Kako pronaći sreću u svijetu lozinke ludilosti

Početkom kolovoza Wired novinar Mat Honan imao je najskuplje lozinke složene preko kompleksnog niza eksploatacije društvenog inženjerstva. Kršenje je napravilo naslove jer je izložio sigurnosne nedostatke u Appleovoj i Amazonoj službi za korisničku službu; ali ne zaboravimo da je Honan saga zaokružila dugo ljeto pun invazijskih poslužitelja koje su milijunima korisničkih lozinki izložene milijunima.

U lipnju su hakeri ukrali oko 6.5 milijuna LinkedIn lozinki i objavili ih na mreži. Istoga mjeseca, uljezi ugrožavali su oko 1,5 milijuna eHarmony lozinki u sigurnosnim prekršajima, au srpnju su hakeri uhvatili 450.000 Yahoo Voice zaporki. Jedna od najčešćih lozinki koje koriste te članice Yahoo-a: "123456", "dobrodošla", i uvijek popularna "lozinka".

Temeljni problem nije da ove web stranice trebaju činiti bolji posao za zaštitu korisničkih podataka iako bi trebali imati). A korisnici nisu odabrali lozinke koje su bile izuzetno jednostavne za ispiranje, a zatim recikliraju iste prljave lozinke na svim mjestima na kojima su se registrirali (iako su to učinili).

[Dodatno čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Problem je u tome što su lozinke postale samoodređene, često nemoćne alate u velikoj shemi digitalne sigurnosti. Trebamo ih previše, a jake su previše teško zapamtiti. "" Za korištenje ovih dana morate koristiti desetke lozinki i prijava ", kaže Terry Hartmann, potpredsjednik globalnih sigurnosnih rješenja za Unisys, "Svaki put kada se vratite na web mjesto, čini se kao da su uveli nova pravila kako bi lozinke bile složenije. Na kraju, korisnici se vraćaju na korištenje jedne lozinke za sve. "

Ukratko: Sustav zaporke je prekidan. Sve lozinke kršene u LinkedIn, eHarmonyu i Yahoo eksploatiraju bile su "hashed" - to jest, stvarne lozinke zamijenjene su algoritamski generiranim kodom. To pretvara lozinke pohranjene na poslužiteljima (i ukradene hakerima) u alfanumerički gobbledygook. Ipak, ako je vaša lozinka jednostavna kao, recimo, "officepc", haker je lako može ispucati čak i u raspršenom obliku pomoću brute force ili rainbow table.

Ali sve nije izgubljeno. Kompleksne lozinke s brojevima i posebnim znakovima (bez sličnosti s pravim imenom ili riječima) pružaju vam priliku za borbu protiv hakera, a te kodove možete pohraniti u praktičnu aplikaciju za upravljanje zaporkom. Web stranice, u međuvremenu, rade više kako bi poboljšale sigurnost na svom kraju, zahtijevaju višekratnu provjeru autentičnosti, a izgleda kao da biometrijska tehnologija uskoro će biti zaposlena i za masovnu sigurnost na tržištu kao dobro.

Lozinka problem neće otići bilo vrijeme, međutim, i za sada ćemo se morati osloniti na aplikacije, usluge i nove tehnologije objašnjene u nastavku da ostanu jedan korak ispred loših dečki.

Lozinka svodovi

Programi za upravljanje zaporkom su poput filtera za neželjenu poštu - povezivanje, ali bitne alate za upravljanje digitalnim životom. Dobar upravitelj lozinki pamti sve vaše prijave, zamjenjuje jednostavne lozinke koje odaberete s složenim i omogućuje brzo promjenu lozinke ako se stranica ili usluga koje koristite dobijete hakirani.

Najbolji dio: Umjesto da se sjetite desetaka od jedinstvenih lozinki, samo trebate zapamtiti jednu: glavnu lozinku za svod. I ako se uvijek ne prijavite s istog stroja i istog preglednika (u tom slučaju vjerojatno to čitate na AOL vezi), poželjet ćete program koji se temelji na oblaku kao LastPass, 1Password ili Roboform koji se mogu prijaviti vaše prijave na bilo koje računalo, telefon ili tablet koji upotrebljavate.

Nedostatak: Još uvijek se trebate zapamtiti glavnu lozinku i to bi stvarno trebalo biti dobro, prepuno mješavine brojeva, kapitala i malih slova, te posebnih znakova poput upitnika i uskličnika.

Naravno, napadač koji uspije postaviti keylogger u vaš sustav moći će isprati vašu lozinku dok ga upišete, napominje Robert Siciliano, on-line stručnjak za sigurnost McAfeea koji koristi lozinku za pohranu više od 700 prijava. Slično tome, ako kriminalci napadaju trezor trećeg lozinke - kao što se dogodilo LastPassu u svibnju 2011. - to bi moglo biti prekobrojno. Na sreću za korisnike usluge LastPass nije bilo prekršaja osjetljivih informacija tijekom napada 2011; ali sljedeći put dođe do uspješnog upada (i to će se dogoditi nekom sigurnosnom poduzeću negdje je neizbježan), korisnici možda neće biti tako sretni.

Bottom line: Vaults za upravljanje lozinkama nude veliku vrijednost i bitan su alat za svakoga tko vrijednosti digitalne sigurnosti.

Multifactor authentication

Složene zaporke pohranjene u šifriranom trezoru samo su prvi korak. Neke web-lokacije oslanjaju se na drugu razinu sigurnosti kako bi identificirale korisnike - obično komad hardvera koji samo ovlašteni korisnik ima pristup. Na taj način, čak i napadač koji poznaje vašu zaporku trebat će vam, primjerice, vaš telefon ili računalo da biste ukrali vaše podatke.

Financijske institucije zakonom je potrebno koristiti više čimbenika pri rukovanju online transakcijama, ali mogu učiniti u pozadini autentičnosti vašeg stroja ili njegove lokacije, kaže Siciliano. Na primjer, ako živite u San Franciscu i netko u Šangaju pokušava pristupiti vašem bankovnom računu, ta se transakcija može blokirati ili se od te osobe može zatražiti dodatni dio autentičnosti unosom broja poslanog na uređaj

Google i Facebook sada nude i autentifikaciju s dva faktora: možete im poslati privremeni PIN na svoj mobilni telefon svaki put kad se prijavite s nepoznatog stroja (taj se PIN mora unijeti zajedno s vašom zaporkom prvi put kada se pokušate prijaviti putem tog novog stroja). Ovaj neuspjeh spriječio je sve poteškoće koje je Mat Honan pretrpjela prošlog mjeseca.

Googleov sustav dvostrukog provjere autentičnosti osigurava veću razinu sigurnosti, ali mnogi korisnici smatraju da je zamoran u praksi u stvarnom svijetu.

Nažalost, ipak, na stranu od banaka i pregršt web stranica visoke kvalitete, većina mjesta na mreži jednostavno ne nude višekratnu provjeru autentičnosti - dijelom jer nije prikladna, a velika većina korisnika interneta spremna je trgovati sigurnost za besplatne prijave.

"Autentikacija s dva faktora ne prelazi uvijek test baka", kaže Siciliano. "To znači više poziva za podršku, više resetiranja lozinke i veće troškove. Zato ga obično koriste samo tvrtke s puno izgubiti. "

Biometrics

Ljepota biometrije je da ne morate ništa zapamtiti, a sve manje složenu lozinku. Umjesto toga, biometrijski sigurnosni sustav dodiruje jedinstvene osobine vlastite fizičke ambalaže kako bi provjerio vaš identitet.

Biometrijski sustavi mogu skenirati otiske prstiju, šarenice, lica, pa čak i glasove kako bi utvrdili treba li osoba imati pristup usluzi ili komadu hardvera. Nisu još raspoređeni za velike oblake usluga, no Terry Hartmann iz Unisysa kaže da velike banke sada pilotiziraju biometrijske identifikacijske sustave i očekuje da će ih početi iduće godine.

Biometrijska sigurnost već je dostupna na mnogim prijenosnim računalima.

Biometrijski podaci nisu dostupni u Appleovim proizvodima. savršeno, međutim. Istraživači su igrali skenere otisaka prstiju pomoću gelatinskih prstiju, a oni su prevarili sustave prepoznavanja lica pomoću fotografija. Na koncertnoj konferenciji BlackHat prošlog srpnja, istraživači sigurnosti pokazali su način za prevaru skenera iris preinformiranjem slikovnih podataka.

Naravno, hakeri mogu ciljati biometrijske podatke pohranjene u središnjoj bazi podataka i ukrasti identitete zamjenom vlastitih biometrijskih podataka umjesto njihovih žrtava. Kao i kod lozinki i drugih osobnih podataka, razina zaštite koju pruža biometrijska sigurnost ovisit će isključivo o sposobnosti onoga tko je pohranio podatke (svi znamo koliko je dobro radio na LinkedIn-u).

Zahtijevanje biometrije pri prijavljivanju moglo bi također napraviti anonimnost teško (ako ne i nemoguće) za političke disidente, zviždače i ljude koji nastanjuju više identiteta iz osobnih ili profesionalnih razloga.

Unatoč svemu ovome, Joseph Pritikin, direktor marketinga proizvoda u tvrtki AOptix Technologies, proizvođač skenera za iris raspoređen na aerodromima i graničnim prijelazima, predviđa da će pametni telefoni koji koriste biometrije biti jedan od ključnih identifikacijskih uređaja budućnosti, dijelom jer se podaci mogu sigurno pohraniti na sam uređaj. "Bit će kombinacija nečega što sam i nečega što imam, najvjerojatnije pametni telefon ", kaže Pritikin. "Šifriranje na bazi hardvera bilo bi teško kompromitirati." Jedan ID koji ih sve vlada

U konačnici, idealno rješenje za zamor lozinke jest unificirati sve naše različite prijave i online identitete. Ušli su u Obamasku administraciju, koja je u travnju 2011. godine pokrenula javno-privatnu inicijativu, Nacionalnu strategiju za pouzdane identitete u kiberprostoru, kako bi razvila ekosustav sustava identiteta koji bi omogućio potrošačima da koriste bilo koji sustav provjere i da rade bez problema na bilo kojem mjestu.

Takav sustav bi mogao potvrditi da ste dovoljno stari da kupujete vina na mreži ili da se kvalificirate za studentski popust, bez nužnog dijeljenja svih vaših osobnih podataka sa svakom web sučelicom, kaže Jim Fenton, glavni sigurnosni stručnjak za OneID, sustav internetskog upravljanja identitetom. Sustav bi također omogućio da djelujete pod pseudonimom, ako ste to tako htjeli.

No, kotači vlasti polako se spuštaju. Prošli je mjesec održan prvi sastanak Upravnog odbora NTSIC-a. Među problemima na koje će se eventualno morati suočiti jest koliko informacija treba podijeliti između stranaka i koliko bi kontrola potrošača trebala imati nad tim informacijama, kaže Fenton, član grupe za zaštitu privatnosti upravnog odbora.

Drugim riječima: Pomoć je na putu, ali uskoro neće doći. U međuvremenu smo zaglavljeni lozinkama. Napravite neke dobre, i provjerite jesu li u bravi i ključu.