Twitterin salasanan epäonnistuminen osoittaa, että ansaitsemme paremman turvallisuuden.

Äskettäin hakkereita iski Twitter, joka onnistui saamaan käsiksi joitain käyttäjätietoja, mukaan lukien muutaman sadan tuhannen käyttäjän salasanat. Hakkerit pystyivät suorittamaan salasanojen murtamisohjelmia vertaamaan miljoonia sanakirjasanoja ja vaihtoehtoisia oikeinkirjoituksia tiivistettyjen salasanojen luetteloon nähdäkseen, vastaavatko ne.

Twitterin ansioksi jokaiselle otettiin nopeasti yhteyttä ja kaikille asetettiin yleinen salasanan vaihto vaikuttaa käyttäjiin, pakottaen käyttäjät asettamaan uudet salasanat, jos hakkerit onnistuivat selvittämään heidän salasanansa olivat. Vaikka tämä toisaalta osoitti Twitterin ennakoivan lähestymistavan turvallisuusongelmiin, se osoittaa myös tärkeän haavoittuvuuden yksityisten tietojen suojaamisessa - salasanan.

Luotamme salasanoihin koko päivän, joka päivä. ITunes-tilistä verkkopostiksi PC-verkkoon työssä käytämme käyttäjänimi- ja salasanayhdistelmiä pitämään digitaalisen elämän hallinnassa. Sanon digitaalisen elämän, mutta yhä enemmän on vain ohuin kalvo näiden ja todellisen, "todellisen" elämän välillä. Jos joku haluaisi löytää muistikirjan, jossa kaikki salasanasi on kirjoitettu sen sivuille, hän voi tuhota taloutesi, työsi ja suuren osan yhteiskunnallisesta elämästäsi ennen kuin voisit sanoa äidin neito-nimen.

Ensimmäisen tietokoneen salasanajärjestelmän luomisesta on kulunut yli viisikymmentä vuotta ja noin neljäkymmentä siitä lähtien, kun salasanojen "hajauttamismenetelmä" niiden turvallisuuden varmistamiseksi otettiin käyttöön. Valitettavasti tekniikka ei ole siirtynyt kovin paljon sieltä.

Salasanojen ongelma, kuten kaikki pitkät kärsivät IT-tukipuhelimet kertovat lasin pohjalta, on se, että ne on joko liian helppo arvailla tai liian turvallisia muistaa. Tavalliset neuvot salasanan luomiseksi ovat seuraavat:

• älä käytä oikeita sanoja
• älä käytä henkilökohtaisia ​​tietoja (äidin tyttönimi, ensimmäisen lemmikkisi nimi), koska ne voidaan arvata tai löytää.
• käytä numeroita ja ei-aakkosnumeerista merkkiä aina kun mahdollista

Se on kaiken kaikkiaan hyviä neuvoja, mutta oikeastaan ​​ne ovat vain kolme tapaa sanoa "tee salasanastasi niin vaikea muistaa sinut täytyy kirjoittaa se Post-It-muistiin ja kiinnittää se näytön kehykseen ', mikä on sääli, koska neljäs neuvo on poikkeuksetta

• älä koskaan kirjoita salasanaasi etenkään näytön kehykseen jumittuneelle Post-It-laitteelle

Toinen salasanaongelman rypistyminen on, että "helppo arvailla" ei tarkoita, että henkilö arvaa. Suurin osa salasanajärjestelmistä toimii yksisuuntaisella algoritmilla. Suoritat salasanan sen läpi ja se luo "hajautusmerkin" - hämmentävän näköisen merkkien sekoituksen. Vain salasanasi loisi kyseisen hashin kulkemalla algoritmin läpi, mutta et voi käyttää hashia selvittääksesi mikä salasana on. Se on yksisuuntainen katu.

Yksi tapa hakkereille lähestyä tätä ongelmaa on sanakirjahyökkäys. He saavat käsiinsä hajautettujen salasanojen tiedoston (tallennetaan usein suhteellisen avoimessa sisäänkirjautumistunnuksen tarpeen vuoksi) käyttää niitä) ja käytä ohjelmistoja tuhansien sanojen suorittamiseen algoritmin läpi, kunnes he löytävät yhden, joka vastaa jotakin hashit. Nykyaikaisten prosessorien nopeus tarkoittaa, että on mahdollista ajaa läpi useita täydellisiä sanakirjoja useilla kielillä sekä kirjoitusvirheet ja ”fiksut” hämärtymät, kuten ”e” vaihtaminen ”3”: ksi suhteellisen lyhyt aika.

Kaikki silmämunat ja sormenpäät

Jos salasanat ovat luonnostaan ​​virheellisiä, miksi käytämme niitä? Salasanalle on ehdotettu monia korvaavia ehdotuksia viimeisten 50 vuoden aikana. Biometriset tiedot näyttävät lupaavalta keinolta - jos ongelma on henkilön tunnistamisessa, se on varmasti ainutlaatuinen ominaisuudet, kuten sormenjäljet, henkilön iiriskuviot tai jopa DNA: n, voivat olla parempia kuin salaisuus avainsana. Yksi äskettäinen ajatus liittyy ihmisen ideoiden käyttöön Sydämenlyönti luoda ainutlaatuinen kuvio.

Valitettavasti biometriikalla on vakava puute - ne luottavat siihen, että niitä ei voida toistaa. Jos joku oli keksimässä tapaa kopioida ainutlaatuiset määritteesi, peli on valmis. Tämän on osoitettu olevan mahdollista. Voit väärentää sormenjäljen, jossa on painatus gelatiini otettu lasista piilotetusta tulosteesta. Äärimmäisissä tapauksissa voit aina leikata tarvittavan rungon osan heiluttaaksesi anturin edessä.

Mikä pahempaa, kun biometriikkasi on vaarantunut, niitä on mahdotonta muuttaa. Voit ajatella uutta salasanaa, mutta uuden sormen ajaminen ei vie sinua minnekään.

Muihin järjestelmiin kuuluu käyttö CAPTCHA salata vaikea salasana helpolla tai jopa analysoida käyttäytymistäsi äänitulostuksesta kävelytunnistukseen (kävelysi rytmi) todistamaan, että olet kuka sanot olevasi. Valitettavasti nämä ovat joko liian monimutkaisia ​​tai todistamattomia. Ne eivät voi olla vain halkeamia, mutta helposti niin.

Avaimenperät tai henkilökortit ovat toinen vaihtoehto, mutta ne voivat kadota tai varastaa, ja niiden joutuminen varkaan käsiin voi olla katastrofaalista.

Winston Churchillille on annettu lainaus, joka sanoo: "Demokratia on pahin hallintomuoto, lukuun ottamatta kaikkia muita kokeiltuja muotoja." Sama koskee salasanoja. Epätäydellinen, mutta paras siinä, mitä he tekevät. Mitä tarvitaan johonkin niiden parantamiseksi.

Se on kahden tekijän aitoustodistus. Kun kirjaudut sisään käyttäjänimellä ja salasanalla, sinut haastetaan koodilla, johon sinun on vastattava, luomalla oikea vastaus jollakin ohjelmistolla.

Google antaa sinun jo määrittää tämän Gmailille ja jopa suorittaa haasteen / vastauksen osan puolestasi ja lähettää sinulle oikean vastauksen. Voit halutessasi luoda ainutlaatuisen vastauksen Android- tai iOS-sovelluksella.

Tällainen haasteen / vastauksen todennus on itsessään riskialtista - loppujen lopuksi sinulla voi olla puhelimesi varastettu ja olla purolla - mutta yhdistettynä käyttäjänimi / salasana-yhdistelmään se antaa ylimääräisen kerroksen todennus. Tärkeintä on, että hakkeri, joka ajaa sanakirjahyökkäystä kellaristaan, on vaikea lisääntyä.

Google tarjoaa jo tämän, vaikkakaan ei oletusarvoisesti *. Myös muiden sivustojen pitäisi. Et ehkä usko, että tarvitset kaksivaiheista todennusta Twitterin kaltaisella sivustolla, mutta henkilölle pääsyn myöntäminen henkilöllisyytesi fragmenttiin voi aiheuttaa odottamattomia seurauksia. Joku, joka esiintyy sinuna yhdessä sivustossa, voi auttaa heitä suunnittelemaan sosiaalisesti sinulta tai ystäviltäsi tietoja, jotka voivat saada heidät käyttämään muita tärkeämpiä tietoja.

Ainoat asiat, jotka estävät kaksivaiheisen todennuksen aloittamisen, ovat sen käyttöönoton ja salasanahaavoittuvuuksien käyttäjien kouluttamisen kustannukset. Jälkimmäinen tulee valitettavasti yleistymään, kun useampi sivusto hakkeroidaan ja salasanat suunnitellaan päinvastoin. Ensimmäisen pitäisi olla jotain, jota vaadimme asiakkaina. Ehkä ei jokaiselle sivustolle, mutta sähköpostille, sähköiselle kaupankäynnille, treffisivustoille ja muille sosiaalisista medioista, joista välitämme, pitäisi olla vaihtoehto. On merkkejä siitä Viserrys aikoo tehostaa ja liittyä Googleen taistelemaan paremmasta kirjautumisturvallisuudesta, mutta entä Yahoo Mail, Facebook, Microsoft ja kaikki muut sivustot, joihin luotamme?

Ilmaisilla verkkopalveluilla tekemämme hieman faustilainen kauppa on tämä - annat meille hyödyllisen palvelun, annamme sinulle tietoja meistä, jotta ne muuttuisivat rahaksi. Tällöin luotamme sivustoihin huolehtimaan kyseisistä tiedoista, ja on aika, että useat yritykset ottavat tämän vastuun vakavasti.

Oletko koskaan hakkeroitu? Kerro meille kokemuksistasi kommenteissa.

(* sinun täytyy kaivaa tiliisi asetukset ja suosittelemme tekemään niin.)