Heartbleed Fallout: 4 måder at forhindre endnu en katastrofe på

hacker

Skuffet over nedfaldet fra Heartbleed? Du er ikke alene. Den lille bug i verdens mest populære SSL-bibliotek stak enorme huller i sikkerheden, der indpakker vores kommunikation med alle slags skybaserede websteder, apps og tjenester - og hullerne er ikke engang alle patched endnu.

Heartbleed-buggen tillod angribere at trække den snoop-resistente foring af OpenSSL tilbage og kigge på kommunikationen mellem klient og server. Dette gav hackere et kig på ting som adgangskoder og sessionscookies, som er små stykker data, som serveren sender dig, når du logger ind, og din browser sender tilbage, hver gang du gør noget for at bevise, at det er dig. Og hvis fejlen påvirkede et finansielt websted, er der muligvis set andre følsomme oplysninger, du sendte gennem nettet, f.eks. Kreditkort eller skatteoplysninger.

Hvordan kan Internettet bedst beskytte sig mod katastrofale fejl som denne? Vi har et par ideer.

Ja, du har brug for sikrere adgangskoder: Sådan oprettes dem

Okay, så bedre adgangskoder forhindrer ikke den næste Heartbleed, men de kan muligvis redde dig fra at blive hacket en dag. Mange mennesker er bare forfærdelige ved at oprette sikre adgangskoder.

Du har hørt det hele før: Brug ikke "password1", "password2" osv. De fleste adgangskoder har ikke nok af det, der kaldes entropi - de er bestemtikke tilfældige og devilje blive gættet, hvis en angriber nogensinde får mulighed for at komme med mange gætter, enten ved at hamre på tjenesten eller (mere sandsynligt) at stjæle adgangskodeshaserne - matematiske afledninger af de adgangskoder, der kan kontrolleres, men ikke vendes tilbage til den oprindelige adgangskode.

Uanset hvad du gør, skal du ikke bruge den samme adgangskode mere end et sted.

Mange tjenesteudbydere nærmer sig dette problem ved at kræve, at brugerne har adgangskoder af en bestemt længde, der indeholder tegnsætning og tal for at forsøge at øge entropien. Den triste virkelighed er dog, at regler som dette kun hjælper lidt. En bedre mulighed er lange sætninger af faktiske, mindeværdige ord - hvad der er blevet kendt som et "korrekt hestebatteri-hæftekort" til ære for denne XKCD-tegneserie, der forklarer konceptet. Desværre kan du (ligesom jeg) løbe ind i udbydere, der ikke lader dig bruge sådan adgangskode. (Ja, der er finansielle institutioner, der giver dig 10 tegn. Nej, jeg ved ikke, hvad de ryger.)

Adgangskodestyringssoftware eller tjenester, der bruger end-to-end-kryptering, kan også hjælpe. KeePass er et godt eksempel på førstnævnte; LastPass af sidstnævnte. Beskyt din e-mail godt, da den kan bruges til at nulstille de fleste af dine adgangskoder. Og uanset hvad du gør, skal du ikke bruge den samme adgangskode mere end ét sted - du beder bare om problemer.

Websteder skal implementere engangskodeord

OTP står for "engangskodeord", og du kan muligvis allerede bruge det, hvis du har oprettet et websted / en tjeneste, der kræver, at du bruger Google Authenticator. De fleste af disse godkendere (inklusive Googles) bruger en internetstandard kaldet TOTP eller tidsbaseret engangsadgangskode, som er beskrevet her.

Hvad er TOTP? I en nøddeskal genererer det websted, du er på, et hemmeligt nummer, der sendes en gang til dit autentificeringsprogram, typisk via en QR-kode. I den tidsbaserede variation genereres et nyt sekscifret nummer fra det hemmelige nummer hvert 30. sekund. Hjemmesiden og klienten (din computer) behøver ikke at kommunikere igen; numre vises simpelthen på din autentificator, og du leverer dem til webstedet som anmodet i forbindelse med din adgangskode, og du er i. Der er også en variation, der fungerer ved at sende de samme koder til dig via en sms.

LastPass Android-app LastPass 'Android-app

Fordele ved TOTP: Selvom Heartbleed eller en lignende fejl resulterede i afsløring af både din adgangskode og nummeret på din autentificator, har det websted, du interagerer med, næsten helt sikkert allerede markeret dette nummer som brugt, og det kan ikke bruges igen - og det vil være alligevel ugyldig inden for 30 sekunder. Hvis et websted ikke allerede tilbyder denne service, kan det sandsynligvis gøre det relativt let, og hvis du har stort set enhver smartphone, kan du køre en autentificator. Det er lidt ubelejligt at konsultere din telefon for at logge ind, givet, men sikkerhedsfordelen for enhver tjeneste, du holder af, gør det umagen værd.

Risici ved TOTP: Indbrud på en server a forskellige måde kunne resultere i afsløring af det hemmelige nummer, hvilket gør det muligt for angriberen at oprette deres egen autentifikator. Men hvis du bruger TOTP sammen med en adgangskode, der ikke er gemt på hjemmesiden - de fleste gode udbydere gemmer en hash, der er stærkt modstandsdygtig over for reverse-engineering af den - så mellem dine to, er din risiko stærkt nedsat.

Kraften i klientcertifikater (og hvad de er)

Du har sandsynligvis aldrig hørt om klientcertifikater, men de har faktisk eksisteret meget lang tid (i internetår selvfølgelig). Årsagen til, at du sandsynligvis ikke har hørt om dem, er, at de er en opgave at få. Det er langt nemmere bare at få brugerne til at vælge en adgangskode, så kun websteder med høj sikkerhed har tendens til at bruge certifikater.

Hvad er et klientcertifikat? Klientcertifikater viser, at du er den person, du hævder at du er. Alt hvad du skal gøre er at installere det (og man fungerer på tværs af mange sider) i din browser og derefter vælge at bruge det, når et websted vil have dig til at godkende. Disse certifikater er en nær fætter til de SSL-certifikater, som websteder bruger til at identificere sig for din computer.

Den mest effektive måde, et websted kan beskytte dine data på, er aldrig at være i besiddelse af det i første omgang.

Fordele ved klientcertifikater: Uanset hvor mange websteder du logger på med et klientcertifikat, er matematikens styrke på din side; ingen vil være i stand til at bruge det samme certifikat til at foregive at være dig, selvom de overholder din session.

Risici ved klientcertifikater: Den primære risiko for et klientcertifikat er, at nogen kan bryde inddit computer og stjæle den, men der er afbødninger for den risiko. Et andet potentielt problem er, at typiske klientcertifikater indeholder nogle identitetsoplysninger, som du måske ikke ønsker at videregive til hvert websted, du bruger. Selvom klientcertifikater har eksisteret for evigt, og der findes support i webserversoftware, er der stadig meget arbejde at gøre på både tjenesteudbyders og browsersider for at få dem til at fungeregodt. Fordi de bruges så sjældent, får de lidt udviklingsmæssig opmærksomhed.

Vigtigst: End-to-end-kryptering

Den mest effektive måde, et websted kan beskytte dine data på, er aldrig at have det i første omgang - i det mindste ikke en version, det kan læse. Hvis et websted kan læse dine data, kan en hacker med tilstrækkelig adgang læse dine data. Dette er grunden til, at vi kan lide end-to-end-kryptering (E2EE).

Hvad er end-to-end-kryptering? Dette betyder, at du krypterer dataene i din ende, og detforbliver krypteret, indtil den når den person, du har til hensigt at bruge den, eller den vender tilbage til dig.

Fordele ved E2EE: End-to-end-kryptering er allerede implementeret i nogle få tjenester, som f.eks. Online backup-tjenester. Der er også svagere versioner af det i nogle messaging-tjenester, især dem der dukkede op efter Snowden-afsløringerne. Det er svært for websteder at foretage en-til-ende-kryptering, dog af to grunde: de skal muligvis se dine data for at levere deres service, og webbrowsere er forfærdelige ved at udføre E2EE. Men i en alder af smartphone-appen er en-til-ende-kryptering noget, der kan og bør gøres oftere. De fleste apps bruger ikke E2EE i dag, men vi håber, at vi vil se mere af det fremover. Hvis dine apps ikke bruger E2EE til dine følsomme data, skal du klage.

Risici ved E2EE: For at ende-til-ende-kryptering skal fungere, skal det ske over hele linjen - hvis en app eller et websted kun gør det halvhjertet, kan hele korthuset kollapse. Et stykke ukrypterede data kan undertiden bruges til at få adgang til resten.Sikkerhed er et svageste link-spil; kun et led i kæden må ikke bryde det.

Så hvad nu?

Der er tydeligvis ikke meget, som du som bruger kan kontrollere. Du vil være heldig at finde en tjeneste, der bruger engangskodeord med en godkender. Men du skal bestemt tale med de websteder og apps, du bruger, og fortælle dem, at du er klar over, at der sker fejl i software, og du synes, de skal tage sikkerhed mere alvorligt og ikke blot stole på adgangskoder.

Hvis mere af nettet bruger disse avancerede sikkerhedsmetoder, er der måske næste gang en softwarekatastrofe af Heartbleed-skala - og dervilje være, til sidst - vi behøver ikke gå i panik så meget.

[Billede med tilladelse fra scyther5 / Shutterstock]

Seneste indlæg

$config[zx-auto] not found$config[zx-overlay] not found