Tech reviews and news

Twitter paroles kļūme parāda, ka esam pelnījuši labāku drošību.

Aug 05, 2021

Uzticamas Atsauksmes

0

click fraud protection

Pavisam nesen čivināt skāra hakeri, kuriem izdevās iegūt dažus lietotāju datus, tostarp dažu simtu tūkstošu lietotāju jauktas paroles. Hakeriem bija iespējams palaist paroles uzlaušanas programmas, lai salīdzinātu miljoniem vārdnīcu vārdu un aizstātu pareizrakstību ar jauktu paroļu sarakstu, lai redzētu, vai kāds no tiem neatbilst.

Pateicos čivināt, lai ar visiem ātri sazinātos un visiem tiktu ieviesta vispārēja paroles atiestatīšana ietekmē lietotājus, liekot lietotājiem iestatīt jaunas paroles, ja hakeriem izdodas noskaidrot viņu paroles bija. Lai gan, no vienas puses, tas parādīja Twitter proaktīvu pieeju drošības problēmām, tas parāda arī galveno neaizsargātību, kā mēs aizsargājam savus privātos datus - paroli.

Mēs paļaujamies uz parolēm visu dienu un katru dienu. Sākot no mūsu iTunes konta un beidzot ar tīmekļa pastu uz datoru tīklu darbā, mēs izmantojam lietotājvārdu un paroļu kombinācijas, lai kontrolētu mūsu digitālo dzīvi. Es saku, digitālā dzīve, bet arvien vairāk starp tām un mūsu faktisko, “īsto” dzīvi ir tikai visplānākais. Ja kādam būtu jāatrod piezīmju grāmatiņa ar visām jūsu lapām ieskrambātām jūsu parolēm, viņš varētu iznīcināt jūsu finanses, darbu un lielāko daļu jūsu sociālās dzīves, pirms jūs varētu pateikt mātes jaunavas vārdu.

Ir pagājuši vairāk nekā piecdesmit gadi, kopš tika izveidota pirmā datora paroļu sistēma, un ap četrdesmit, kopš pirmo reizi tika ieviesta paroļu “sajaukšanas” metode, lai tās būtu drošas. Diemžēl tehnoloģija no turienes nav daudz virzījusies.

Paroļu problēma, kā jebkurš ilgstoši cietušais IT palīdzības dienesta drons jums pateiks no glāzes apakšas, ir tā, ka tās ir vai nu pārāk viegli uzminamas, vai arī pārāk drošas, lai atcerētos. Standarta ieteikumi paroles izveidošanai ir šādi:

  • nelietojiet īstus vārdus
  • neizmantojiet personisko informāciju (mammas pirmslaulību uzvārds, pirmā mājdzīvnieka vārds), jo to var uzminēt vai atklāt.
  • pēc iespējas izmantojiet ciparus un bez burtciparu rakstzīmes

Tas viss ir labs padoms, bet patiesībā tie ir tikai trīs veidi, kā pateikt: “apgrūtiniet savu paroli, lai jūs atcerētos tas ir jāpieraksta uz Post-It un jāpielīmē uz monitora rāmja ”, kas ir kauns, jo ceturtais padoms ir nemainīgi

  • nekad nepierakstiet paroli, it īpaši uz Post-It, kas iestrēdzis uz monitora rāmja

Vēl viena paroles problēmas grumbiņa ir tā, ka ‘viegli uzminēt’ nenozīmē, ka persona to var uzminēt. Lielākā daļa paroļu sistēmu darbojas, izmantojot vienvirziena algoritmu. Caur to palaižat paroli, un tas izveido “hash” - izkropļota izskata rakstzīmju jaucienu. Tikai jūsu parole izveidotu šo jaucējkrānu, izlaižot algoritmu, taču jūs nevarat izmantot jaucējkrānu, lai noskaidrotu, kāda ir parole. Tā ir vienvirziena iela.

čivināt

Viens no veidiem, kā hakerim piekļūt šai problēmai, ir kaut kas tāds, ko sauc par ‘vārdnīcas uzbrukumu’. Viņi saņem jauktu paroļu failu (bieži tiek glabāti salīdzinoši brīvā dabā, pateicoties pieteikšanās kodam piekļūt tiem) un izmantojiet programmatūru, lai algoritmā palaistu tūkstošiem vārdu, līdz tie atrod vienu, kas atbilst vienam no haši. Mūsdienu procesoru ātrums nozīmē, ka ir iespējams palaist vairākas pilnīgas vārdnīcas vairākās valodās, kā arī pareizrakstības kļūdas un “gudri” aizsmakumi, piemēram, samainot “e” pret “3” salīdzinoši īss laiks.

Visi acu āboli un pirkstu gali

Ja paroles ir tik raksturīgi kļūdainas, kāpēc mēs tās izmantojam? Pēdējo piecdesmit gadu laikā ir bijuši daudzi ierosināti paroles aizstājēji. Biometrija šķiet daudzsološa pieeja - ja problēma slēpjas personas identificēšanā, tā noteikti ir unikāla tādi atribūti kā pirkstu nospiedumi, cilvēka varavīksnenes modeļi vai pat viņu DNS varētu būt labāki par noslēpumu atslēgvārds. Viena nesena ideja ietver cilvēka izmantošanu sirdsdarbība lai radītu unikālu modeli.

Diemžēl biometrijai ir nopietns trūkums - tie paļaujas uz to, ka tos nevar reproducēt. Ja kādam bija jāizstrādā veids, kā kopēt jūsu unikālos atribūtus, spēle ir pabeigta. Patiešām, ir pierādīts, ka tas ir iespējams. Jūs varat viltot pirksta nospiedumu ar uzdruku želatīns ņemts no latenta nospieduma uz stikla. Ārkārtējā gadījumā jūs vienmēr varat nogriezt nepieciešamo ķermeņa daļu, lai vicinātos sensora priekšā.

Sliktāk, ja jūsu biometrija ir apdraudēta, to nav iespējams mainīt. Jūs varat iedomāties jaunu paroli, taču, domājot par jaunu pirkstu, jūs nekur netiksiet.

Citas shēmas ietver izmantošanu CAPTCHA šifrēt sarežģītu paroli ar vieglu vai pat analizēt savu uzvedību no balss izdrukas līdz gaitas atpazīšanai (jūsu pastaigas ritms), lai pierādītu, ka esat tas, ko sakāt. Diemžēl tie ir vai nu pārāk sarežģīti, vai nav pierādīti. Tie varētu būt ne tikai sašķelti, bet arī viegli.

Atslēgu piekariņi vai personas apliecības ir vēl viena iespēja, taču tās var pazaudēt vai nozagt, un to nonākšana zagļa rokās var būt katastrofāla.

Vinstonam Čērčilam tiek piedēvēts citāts: “Demokrātija ir vissliktākā pārvaldes forma, izņemot visas pārējās izmēģinātās formas.” Tāpat ir ar parolēm. Nepilnīgi, bet vislabāk tajā, ko viņi dara. Kas kaut kam vajadzīgs, lai tie būtu labāki.

Tas kaut kas ir divu faktoru autentifikācija. Piesakoties, izmantojot lietotājvārdu un paroli, jums tiek prasīts ievadīt kodu, uz kuru jums jāatbild, izmantojot pareizo atbildi, izmantojot kādu programmatūru.

Google jau ļaus jums to iestatīt Gmail un pat veiks izaicinājuma / atbildes daļu jūsu vietā un īsziņu, kurā ievadīsit pareizo atbildi. Ja vēlaties, varat izmantot lietotni Android vai iOS, lai ģenerētu unikālo atbildi.

Šāda veida izaicinājumu / atbildes autentifikācija pati par sevi ir riskanta - galu galā jums varētu būt tālrunis nozagts un esi augšā līcī - bet kombinācijā ar lietotājvārda / paroles kombināciju tas dod papildu slāni autentifikācija. Būtiski ir tas, ka hakerim, kurš vada vārdnīcas uzbrukumu no sava pagraba, ir grūti pavairot.

Google to jau piedāvā, kaut arī ne pēc noklusējuma *. Arī citām vietnēm vajadzētu. Jūs varētu nedomāt, ka jums ir nepieciešama divu faktoru autentifikācija vietnē, piemēram, Twitter, taču, piešķirot kādam piekļuvi jūsu identitātes fragmentam, var būt negaidītas sekas. Kāds, uzdodoties par tevi vienā vietnē, var viņiem palīdzēt no jums vai jūsu draugiem sociāli izstrādāt informāciju, kas viņiem var piekļūt citiem svarīgākiem datiem.

Vienīgās lietas, kas kavē divfaktoru autentifikācijas sākšanos, ir tās ieviešanas un lietotāju izglītošanas par paroles ievainojamību izmaksas. Pēdējais diemžēl kļūs arvien izplatītāks, jo tiks uzlauzts vairāk vietņu un pārveidotas paroles. Pirmajam vajadzētu būt kaut kam, ko mēs pieprasām kā klientus. Iespējams, ka ne katrai vietnei, bet e-pastam, e-komercijai, iepazīšanās vietnēm un jebkuram sociālajam medijam, kas mums rūp, vajadzētu būt iespējai. Ir pazīmes, ka Twitter plāno pastiprināties un pievienoties Google cīņā par labāku pieteikšanās drošību, bet kā ir ar Yahoo Mail, Facebook, Microsoft un visām citām vietnēm, uz kurām mēs paļaujamies?

Nedaudz Faustian darījums, ko mēs veicam ar bezmaksas tīmekļa pakalpojumiem, ir šāds: jūs sniedzat mums noderīgu pakalpojumu, mēs sniedzam jums datus par mums, lai tos pārvērstu naudā. To darot, mēs uzticamies vietnēm, kas rūpējas par šiem datiem, un ir pienācis laiks, lai vairāk uzņēmumu šo atbildību uztvertu nopietni.

Vai jūs kādreiz esat uzlauzts? Paziņojiet mums savu pieredzi komentāros.

(* jums ir jāiedziļinās savā kontā iestatījumi un mēs iesakām to darīt.)

Bethesda atklāj Fallout 4 un Doom HTC Vive VR atsāknēšanu 2016. gada E3

E3 2016 notiek un visu citu trokšņu vidū, Bethesda atklāja, ka Fallout 4 2017. gadā saņems VR ats...

Lasīt Vairāk

Nokia 8 pārskats: Tagad ar Android 8.1 Oreo

Nokia 8 pārskats: Tagad ar Android 8.1 Oreo

Sadaļas1. lappuseNokia 8 apskats2. lappuseProgrammatūra, akumulatora darbības laiks, kameras un s...

Lasīt Vairāk

GameStop: E3 būs “fantastisks jauninājums” un liels VR fokuss

E3 2015 piedāvās spēlētājiem “fantastiskas inovācijas” ar lielu VR fokusu, norāda videospēļu mazu...

Lasīt Vairāk

insta story