Heartbleed Fallout: 4 способи запобігти черговій катастрофі

хакер

Пригнічені наслідками від Heartbleed? Ти не один. Крихітна помилка у найпопулярнішій у світі бібліотеці SSL поробила величезні діри в безпеці, обгорнувши наші комунікації різними видами веб-сайтів, програм та служб на базі хмарних технологій - і дірки ще навіть не всі виправлені.

Помилка Heartbleed дозволила зловмисникам відмовитись від стійкої до ненависті підкладки OpenSSL та заглянути в комунікації між клієнтом та сервером. Це дало хакерам змогу поглянути на такі речі, як паролі та сеансові файли cookie, - це невеликі шматочки даних, які сервер надсилає вам після входу в систему, а ваш браузер надсилає назад кожного разу, коли ви щось робите, щоб довести, що це ви. І якщо помилка вплинула на фінансовий сайт, можливо, ви бачили іншу конфіденційну інформацію, яку ви передавали через Мережу, наприклад інформацію про кредитну картку чи податкову інформацію.

Як Інтернет може найкраще захиститися від таких катастрофічних помилок? У нас є кілька ідей.

Так, вам потрібні безпечніші паролі. Ось як їх зробити

Гаразд, отже, кращі паролі не завадять наступному Heartbleed, але вони можуть врятувати вас від того, щоб колись зламати. Багато людей просто жахливо створюють захищені паролі.

Ви вже все чули: не використовуйте "пароль1", "пароль2" тощо. Більшості паролів недостатньо того, що називається ентропією - вони, безумовно, єні випадкові і вонибуде бути здогаданим, якщо зловмисник коли-небудь отримає можливість зробити багато здогадок, або забиваючи службу, або (що, швидше за все), викрадаючи хеші паролів - математичні виведення паролів, які можна перевірити, але не повернути назад у вихідний пароль.

Що б ви не робили, не використовуйте один і той же пароль більше ніж в одному місці.

Багато постачальників послуг підходять до цієї проблеми, вимагаючи від користувачів паролів певної довжини, що містять розділові знаки та цифри, щоб спробувати збільшити ентропію. Однак сумна реальність полягає в тому, що подібні правила лише трохи допомагають. Кращим варіантом є довгі фрази з справжніх, що запам'ятовуються слів - що стало відомим як "правильний основний акумулятор", на честь цього коміксу XKCD, що пояснює цю концепцію. На жаль, ви можете (як і я) натрапити на постачальників, які не дозволять вам використовувати такі паролі. (Так, є фінансові установи, які обмежують вас 10 символами. Ні, я не знаю, що вони курять.)

Програмне забезпечення для управління паролями або служби, які використовують наскрізне шифрування, також можуть допомогти. KeePass є гарним прикладом першого; LastPass останнього. Добре захищайте свою електронну пошту, оскільки вона може бути використана для скидання більшості ваших паролів. І що б ви не робили, не використовуйте один і той же пароль більше ніж в одному місці - ви просто просите про неприємності.

Веб-сайти повинні застосовувати одноразові паролі

OTP розшифровується як "одноразовий пароль", і ви вже можете використовувати його, якщо у вас налаштовано веб-сайт / службу, які вимагають використання Google Authenticator. Більшість цих аутентифікаторів (включаючи Google) використовують стандарт Інтернету, який називається TOTP, або одноразовий пароль на основі часу, який описаний тут.

Що таке TOTP? У двох словах, веб-сайт, на якому ви перебуваєте, генерує секретний номер, який один раз передається вашій програмі автентифікації, як правило, за допомогою QR-коду. У варіації, заснованій на часі, з цього секретного числа кожні 30 секунд генерується нове шестизначне число. Веб-сайту та клієнту (вашому комп’ютеру) не потрібно знову спілкуватися; цифри просто відображаються на вашому аутентифікаторі, і ви подаєте їх на веб-сайт за запитом у поєднанні з вашим паролем, і ви входите. Існує також варіант, який працює, надсилаючи ті самі коди вам за допомогою текстового повідомлення.

Додаток для Android LastPass Додаток LastPass для Android

Переваги TOTP: Навіть якщо Heartbleed або подібна помилка могла призвести до розкриття як вашого пароля, так і номера на вашому аутентифікаторі, веб-сайт, з яким ви взаємодієте, майже напевно вже позначив цей номер як використаний, і його не можна використовувати знову - і він буде бути недійсним протягом 30 секунд. Якщо веб-сайт ще не пропонує цю послугу, можливо, це можна зробити порівняно легко, і якщо у вас є практично будь-який смартфон, ви можете запустити автентифікатор. Дещо незручно проконсультуватися зі своїм телефоном, щоб увійти, надано, але перевага безпеки для будь-якої послуги, про яку ви турбуєтесь, коштує того.

Ризики TOTP: Взлом на сервер a інший спосіб може призвести до розголошення секретного номера, що дозволить зловмиснику створити власний автентифікатор. Але якщо ви використовуєте TOTP у поєднанні з паролем, який не зберігається веб-сайтом - більшість хороших постачальників зберігають хеш, який є стійким до зворотного проектування, - тоді між ними два ризики значно знижуються.

Потужність сертифікатів клієнта (і які вони є)

Ви, мабуть, ніколи не чули про сертифікати клієнтів, але насправді вони існували дуже довго (звичайно, в Інтернет-роки). Причиною того, що ви, мабуть, не чули про них, є те, що вони є звичною роботою. Набагато простіше просто змусити користувачів вибрати пароль, тому лише сайти з високим рівнем безпеки, як правило, використовують сертифікати.

Що таке сертифікат клієнта? Клієнтські сертифікати підтверджують, що ви є тією людиною, якою ви претендуєте Все, що вам потрібно зробити, це встановити його (і один працює на багатьох сайтах) у своєму браузері, а потім вибрати використовувати, коли сайт хоче, щоб ви пройшли автентифікацію. Ці сертифікати є близьким двоюрідним братом тих сертифікатів SSL, які веб-сайти використовують для ідентифікації вашого комп’ютера.

Найефективніший спосіб, яким веб-сайт може захистити ваші дані, - це ніколи не мати їх у власності.

Переваги сертифікатів клієнта: Незалежно від того, на скільки сайтів ви входите за допомогою сертифіката клієнта, сила математики на вашому боці; ніхто не зможе використовувати той самий сертифікат, щоб прикинутися вами, навіть якщо спостерігатиме за вашим сеансом.

Ризики сертифікатів клієнта: Основним ризиком сертифіката клієнта є те, що хтось може увірватисяваш комп’ютер і викрасти його, але для цього ризику існують такі пом’якшення. Інша потенційна проблема полягає в тому, що типові сертифікати клієнтів містять певну інформацію про особу, яку ви, можливо, не хочете розголошувати на кожному веб-сайті, яким ви користуєтесь. Хоча сертифікати клієнтів існують назавжди, а робоча підтримка існує в програмному забезпеченні веб-серверів, є ще багато роботи, як з боку постачальників послуг, так і з боку браузерів, щоб змусити їх працюватиНу. Оскільки ними користуються настільки рідко, їм приділяють мало уваги щодо розвитку.

Найголовніше: наскрізне шифрування

Найефективніший спосіб, яким веб-сайт може захистити ваші дані, - це ніколи не володіти ними спочатку - принаймні, не версія, яку він може прочитати. Якщо веб-сайт може прочитати ваші дані, зловмисник із достатнім доступом може прочитати ваші дані. Ось чому нам подобається наскрізне шифрування (E2EE).

Що таке наскрізне шифрування? Це означає, що ви шифруєте дані на своєму кінці, і цезалишається зашифровано, доки воно не дійде до людини, для якої ви його призначили, або воно повернеться вам.

Переваги E2EE: Наскрізне шифрування реалізоване вже в декількох службах, таких як онлайнові служби резервного копіювання. У деяких службах обміну повідомленнями є також більш слабкі його версії, особливо ті, що з’явилися після відкриття Сноудена. Веб-сайтам важко виконувати наскрізне шифрування, однак, з двох причин: їм може знадобитися побачити ваші дані, щоб надати свою послугу, а веб-браузери страшні при виконанні E2EE. Але у вік програми для смартфонів наскрізне шифрування - це те, що можна і потрібно робити частіше. Сьогодні більшість програм не використовують E2EE, але ми сподіваємось, що ми побачимо більше цього в майбутньому. Якщо ваші програми не використовують E2EE для ваших конфіденційних даних, вам слід скаржитися.

Ризики E2EE: Щоб наскрізне шифрування працювало, це потрібно робити повсюдно - якщо програма чи веб-сайт робить це лише з половинкою, цілий будинок карт може зруйнуватися. Іноді один фрагмент незашифрованих даних можна використовувати для отримання доступу до решти.Безпека - це найслабша гра; лише одна ланка ланцюга не повинна його розірвати.

Отже, що тепер?

Очевидно, що ви, як користувач, не можете багато контролювати. Вам пощастить знайти службу, яка використовує одноразові паролі з автентифікатором. Але вам обов’язково слід поговорити з веб-сайтами та програмами, якими ви користуєтесь, і повідомити їх, що ви усвідомлюєте, що трапляються помилки в програмному забезпеченні, і ви вважаєте, що їм слід серйозніше поставитися до безпеки, а не просто покладатися на паролі.

Якщо більша частина Мережі використовує ці передові методи безпеки, можливо, наступного разу трапиться масштабна програмна катастрофа Heartbleed - і тамбуде зрештою - нам не доведеться так сильно панікувати.

[Зображення надано scyther5 / Shutterstock]

Останні повідомлення