Jak najít štěstí ve světě šílenství hesla

Na začátku srpna měl reportér Mat Honan Wired své nejcennější hesla hacknuty prostřednictvím složité řady sociální inženýrství využívá. Porušení provedlo titulky, protože odhalila bezpečnostní nedostatky v zásadách zákaznických služeb společnosti Apple a Amazon; ale nezapomínejme, že sáňka Honan zakrývala dlouhé léto plné serverových invazí, které vystavovaly miliony uživatelských hesel en masse.

V červnu hackeři ukradli asi 6,5 milionu hesel LinkedIn a zveřejnili je online. Ten stejný měsíc narušili útočníci zhruba 1,5 milionu hesel eHarmony při narušení bezpečnosti a v červenci hackeři chytili 450 000 hesel Yahoo Voice. Mezi nejčastější hesla používaná těmi členy Yahoo: "123456", "welcome" a stále populární "heslo".

Základním problémem není to, že by tyto stránky měly udělat lepší práci, i když by měli mít). A to není to, že uživatelé si vybrali hesla, která byla velmi snadno spláchnout a pak recyklovaná stejná tichá hesla na každém místě, kde se zaregistrovali (i když to udělali).

[Další informace: Jak odstranit malware z počítače se systémem Windows]

Problém spočívá v tom, že hesla se stanou samozvanými, často nepotřebnými nástroji ve skvělém systému digitální bezpečnosti. Potřebujeme příliš mnoho z nich a silné je příliš těžké si pamatovat.

"Chcete-li používat síť v těchto dnech, musíte mít desítky hesel a přihlašovacích údajů," říká Terry Hartmann, viceprezident pro globální bezpečnostní řešení společnosti Unisys. "Pokaždé, když se vrátíte na stránky, připadá si, že zavedli nová pravidla, která učiní složitější hesla. Uživatelé se nakonec vrátí k použití jednoho hesla. "

Stručně: Systém hesel je přerušený. Všechna hesla porušená ve spojeních LinkedIn, eHarmony a Yahoo byly "hashed" - to znamená, že skutečná hesla byla nahrazena algoritmicky generovaným kódem. To transformuje hesla uložená na serverech (a ukradená hackery) do alfanumerického gobbledygook. Přesto, pokud je vaše heslo tak jednoduché, jako například "officepc", hacker ho může snadno rozbít i v hashované podobě pomocí brutální síly nebo duhového stolu.

Ale vše není ztraceno. Komplexní hesla s čísly a speciálními znaky (a bez jakéhokoli vztahu k reálnému jménu nebo slovu) vám dávají šanci bojovat proti hackerům a tyto kódy můžete uložit do praktické aplikace pro správu hesel. Webové stránky se mezitím daří více, aby zajistily bezpečnost na svém konci, vyžadují multifaktorovou autentizaci a zdá se, že biometrická technologie bude brzy využita i pro bezpečnost na masovém trhu.

Problém s heslem nezmizí ale brzy se budeme muset spoléhat na aplikace, služby a nové technologie, které jsou vysvětleny níže, aby zůstaly o krok napřed před zlými kluky

Heslá

Programy pro správu hesel jsou jako spamové filtry -zdroje, ale nezbytné nástroje pro správu vašeho digitálního života. Správný správce hesel si pamatuje všechny vaše přihlašovací údaje, nahrazuje jednoduchá hesla, která si vyberete složitými hesly, a umožňuje rychle změnit tato hesla, pokud jsou stránky nebo služby, které používáte, hackované.

Nejlepší část: Namísto toho, unikátních hesel, stačí si zapamatovat jedno: hlavní heslo pro vault. A pokud se nebudete vždy přihlašovat ze stejného počítače a stejného prohlížeče (v tomto případě to pravděpodobně budete číst v AOL dialupu), budete chtít program založený na cloudových aplikacích, jako je LastPass, 1Password nebo Roboform, který se může použít přihlašujete se k libovolnému počítači, telefonu nebo tabletu, který používáte.

Nevýhoda: Musíte si stále pamatovat své hlavní heslo a opravdu by měl být dobrý, nabitý směsí čísel, kapitálu a malých písmen a zvláštních znaků, jako jsou otazníky a vykřičníky.

Samozřejmě, útočník, který dokáže nainstalovat keylogger do vašeho systému, bude moci při psaní naskenovat své heslo, říká Robert Siciliano, online bezpečnostní expert McAfee, který používá heslo pro uložení více než 700 přihlášení. Stejně tak, jestliže podvodníci hackují heslo cloud-based vault - jak se stalo LastPass v květnu 2011 - mohlo by to skončit. Naštěstí pro zákazníky společnosti LastPass nebyly v útoku v roce 2011 porušeny žádné citlivé informace; ale při příštím úspěšném vniknutí (a to, že se stane jistou bezpečnostní firmou někde je nevyhnutelné), uživatelé nemusí být tak šťastní.

Bottom line: Trezory pro správu hesel nabízejí obrovskou hodnotu a jsou nezbytnými nástroji pro každého, kdo hodnotí digitální zabezpečení

Multifaktorová autentizace

Komplexní hesla uložená v šifrovaném trezoru jsou pouze prvním krokem. Některé weby se spoléhají na druhou úroveň zabezpečení pro identifikaci uživatelů - obvykle k hardwaru, ke kterému má přístup pouze oprávněný uživatel. Tímto způsobem dokonce i útočník, který zná vaše heslo, bude potřebovat přístup k vašemu telefonu nebo počítači, například k tomu, aby vaše údaje ukradl.

Zákony vyžadují, aby finanční instituce při zpracování transakcí online používaly více faktorů, ale mohou v pozadí ověřením vašeho stroje nebo jeho umístění, říká Siciliano. Pokud například žijete v San Francisku a někdo v Šanghaji se pokusí přistupovat k vašemu bankovnímu účtu, může být tato transakce zablokována nebo může být od této osoby požadována dodatečná autentizace zadáním čísla zaslaného na zařízení, Google a Facebook nyní nabízejí také dvoufaktorovou autentizaci: Můžete je nechat odeslat dočasný PIN na váš mobilní telefon, kdykoli se přihlásíte z neznámého stroje (tento PIN musí být spolu s heslem poskytnut při prvním pokusu o přihlášení přes tento nový stroj). Tato chyba by zabránila veškerým těžkostem, které Mat Honan utrpěl minulý měsíc.

Dvoudílný ověřovací systém společnosti Google zajišťuje vyšší úroveň zabezpečení, ale mnoho uživatelů to považuje za únavné v reálném světě.

Bohužel, stranou z bank a hrstka vysoce profilovaných webových stránek, většina míst online jednoduše nenabízí vícefaktorovou autentizaci - částečně proto, že to není příliš výhodné a velká většina uživatelů internetu je ochotna obchodovat s bezpečností pro bezproblémové přihlášení.

"Dvoufaktorová autentizace ne vždy vyhovuje testu babičky," říká Siciliano. "To znamená více volání podpory, více resetů hesla a vyšší náklady. To je důvod, proč je typicky používán pouze společnostmi, které mají hodně ztratit. "

Biometrie

Krása biometrických prvků spočívá v tom, že nemusíte vůbec nic zapomínat, mnohem méně komplexní heslo. Místo toho se biometrický bezpečnostní systém vkládá do jedinečných vlastností vašeho fyzického obalu, aby ověřil vaši totožnost.

Biometrické systémy dokáží skenovat otisky prstů, duhovky, obličeje a dokonce i hlasy, aby zjistili, zda má člověk mít přístup ke službě nebo k dílu hardwaru. Nejsou ještě rozmístěny pro hlavní cloudové služby, ale Terry Hartmann z Unisys říká, že velké banky pilotují systémy biometrických identifikačních systémů a očekává, že se začnou v příštím roce začít. Poslední koupě společnosti Apple AuthenTec, výrobce snímačů otisků prstů, v hodnotě 360 milionů dolarů, naznačuje, že do budoucích produktů společnosti Apple může být použita určitá forma biometrické identifikace.

Biometrické zabezpečení je již v mnoha notebookech k dispozici

Biometrie nejsou perfektní, nicméně. Výzkumníci použili snímače otisků prstů pomocí želatinových prstů a pomocí fotografií použili systémy pro rozpoznávání obličeje. Na konferenci BlackHat, která se uskutečnila v červenci minulého roku, vědci v oblasti bezpečnosti demonstrovali způsob, jak triky irisových skenerů vytlačit reverzními technikami obrazových dat.

A samozřejmě, hackeři mohou zaměřit biometrické údaje uložené v centrální databázi a ukrást identity tím, že namísto svých obětí nahradí vlastní biometrické údaje ". Stejně jako u hesel a dalších osobně identifikovatelných informací by úroveň ochrany poskytovaná biometrickou bezpečností zcela záviselo na kompetenci toho, kdo ukládal data (všichni víme, jak dobře pracoval na LinkedIn).

Požadovat biometrické údaje při přihlášení by také mohlo anonymita je obtížná (ne-li nemožná) pro politické disidenty, informátory a lidi, kteří obývají více identit z osobních nebo profesních důvodů. Strach nad Menšinová zpráva může také dát mnoho zákazníků do pauzy.

Navzdory tomu Joseph Pritikin, ředitel produktového marketingu společnosti AOptix Technologies, výrobce snímků pro iris nasazených na letištích a hraničních přechodech, předpovídá, že smartphony využívající biometrii budou jednou z klíčových identifikačních zařízení budoucnosti, zčásti proto, že data mohou být bezpečně uložena na samotném zařízení.

"Bude to kombinace něčeho, co jsem a co mám, nejspíš chytrý telefon, "říká Pritikin. "Jejich hardware-založené šifrování by bylo obtížné kompromisovat."

Jeden ID, aby je vládl všem

Nakonec ideálním řešením pro únavu heslem je sjednotit všechny naše odlišné přihlašovací údaje a identitu online. Vstupte do administrace Obamy, která v dubnu 2011 zahájila veřejnou soukromou iniciativu, národní strategii pro důvěryhodné identity v kybernetickém prostoru, aby vytvořila ekosystém identity, který by spotřebitelům umožnil používat jakýkoli ověřovací systém a pracovat bez problémů v jakémkoli místě. > Takový systém by dokázal ověřit, že jste dost starý na to, abyste si koupili víno online nebo že získáte slevu pro studenty, aniž byste museli sdílet všechny vaše osobní údaje s každým webem, říká Jim Fenton, šéf bezpečnostní specialisty na OneID, internetový systém správy totožnosti. Systém by vám také umožnil pracovat pod pseudonymem, pokud jste tak chtěl (a) se vrátit.

Ale kola vlády se pomalu chrlí. Minulý měsíc uspořádal řídící výbor NTSIC své první setkání. Mezi problémy, se kterými se nakonec bude muset vypořádat, je, kolik informací by měly být sdíleny mezi stranami a kolik kontrol by měli mít spotřebitelé nad těmito informacemi, říká Fenton, člen skupiny ochrany osobních údajů řídícího výboru.

Jinými slovy: je na cestě, ale brzy se tam nedostane. Mezitím jsme uvízli hesla. Vytvořte některé dobré a ujistěte se, že jsou pod zámkem a klíčem.