V-ați descurajat de consecințele din Heartbleed? Nu esti singur. Micul bug din cea mai populară bibliotecă SSL din lume a scos găuri uriașe în securitate, împachetând comunicațiile noastre cu tot felul de site-uri web, aplicații și servicii bazate pe cloud - și găurile nici măcar nu sunt încă corecte.
Bugul Heartbleed le-a permis atacatorilor să dezlipească căptușeala rezistentă la snoop a OpenSSL și să arunce o privire asupra comunicațiilor dintre client și server. Acest lucru le-a dat hackerilor o privire asupra unor lucruri precum parole și cookie-uri de sesiune, care sunt mici bucăți de date pe care vi le trimite serverul după ce vă conectați și browserul dvs. vă trimite înapoi de fiecare dată când faceți ceva pentru a dovedi că sunteți dvs. Și dacă eroarea a afectat un site financiar, este posibil să fi fost văzute și alte informații sensibile pe care le-ați trecut prin net, cum ar fi cardul de credit sau informațiile fiscale.
Cum se poate proteja cel mai bine Internetul împotriva unor bug-uri catastrofale de acest gen? Avem câteva idei.
Da, aveți nevoie de parole mai sigure: Iată cum să le creați
Bine, deci parolele mai bune nu ar împiedica următoarea Heartbleed, dar s-ar putea să vă scutească de a fi piratat cândva. Mulți oameni sunt doar îngrozitori când creează parole sigure.
Ați auzit totul înainte: nu utilizați „parola1”, „parola2”, etc. Majoritatea parolelor nu au suficient din ceea ce se numește entropie - sunt cu siguranțănu aleatoriu și eivoi fi ghicit dacă un atacator are vreodată ocazia de a face o mulțime de presupuneri, fie prin ciocnirea serviciului sau (mai probabil) prin furtul hashurilor de parole - derivări matematice ale parolelor care pot fi verificate, dar care nu pot fi inversate înapoi în parola originală.
Orice ai face, nu folosi aceeași parolă în mai multe locuri.
Mulți furnizori de servicii abordează această problemă cerând utilizatorilor să aibă parole de o anumită lungime, conținând punctuație și numere pentru a încerca să crească entropia. Trista realitate este însă că regulile de acest fel nu ajută decât puțin. O opțiune mai bună sunt frazele lungi de cuvinte reale, memorabile - ceea ce a devenit cunoscut sub numele de „parolă corectă a bateriei calului”, în onoarea acestui comic XKCD care explică conceptul. Din păcate, s-ar putea (ca și mine) să întâlnești furnizori care nu îți permit să folosești parole de genul acesta. (Da, există instituții financiare care vă limitează la 10 caractere. Nu, nu știu ce fumează.)Software-ul de gestionare a parolelor sau serviciile care utilizează criptarea end-to-end pot ajuta, de asemenea. KeePass este un bun exemplu al primului; LastPass al acestuia din urmă. Păstrați-vă bine e-mailul, deoarece poate fi folosit pentru a reseta majoritatea parolelor. Și orice ați face, nu utilizați aceeași parolă în mai multe locuri - solicitați doar probleme.
Site-urile trebuie să implementeze parole unice
OTP înseamnă „parolă unică” și este posibil să o utilizați deja dacă aveți configurat un site web / serviciu care vă solicită să utilizați Google Authenticator. Majoritatea acestor autentificatori (inclusiv cei de la Google) folosesc un standard de internet numit TOTP sau Parolă unică bazată pe timp, descrisă aici.
Ce este TOTP? Pe scurt, site-ul pe care vă aflați generează un număr secret, care este transmis o dată programului dvs. de autentificare, de obicei printr-un cod QR. În variația bazată pe timp, un nou număr din șase cifre este generat din acel număr secret la fiecare 30 de secunde. Site-ul și clientul (computerul dvs.) nu trebuie să comunice din nou; numerele sunt afișate pur și simplu pe autentificatorul dvs. și le furnizați site-ului web, așa cum vi se solicită împreună cu parola, și vă aflați. Există, de asemenea, o variantă care funcționează prin trimiterea acelorași coduri prin intermediul unui mesaj text.
Aplicația pentru Android LastPass Avantajele TOTP: Chiar dacă Heartbleed sau o eroare similară ar avea ca rezultat divulgarea atât a parolei dvs., cât și a numărului de pe autentificatorul dvs., site-ul web cu care interacționați a marcat aproape sigur acel număr ca folosit și nu poate fi folosit din nou - și va fi să fie invalid oricum în 30 de secunde. Dacă un site web nu oferă deja acest serviciu, probabil îl poate face relativ ușor și, dacă aveți practic orice smartphone, puteți rula un autentificator. Este ușor incomod să vă consultați telefonul pentru a vă conecta, acordat, dar beneficiul de securitate pentru orice serviciu care vă interesează îl merită.
Riscuri ale TOTP: Intrarea într-un server a diferit ar putea duce la dezvăluirea numărului secret, permițând atacatorului să își creeze propriul autentificator. Dar dacă utilizați TOTP împreună cu o parolă care nu este stocată de site-ul web - majoritatea furnizorilor buni stochează un hash care este puternic rezistent împotriva ingineriei inverse - atunci între cei doi, riscul dvs. este mult redus.
Puterea certificatelor de client (și ce sunt acestea)
Probabil că nu ați auzit niciodată de certificate de clienți, dar acestea au existat de foarte mult timp (în anii Internetului, desigur). Motivul pentru care, probabil, nu ați auzit de ele este că este o treabă de obținut. Este mult mai ușor să îi faci pe utilizatori să aleagă o parolă, astfel încât numai site-urile de înaltă securitate tind să folosească certificate.
Ce este un certificat de client? Certificatele de clienți dovedesc că sunteți persoana pe care susțineți că sunteți. Tot ce trebuie să faceți este să îl instalați (și unul funcționează pe mai multe site-uri) în browserul dvs., apoi alegeți să îl utilizați atunci când un site dorește să vă autentificați. Aceste certificate sunt un verișor apropiat al certificatelor SSL pe care le folosesc site-urile web pentru a se identifica pe computerul dvs.
Cel mai eficient mod în care un site web vă poate proteja datele este să nu fiți niciodată în posesia acestora.
Avantajele certificatelor de client: Indiferent de câte site-uri vă conectați cu un certificat de client, puterea matematicii este de partea dvs.; nimeni nu va putea folosi același certificat pentru a se preface că ești tu, chiar dacă observă sesiunea ta.
Riscurile certificatelor de client: Riscul principal al unui certificat de client este că cineva poate intra înta computer și furați-l, dar există atenuări pentru acest risc. O altă problemă potențială este că certificatele tipice de clienți conțin informații de identitate pe care este posibil să nu doriți să le divulgați fiecărui site pe care îl utilizați. Deși certificatele de clienți au existat pentru totdeauna și există asistență de lucru în software-ul serverului Web, mai este mult de lucru de făcut atât din partea furnizorilor de servicii, cât și din partea browserelor pentru a le face să funcționezebine. Deoarece sunt folosite atât de rar, primesc puțină atenție asupra dezvoltării.
Cel mai important: criptare end-to-end
Cel mai eficient mod în care un site web vă poate proteja datele este să nu fiți niciodată în posesia lor - cel puțin, nu o versiune pe care o poate citi. Dacă un site web vă poate citi datele, un atacator cu acces suficient vă poate citi datele. Acesta este motivul pentru care ne place criptarea end-to-end (E2EE).
Ce este criptarea end-to-end? Aceasta înseamnă că criptați datele de la capătul dvs. și acestearămâne criptat până ajunge la persoana pentru care intenționați sau se întoarce la voi.
Avantajele E2EE: Criptarea end-to-end este implementată deja în câteva servicii, cum ar fi serviciile de backup online. Există, de asemenea, versiuni mai slabe ale acestuia în unele servicii de mesagerie, în special cele care au apărut după dezvăluirile Snowden. Cu toate acestea, site-urilor web le este greu să cripteze de la un capăt la altul, din două motive: este posibil să fie nevoie să vă vadă datele pentru a-și furniza serviciul, iar browserele web sunt groaznice la realizarea E2EE. Dar în epoca aplicației pentru smartphone, criptarea end-to-end este ceva ce poate și ar trebui făcut mai des. Majoritatea aplicațiilor nu folosesc E2EE astăzi, dar sperăm să vedem mai multe din acestea în viitor. Dacă aplicațiile dvs. nu folosesc E2EE pentru datele dvs. sensibile, ar trebui să vă plângeți.
Riscurile E2EE: Pentru ca criptarea de la un capăt la altul să funcționeze, aceasta trebuie făcută peste tot - dacă o aplicație sau un site web o face doar cu jumătate de inimă, toată cartea de cărți se poate prăbuși. O bucată de date necriptate poate fi uneori folosită pentru a avea acces la restul.Securitatea este un joc cu cea mai slabă legătură; doar o verigă din lanț trebuie să nu reușească să o rupă.
Si acum ce?
Evident, nu există multe lucruri pe care dvs., ca utilizator, le puteți controla. Veți avea norocul să găsiți un serviciu care utilizează parole unice cu un autentificator. Dar ar trebui să vorbiți cu siguranță cu site-urile web și aplicațiile pe care le utilizați și să le informați că vă dați seama că apar bug-uri în software și credeți că ar trebui să ia securitatea mai în serios și să nu se bazeze pur și simplu pe parole.
Dacă mai mult din rețea folosește aceste metode avansate de securitate, poate data viitoare va avea loc o catastrofă software la scară Heartbleed - și acolovoi fie, în cele din urmă - nu va trebui să ne panicăm atât de mult.
[Imagine oferită de scyther5 / Shutterstock]
