิ่งเวอร์ชันที่ถูกตัดออกหลังจากการเปิดเผยของ Snowden เป็นเรื่องยากสำหรับเว็บไซต์ที่จะทำการเข้ารหัสแบบ end-to-end ด้วยเหตุผลสองประการ: พวกเขาอาจจำเป็นต้องดูข้อมูลของคุณเพื่อให้บริการ และเว็บเบราว์เซอร์ทำงานได้แย่มากในการดำเนินการ E2EE แต่ในยุคของแอปสมาร์ทโฟน การเข้ารหัสจากต้นทางถึงปลายทางเป็นสิ่งที่สามารถทำได้และควรทำบ่อยกว่านี้ แอพส่วนใหญ่ไม่ได้ใช้ E2EE ในปัจจุบัน แต่เราหวังว่าเราจะได้เห็นมันมากขึ้นในอนาคต หากแอปของคุณไม่ได้ใช้ E2EE สำหรับข้อมูลที่ละเอียดอ่อน คุณควรร้องเรียน

ความเสี่ยงของ E2EE: เพื่อให้การเข้ารหัสจากต้นทางถึงปลายทางทำงานได้ ต้องทำทั่วทั้งกระดาน หากแอปหรือเว็บไซต์ทำเพียงครึ่งเดียว การ์ดทั้งใบอาจพังทลายลง บางครั้งข้อมูลที่ไม่ได้เข้ารหัสหนึ่งชิ้นสามารถใช้เพื่อเข้าถึงส่วนที่เหลือได้ ความปลอดภัยเป็นเกมที่มีจุดอ่อนที่สุด ลิงค์เดียวในห่วงโซ่จะต้องไม่ทำลายมัน

แล้วตอนนี้ล่ะ?

แน่นอนว่าในฐานะผู้ใช้สามารถควบคุมได้ไม่มากนัก คุณจะโชคดีที่ได้พบบริการที่ใช้รหัสผ่านแบบใช้ครั้งเดียวกับเครื่องยืนยันตัวตน แต่คุณควรพูดคุยกับเว็บไซต์และแอพที่คุณใช้อย่างแน่นอนและแจ้งให้พวกเขาทราบว่าคุณตระหนักถึงจุดบกพร่อง ในซอฟต์แวร์เกิดขึ้น และคุณคิดว่าซอฟต์แวร์ควรให้ความสำคัญกับความปลอดภัยมากขึ้น ไม่ใช่แค่พึ่งพาเพียงอย่างเดียว รหัสผ่าน

หากมีชาวเน็ตใช้วิธีการรักษาความปลอดภัยขั้นสูงเหล่านี้มากขึ้น ครั้งต่อไปอาจเกิดภัยพิบัติซอฟต์แวร์ระดับ Heartbleed และที่นั่น จะ ในที่สุดเราก็ไม่ต้องตื่นตระหนกมากนัก

[ขอบคุณภาพจาก เคียว5/ชัตเตอร์]