Вас розчарували наслідки Heartbleed? Ти не один. Крихітна помилка в найпопулярнішій у світі бібліотеці SSL створила величезні діри в безпеці нашого зв’язок із усіма типами хмарних веб-сайтів, програм і служб — і діри ще не всі ще залатали.
Помилка Heartbleed дозволила зловмисникам очистити стійку до стеження оболонку OpenSSL і зазирнути в зв’язок між клієнтом і сервером. Це дало змогу хакерам поглянути на такі речі, як паролі та файли cookie сеансу, які є невеликими фрагментами даних, які сервер надсилає вам після того, як ви входите в систему, а ваш браузер повертає щоразу, коли ви щось робите, щоб підтвердити це ви. І якщо помилка торкнулася фінансового сайту, інша конфіденційна інформація, яку ви передавали через мережу, як-от інформація про кредитні картки чи податки, могла бути помічена.
Рекомендовані відео
Як Інтернет найкраще захистити себе від таких катастрофічних помилок? У нас є кілька ідей.
Так, вам потрібні безпечніші паролі: ось як їх створити
Гаразд, кращі паролі не завадять наступному Heartbleed, але вони можуть врятувати вас від злому колись. Багато людей просто жахливо створюють надійні паролі.
Ви все це чули раніше: не використовуйте «пароль1», «пароль2» тощо. Більшості паролів недостатньо так званої ентропії — вони точно є ні випадкові і вони буде бути здогаданим, якщо зловмисник коли-небудь отримає можливість зробити багато припущень, або шляхом забиття служби, або (більш ймовірно) викрадення хешів паролів — математичних похідних паролів, які можна перевірити, але не повернути до оригіналу пароль.
Що б ви не робили, не використовуйте той самий пароль у кількох місцях.
Програмне забезпечення для керування паролями або служби, які використовують наскрізне шифрування, також можуть допомогти. KeePass є хорошим прикладом першого; LastPass останнього. Добре бережіть свою електронну пошту, оскільки її можна використовувати для скидання більшості ваших паролів. І що б ви не робили, не використовуйте той самий пароль у кількох місцях — ви просто накликаєте на проблеми.
Веб-сайти повинні використовувати одноразові паролі
OTP розшифровується як «одноразовий пароль», і ви можете вже використовувати його, якщо у вас налаштовано веб-сайт або службу, які вимагають використання Google Authenticator. Більшість цих автентифікаторів (включаючи Google) використовують стандарт Інтернету під назвою TOTP, або Time-based One-Time Password, який тут описано.
Що таке TOTP? У двох словах, веб-сайт, на якому ви перебуваєте, генерує секретний номер, який один раз передається вашій програмі автентифікації, зазвичай через QR код. У варіації на основі часу нове шестизначне число генерується з цього секретного числа кожні 30 секунд. Веб-сайту та клієнту (вашому комп’ютеру) не потрібно знову спілкуватися; номери просто відображаються на вашому автентифікаторі, і ви надсилаєте їх на веб-сайт відповідно до запиту разом із вашим паролем, і ви готові. Існує також варіант, який працює, надсилаючи ті самі коди вам за допомогою текстового повідомлення.
Переваги ТОТП: Навіть якщо Heartbleed або подібна помилка призведе до розкриття як вашого пароля, так і номера вашого автентифікатора, веб-сайт, на якому ви взаємодія з майже напевно вже позначила цей номер як використаний, і його не можна використати знову — і все одно він стане недійсним протягом 30 секунд. Якщо веб-сайт ще не пропонує цю послугу, він, ймовірно, може зробити це відносно легко, і якщо у вас є практично будь-який смартфон, ви можете запустити автентифікатор. Це трохи незручно звертатися до телефону для входу, звичайно, але переваги безпеки для будь-якої служби, яка вам потрібна, роблять це того варте.
Ризики TOTP: Злом сервера a інший спосіб може призвести до розкриття секретного номера, що дозволить зловмиснику створити власний автентифікатор. Але якщо ви використовуєте TOTP у поєднанні з паролем, який не зберігається на веб-сайті, більшість хороших постачальників зберігають геш, який сильно стійкий до його зворотного проектування, тоді між ними два ризики опущений.
Сила клієнтських сертифікатів (та що вони собою представляють)
Можливо, ви ніколи не чули про клієнтські сертифікати, але насправді вони існують дуже давно (звичайно, у роки Інтернету). Причина, чому ви, напевно, не чули про них, полягає в тому, що їх отримати непросто. Набагато простіше змусити користувачів вибрати пароль, тому лише сайти з високим рівнем безпеки використовують сертифікати.
Що таке сертифікат клієнта? Клієнтські сертифікати підтверджують, що ви є тією людиною, якою себе видаєте. Все, що вам потрібно зробити, це встановити його (і один працює на багатьох сайтах) у вашому браузері, а потім вибрати його, коли сайт вимагає від вас автентифікації. Ці сертифікати є близькими кузенами сертифікатів SSL, які веб-сайти використовують для ідентифікації на вашому комп’ютері.
Найефективніший спосіб, яким веб-сайт може захистити ваші дані, — це взагалі ніколи не володіти ними.
Переваги клієнтських сертифікатів: Незалежно від того, на скільки сайтів ви входите за допомогою сертифіката клієнта, сила математики на вашому боці; ніхто не зможе використовувати той самий сертифікат, щоб видати себе за вас, навіть якщо вони спостерігатимуть за вашим сеансом.
Ризики клієнтських сертифікатів: Основний ризик сертифіката клієнта полягає в тому, що хтось може зламати його ваш комп’ютер і викрасти його, але є пом’якшення цього ризику. Ще одна можлива проблема полягає в тому, що типові клієнтські сертифікати містять певну ідентифікаційну інформацію, яку ви, можливо, не бажаєте розкривати кожному сайту, який ви використовуєте. Хоча клієнтські сертифікати існували завжди, і на веб-сервері існує робоча підтримка постачальникам послуг і браузерам ще потрібно зробити багато роботи вони працюють Ну. Оскільки вони використовуються дуже рідко, їм приділяють мало уваги при розробці.
Найголовніше: наскрізне шифрування
Найефективніший спосіб, яким веб-сайт може захистити ваші дані, — це взагалі ніколи не володіти ними — принаймні версією, яку він може читати. Якщо веб-сайт може прочитати ваші дані, зловмисник із достатнім доступом зможе прочитати ваші дані. Ось чому нам подобається наскрізне шифрування (E2EE).
Що таке наскрізне шифрування? Це означає, що ви зашифрувати дані з вашого боку, і це залишається зашифровано, поки воно не досягне особи, для якої ви його призначаєте, або не повернеться до вас.
Переваги E2EE: Наскрізне шифрування вже реалізовано в кількох службах, як-от служби онлайн-резервного копіювання. У деяких службах обміну повідомленнями є також слабші версії, особливо ті, які з’явилися після викриття Сноудена. Однак веб-сайтам важко використовувати наскрізне шифрування з двох причин: їм може знадобитися перегляд ваших даних, щоб надавати свої послуги, а веб-переглядачі погано справляються з E2EE. Але в епоху додатків для смартфонів наскрізне шифрування можна і потрібно використовувати частіше. Більшість додатків сьогодні не використовують E2EE, але ми сподіваємося, що в майбутньому його буде більше. Якщо ваші програми не використовують E2EE для ваших конфіденційних даних, вам слід поскаржитися.
Ризики E2EE: Щоб наскрізне шифрування працювало, його потрібно застосовувати в усіх сферах — якщо програма чи веб-сайт роблять це лише напівсерйозно, весь картковий будиночок може впасти. Одну частину незашифрованих даних іноді можна використовувати для отримання доступу до решти. Безпека – це найслабша ланка гри; тільки одна ланка в ланцюзі не повинна розірвати його.
Отже, що тепер?
Очевидно, що ви, як користувач, не можете контролювати багато чого. Вам пощастить знайти сервіс, який використовує одноразові паролі з автентифікатором. Але ви обов’язково повинні поговорити з веб-сайтами та програмами, якими ви користуєтеся, і повідомити їм, що ви помітили помилки у програмному забезпеченні трапляються, і ви вважаєте, що вони повинні серйозніше ставитися до безпеки, а не просто покладатися на неї паролі.
Якщо більше Мережі використовуватиме ці передові методи безпеки, можливо, наступного разу станеться програмна катастрофа масштабу Heartbleed — і там буде зрештою, нам не доведеться так панікувати.
[Зображення надано коса5/Shutterstock]
