A Twitter jelszava sikertelenül azt mutatja, hogy jobb biztonságot érdemelünk.

Nemrégiben a Twittert hackerek ütötték meg, akiknek sikerült megszerezniük néhány felhasználói adatot, köztük néhány százezer felhasználó „hash” jelszavát. Lehetséges, hogy a hackerek jelszó feltörési programokat futtathattak, hogy összehasonlítsák a szótárak millióinak millióit és a helyesírási szavakat a kivonatolt jelszavak listájával, hogy lássák, megfelelnek-e ezek.

A Twitter érdeme, hogy mindenkivel gyorsan kapcsolatba léptek, és mindenki számára egy általános jelszó-visszaállítást állítottak be érintettek, arra kényszerítve a felhasználókat, hogy új jelszavakat állítsanak be arra az esetre, ha a hackereknek sikerült kitalálniuk a jelszavukat voltak. Bár egyrészt ez megmutatta a Twitter proaktív megközelítését a biztonsági problémákkal kapcsolatban, egyúttal kulcsfontosságú sebezhetőséget is mutat abban, hogy miként védjük a magánadatainkat - a jelszót.

Bízunk a jelszavakban egész nap, minden nap. Az iTunes-fiókunktól kezdve a munkahelyi számítógépes hálózaton keresztüli webes levelekig felhasználónév és jelszó kombinációkat használunk, hogy kézben tartsuk digitális életünket. Én azt mondom, hogy digitális élet, de egyre inkább csak a legvékonyabb membrán van ezek és a tényleges, „valós” életünk között. Ha valaki találna egy jegyzetfüzetet, amelynek az összes jelszavát összefirkálná az oldalain, akkor tönkreteheti a pénzügyeit, a munkáját és a társadalmi élet nagy részét, mielőtt kimondhatná Anya leánykori nevét.

Több mint ötven év telt el az első számítógépes jelszórendszer létrehozása óta, és körülbelül negyven év telt el azóta, hogy először alkalmazták a jelszavak biztonságossá tételére szolgáló „hash” módszerét. Sajnos a technológia onnan nem sokat lépett előre.

A jelszavak problémája, amint azt egy hosszú szenvedő informatikai helpdesk drón megmondja a pohár aljáról, az, hogy túl könnyen kitalálhatók, vagy túl biztonságosak megjegyezni őket. A jelszó létrehozására vonatkozó szokásos tanács így hangzik:

• ne használj valódi szavakat
• ne használjon személyes adatokat (anya leánykori neve, első háziállatának neve), mivel az kitalálható vagy felfedezhető.
• lehetőség szerint használjon számokat és nem alfanumerikus karaktereket

Ez mind jó tanács, de valójában csak három módja annak, hogy „tedd olyan nehézvé a jelszavadat, hogy emlékezz rád le kell írnia egy Post-It-re, és fel kell ragasztania a monitor előlapjára ”, ami szégyen, mivel a negyedik tanács változatlanul

• soha ne írja le a jelszavát, különösen a monitor előlapjára ragasztott Post-It-re

A jelszóprobléma másik ráncja, hogy a „könnyen kitalálható” nem azt jelenti, hogy az ember kitalálja. A legtöbb jelszórendszer egyirányú algoritmust használ. Futtat rajta egy jelszót, és ez létrehoz egy „hash” -t - egy elkavarodott megjelenésű karakterek keveredését. Csak a jelszava hozná létre ezt a kivonatot az algoritmuson való áthaladással, de a hash-t nem használhatja arra, hogy kiderítse, mi a jelszó. Ez egyirányú utca.

Az egyik módja annak, hogy egy hacker megközelítse ezt a problémát, az úgynevezett „szótári támadás”. Megkapják a kivonatolt jelszavak fájlt (amelyeket a bejelentkezési kódnak megfelelően gyakran viszonylag a szabadban tárolnak) hozzáférhet hozzájuk), és szoftver segítségével több ezer szót futtathat az algoritmuson keresztül, amíg meg nem találja az egyiknek megfelelőt hasheket. A modern processzorok sebessége azt jelenti, hogy több teljes szótárban is át lehet futni több nyelv, valamint a helyesírási hibák és az „okos” elfedések, például az „e” helyett a „3” rövid idő.

Minden szemgolyó és ujjbegy

Ha a jelszavak annyira eleve hibásak, miért használjuk őket? Az elmúlt ötven évben számos jelszócserét javasoltak. A biometria ígéretes sugárzásnak tűnik - ha a probléma egy személy azonosításában rejlik, akkor biztosan egyedi olyan tulajdonságok, mint az ujjlenyomatok, az ember íriszmintái vagy akár a DNS-e is jobb lehet, mint egy titok kulcsszó. Az egyik legutóbbi ötlet magában foglalja az ember használatát szívverés egyedi minta létrehozásához.

Sajnos a biometriának komoly hibája van - támaszkodnak arra a tényre, hogy nem reprodukálhatók. Ha valaki kidolgozta az egyedi attribútumok másolásának módját, akkor a játék felkészült. Valójában ez bebizonyosodott. Hamisíthat egy ujjlenyomatot a következővel: zselatin egy látens lenyomatból vett egy pohárra. Szélsőséges esetben mindig levághatja a szükséges testrészt, hogy egy szenzor előtt ingadozzon.

Ami még rosszabb, ha a biometrikus adatok sérültek, lehetetlen megváltoztatni azokat. Gondolhat új jelszóra, de ha új ujjal gondolkodik, akkor sehová sem jut.

Más rendszerek magukban foglalják a felhasználást CAPTCHA-k titkosítani egy nehéz jelszót egy egyszerűvel, vagy akár elemezni a viselkedését a hangnyomtatástól a járásfelismerésig (a járás ritmusáig) annak bizonyítására, hogy az vagy, akinek mondod magad. Sajnos ezek túlságosan bonyolultak vagy nem bizonyítottak. Lehetnek nemcsak feltörhetők, de könnyen is.

A kulcstartók vagy személyi igazolványok egy másik lehetőség, de ezek elveszhetnek vagy ellophatók, és ha tolvaj kezébe kerülnek, katasztrofális lehet.

Van egy idézet, amelyet Winston Churchillnek tulajdonítanak: „A demokrácia a legrosszabb kormányzati forma, kivéve az összes többi kipróbált formát.” Ugyanez van a jelszavakkal is. Tökéletlen, de a legjobb abban, amit csinálnak. Mi szükséges valamihez, hogy jobbá váljanak.

Ez a valami kétfaktoros hitelesítés. Amikor felhasználónévvel és jelszóval jelentkezik be, egy kóddal kell megkérdeznie, amelyre válaszolnia kell, valamilyen szoftver segítségével létrehozva a helyes választ.

A Google már engedélyezi, hogy ezt beállítsa a Gmail számára, sőt megteszi a kihívás / válasz részt az Ön számára, és megadja a helyes választ, amelyet be kell írnia. Ha úgy tetszik, használhat egy alkalmazást Android vagy iOS rendszerre az egyedi válasz előállításához.

Ez a fajta kihívás / válasz hitelesítés önmagában kockázatos - elvégre megvan a telefonja ellopott és felfelé a patakon - de a felhasználónév / jelszó kombinációval kombinálva extra réteget ad hitelesítés. Döntő jelentőségű, hogy egy hacker nehezen képes reprodukálni egy szótár támadást az alagsorából.

A Google már ezt is kínálja, bár alapértelmezés szerint nem *. Más webhelyeknek is. Lehet, hogy nem gondolja, hogy kétfaktoros hitelesítésre van szüksége egy olyan webhelyen, mint a Twitter, de bárkinek való hozzáférés megadása személyazonosságának egy részéhez váratlan következményekkel járhat. Valaki, aki egy webhelyen megszemélyesíti Önt, segíthet abban, hogy társadalmilag megtervezze Öntől vagy barátaitól azokat az információkat, amelyek hozzáférést biztosítanak számukra más, fontosabb adatokhoz.

Az egyetlen dolog, ami megakadályozza a kétfaktoros hitelesítés elindulását, annak megvalósításának és a felhasználói jelszóval kapcsolatos sebezhetőségek oktatásának költsége. Ez utóbbi sajnos egyre szélesebb körben fog elterjedni, mivel több webhelyet feltörnek és a jelszavakat visszafejtik. Az előbbinek olyannak kell lennie, amelyet vásárlóként követelünk. Lehet, hogy nem minden webhelyre, de az e-mail, az e-kereskedelem, a társkereső oldalak és minden olyan közösségi média számára, amelyet érdekel, választhatnia kell. Vannak arra utaló jelek Twitter tervezi, hogy fokozza és csatlakozik a Google-hoz a jobb bejelentkezés biztonságáért folytatott küzdelemben, de mi van a Yahoo Mail, a Facebook, a Microsoft és az összes többi olyan webhelyekkel, amelyekre támaszkodunk?

Az ingyenes webszolgáltatásokkal kötött kissé faustiai alkuk ez: Ön hasznos szolgáltatást nyújt nekünk, adatokat adunk rólunk, hogy pénzzé váljon. Ennek során bízunk abban, hogy a webhelyek gondozzák ezeket az adatokat, és itt az ideje, hogy több vállalat komolyan vegye ezt a felelősséget.

Feltörték már valaha? Mondja el nekünk tapasztalatait a megjegyzésekben.

(* be kell mélyednie a fiókjában beállítások és javasoljuk, hogy tegye meg.)