Bagaimana Situs Web Menjaga Kata Sandi Anda Aman?

Iklan

Kami sekarang jarang pergi sebulan tanpa mendengar tentang semacam pelanggaran data; ini mungkin yang terbaru layanan seperti Gmail Apakah Akun Gmail Anda Diantara 42 Juta Kredensial Kebocoran? Baca lebih banyak atau sesuatu yang sebagian besar dari kita lupa, seperti MySpace Facebook Melacak Semua Orang, MySpace Diretas... [Tech News Digest]Facebook melacak semua orang di Web, jutaan kredensial MySpace siap dijual, Amazon membawa Alexa ke browser Anda, No Man's Sky mengalami penundaan, dan Pong Project terbentuk. Baca lebih banyak .

Faktor dalam meningkatnya kesadaran kita tentang cara informasi pribadi kita menyedot debu oleh Google Lima Hal yang Google Mungkin Tahu Tentang Anda Baca lebih banyak , media sosial (terutama Facebook Privasi Facebook: 25 Hal yang Jaringan Sosial Ketahui Tentang AndaFacebook mengetahui jumlah yang mengejutkan tentang kami - informasi yang kami rela sukarela. Dari informasi itu Anda dapat dimasukkan ke dalam demografis, "suka" Anda direkam dan hubungan dipantau. Berikut adalah 25 hal yang diketahui Facebook tentang ... Baca lebih banyak

), dan bahkan smartphone kami sendiri Apa Sistem Operasi Seluler Paling Aman?Berjuang untuk judul OS Ponsel Paling Aman, kami memiliki: Android, BlackBerry, Ubuntu, Windows Phone, dan iOS. Sistem operasi apa yang paling baik menahan serangan online? Baca lebih banyak , dan tidak ada yang bisa menyalahkan Anda karena sedikit paranoid tentang bagaimana situs web merawat sesuatu penting seperti kata sandi Anda Semua yang Perlu Anda Ketahui Tentang Kata SandiKata sandi itu penting dan kebanyakan orang tidak cukup tahu tentang mereka. Bagaimana Anda memilih kata sandi yang kuat, menggunakan kata sandi unik di mana-mana, dan mengingat semuanya? Bagaimana Anda mengamankan akun Anda? Bagaimana... Baca lebih banyak .

Bahkan, untuk ketenangan pikiran, ini adalah sesuatu yang semua orang perlu tahu ...

Skenario Kasus Terburuk: Teks Biasa

Pertimbangkan ini: Situs web utama telah diretas. Penjahat dunia maya telah menerobos langkah-langkah keamanan dasar apa pun yang diperlukan, mungkin mengambil keuntungan dari kesalahan dalam arsitektur mereka. Anda adalah pelanggan. Situs itu telah menyimpan detail Anda. Untungnya, Anda yakin kata sandi Anda aman.

Kecuali situs itu menyimpan kata sandi Anda sebagai teks biasa.

Itu selalu merupakan bom waktu. Kata sandi teks biasa hanya menunggu untuk dijarah. Mereka tidak menggunakan algoritma untuk membuatnya tidak terbaca. Peretas dapat membacanya sesederhana seperti Anda membaca kalimat ini.

Itu pemikiran yang menakutkan, bukan? Tidak masalah seberapa rumit kata sandi Anda, bahkan jika itu pi hingga 30 digit: database teks biasa adalah daftar kata sandi setiap orang, dijabarkan dengan jelas, termasuk angka dan karakter tambahan apa pun yang Anda menggunakan. Bahkan jika peretas tidak crack situs, apakah Anda benar-benar ingin admin dapat melihat detail login rahasia Anda?

# c4news

Saya selalu menggunakan kata sandi yang bagus dan kuat, seperti Hercules atau Titan dan saya tidak pernah punya masalah ...

- Jangan ganggu (@emilbordon) 16 Agustus 2016

Anda mungkin berpikir ini adalah masalah yang sangat jarang, tetapi diperkirakan 30% situs web eCommerce menggunakan metode ini untuk "mengamankan" data Anda - pada kenyataannya, ada seluruh blog yang didedikasikan untuk menyoroti para pelanggar ini! Sampai tahun lalu, bahkan NHL menyimpan kata sandi dengan cara ini, seperti yang dilakukan Adobe sebelum pelanggaran besar.

Yang mengejutkan, perusahaan perlindungan virus, McAfee juga menggunakan teks biasa.

Cara mudah untuk mengetahui apakah suatu situs menggunakan ini adalah jika, setelah mendaftar, Anda menerima email dari mereka yang mencantumkan rincian login Anda. Sangat cerdik. Dalam hal ini, Anda mungkin ingin mengubah situs mana pun dengan kata sandi yang sama dan menghubungi perusahaan untuk memberi tahu mereka bahwa keamanannya mengkhawatirkan.

Itu tidak berarti mereka menyimpannya sebagai teks biasa, tetapi itu adalah indikator yang bagus - dan mereka sebenarnya tidak boleh mengirim hal semacam itu dalam email. Mereka mungkin membantah hal itu mereka memiliki firewall et al. untuk melindungi dari penjahat cyber, tetapi ingatkan mereka bahwa tidak ada sistem yang sempurna dan menjuntai prospek kehilangan pelanggan di depan mereka.

Mereka akan segera berubah pikiran. Semoga…

Tidak sebagus kedengarannya: Enkripsi

Jadi apa yang dilakukan situs-situs ini?

Banyak yang akan beralih ke enkripsi. Kita semua telah mendengar tentang hal itu: cara yang tampaknya kedap untuk mengacak informasi Anda, menjadikannya tidak dapat dibaca sampai dua kunci - satu dipegang oleh Anda (itu adalah detail login Anda), dan yang lainnya oleh perusahaan yang bersangkutan - adalah disajikan. Itu ide yang bagus, yang harus Anda impas terapkan pada ponsel cerdas Anda 7 Alasan Mengapa Anda Harus Mengenkripsi Data Smartphone AndaApakah Anda mengenkripsi perangkat Anda? Semua sistem operasi ponsel pintar utama menawarkan enkripsi perangkat, tetapi haruskah Anda menggunakannya? Inilah mengapa enkripsi ponsel cerdas bermanfaat, dan tidak akan memengaruhi cara Anda menggunakan ponsel cerdas Anda. Baca lebih banyak dan perangkat lain.

Internet berjalan dengan enkripsi: ketika Anda lihat HTTPS di URL HTTPS Everywhere: Gunakan HTTPS Alih-alih HTTP When Possible Baca lebih banyak , itu berarti situs yang Anda gunakan menggunakan Secure Sockets Layer (SSL) Apa itu Sertifikat SSL, dan Apakah Anda Membutuhkannya?Menjelajahi Internet bisa menakutkan ketika informasi pribadi terlibat. Baca lebih banyak atau Protokol Transport Layer Security (TLS) ke verifikasi koneksi dan campur aduk data Bagaimana Penjelajahan Web Menjadi Lebih AmanKami memiliki sertifikat SSL untuk berterima kasih atas keamanan dan privasi kami. Tetapi pelanggaran dan kekurangan baru-baru ini mungkin telah merusak kepercayaan Anda pada protokol kriptografi. Untungnya, SSL sedang beradaptasi, sedang ditingkatkan - begini caranya. Baca lebih banyak .

Tapi terlepas dari apa yang mungkin Anda dengar Jangan Percayai 5 Mitos Ini Tentang Enkripsi!Enkripsi terdengar rumit, tetapi jauh lebih mudah daripada yang dipikirkan kebanyakan orang. Meskipun demikian, Anda mungkin merasa agak terlalu gelap untuk menggunakan enkripsi, jadi mari kita hancurkan beberapa mitos enkripsi! Baca lebih banyak Enkripsi tidak sempurna.

Whaddya berarti kata sandi saya tidak dapat berisi backspace ???

- Derek Klein (@rogue_analyst) 11 Agustus 2016

Itu harus aman, tetapi hanya seaman di mana kunci disimpan. Jika sebuah situs web melindungi kunci Anda (mis. Kata sandi) menggunakan milik mereka, seorang peretas dapat mengekspos yang terakhir untuk menemukan yang pertama dan mendekripsi. Dibutuhkan sedikit usaha dari pencuri untuk menemukan kata sandi Anda; itulah sebabnya basis data utama adalah target besar.

Pada dasarnya, jika kunci mereka disimpan di server yang sama dengan milik Anda, kata sandi Anda mungkin juga berupa teks biasa. Itulah sebabnya situs PlainTextOffenders yang disebutkan di atas juga mencantumkan layanan yang menggunakan enkripsi yang dapat dibalik.

Sangat Sederhana (tetapi Tidak Selalu Efektif): Hashing

Sekarang kita pergi ke suatu tempat. Kata sandi Kedengarannya seperti jargon omong kosong Tech Jargon: Pelajari 10 Kata Baru Yang Baru Ditambahkan Untuk Kamus [Weird & Wonderful Web]Teknologi adalah sumber bagi banyak kata baru. Jika Anda seorang pecandu dan pencinta kata, Anda akan menyukai kesepuluh yang ditambahkan ke versi online dari Oxford English Dictionary. Baca lebih banyak , tapi itu hanya bentuk enkripsi yang lebih aman.

Alih-alih menyimpan kata sandi Anda sebagai teks biasa, situs menjalankannya melalui a fungsi hash, seperti MD5 Apa Semua Ini MD5 Hash Stuff Sebenarnya Berarti [Teknologi Dijelaskan]Berikut ini adalah daftar lengkap MD5, hashing dan gambaran kecil komputer dan kriptografi. Baca lebih banyak , Secure Hashing Algorithm (SHA) -1, atau SHA-256, yang mengubahnya menjadi satu set digit yang sama sekali berbeda; ini bisa berupa angka, huruf, atau karakter lainnya. Kata sandi Anda bisa menjadi IH3artMU0. Itu mungkin berubah menjadi 7dVq $ @ ihT, dan jika seorang peretas membobol basis data, hanya itu yang bisa mereka lihat. Dan itu hanya bekerja satu arah. Anda tidak dapat mendekodekannya kembali.

Sayangnya, tidak bahwa aman. Ini lebih baik daripada teks biasa, tetapi masih cukup standar untuk penjahat cyber. Kuncinya adalah bahwa kata sandi spesifik menghasilkan hash tertentu. Ada alasan bagus untuk itu: setiap kali Anda masuk dengan kata sandi IH3artMU0, secara otomatis akan berlalu melalui fungsi hash itu dan situs web memungkinkan Anda mengakses jika hash itu dan yang ada di basis data situs pertandingan.

Ini juga berarti bahwa peretas telah mengembangkan tabel pelangi, daftar hash, sudah digunakan oleh orang lain sebagai kata sandi, bahwa sistem yang canggih dapat dengan cepat dijalankan sebagai serangan brute-force Apa Serangan Brute Force dan Bagaimana Anda Dapat Melindungi Diri Anda?Anda mungkin pernah mendengar ungkapan "serangan brutal." Tapi apa, tepatnya, apa artinya itu? Bagaimana cara kerjanya? Dan bagaimana Anda bisa melindungi diri terhadapnya? Inilah yang perlu Anda ketahui. Baca lebih banyak . Jika Anda memilih a kata sandi yang sangat buruk 25 Kata Sandi yang Perlu Anda Hindari, Gunakan WhatsApp Gratis... [Tech News Digest]Orang-orang tetap menggunakan kata sandi yang mengerikan, WhatsApp sekarang benar-benar gratis, AOL sedang mempertimbangkan untuk mengubah namanya, Valve menyetujui permainan Half-Life buatan penggemar, dan The Boy With a Camera for a Face. Baca lebih banyak , itu akan tinggi di atas meja pelangi dan dapat dengan mudah retak; lebih banyak yang tidak jelas - terutama kombinasi yang luas - akan memakan waktu lebih lama.

Seberapa buruk itu? Kembali pada tahun 2012, LinkedIn telah diretas Yang Perlu Anda Ketahui Tentang Kebocoran Akun LinkedIn Besar-besaranSeorang hacker menjual 117 juta kredensial LinkedIn yang diretas di web Gelap untuk sekitar $ 2.200 dalam Bitcoin. Kevin Shabazi, CEO dan pendiri LogMeOnce, membantu kita untuk memahami apa yang berisiko. Baca lebih banyak . Alamat email dan hash terkait bocor. Itu 177,5 juta hash, mempengaruhi 164,6 juta pengguna. Anda mungkin menganggap itu tidak terlalu menjadi perhatian: mereka hanya memuat angka acak. Cukup sulit dipahami, bukan? Dua cracker profesional memutuskan untuk mengambil sampel 6,4 juta hash dan melihat apa yang bisa mereka lakukan.

Mereka retak 90% dari mereka hanya di bawah satu minggu.

Sebagus yang Hasilkan: Salting dan Slow Hash

Tidak ada sistem yang tidak dapat ditembus Mythbusters: Nasihat Keamanan Berbahaya yang Tidak Seharusnya Anda IkutiKetika datang ke keamanan internet, semua orang dan sepupu mereka memiliki saran untuk menawarkan kepada Anda tentang paket perangkat lunak terbaik untuk menginstal, situs yang cerdik untuk menghindari, atau praktik terbaik ketika datang ke ... Baca lebih banyak - peretas secara alami akan bekerja untuk memecahkan sistem keamanan baru - tetapi teknik yang lebih kuat diterapkan oleh situs paling aman Setiap Situs Web Aman Melakukannya Dengan Kata Sandi AndaPernahkah Anda bertanya-tanya bagaimana situs web menjaga kata sandi Anda aman dari pelanggaran data? Baca lebih banyak adalah hash yang lebih pintar.

Hash asin didasarkan pada praktik kriptografi, suatu kumpulan data acak yang dihasilkan untuk setiap kata sandi individu, biasanya sangat panjang dan sangat kompleks. Digit tambahan ini ditambahkan ke awal atau akhir kata sandi (atau kata sandi email) kombinasi) sebelum melewati fungsi hash, untuk memerangi upaya yang dilakukan menggunakan meja pelangi.

Biasanya tidak masalah jika garam disimpan di server yang sama dengan hash; meretas satu set kata sandi bisa sangat memakan waktu bagi peretas, dibuat lebih sulit jika Anda kata sandi itu sendiri berlebihan dan rumit 6 Tips Untuk Membuat Kata Sandi yang Tidak Dapat Dipecahkan Yang Dapat Anda IngatJika kata sandi Anda tidak unik dan tidak dapat dipecahkan, Anda sebaiknya membuka pintu depan dan mengundang para perampok untuk makan siang. Baca lebih banyak . Itu sebabnya Anda harus selalu menggunakan kata sandi yang kuat, tidak peduli seberapa besar Anda mempercayai keamanan situs.

Situs web yang menangani masalah keamanan Anda, dan terutama, semakin serius beralih ke hash lambat sebagai langkah tambahan. Fungsi hash yang paling terkenal (MD5, SHA-1, dan SHA-256) telah ada beberapa saat, dan digunakan secara luas karena relatif mudah diimplementasikan, dan menerapkan hash dengan sangat cepat.

Perlakukan kata sandi Anda seperti sikat gigi, ubah secara teratur, dan jangan bagikan!

- Anti-Bullying Pro (dari charity The Diana Award) (@AntiBullyingPro) 13 Agustus 2016

Saat masih menggunakan garam, hash lambat bahkan lebih baik dalam memerangi serangan apa pun yang mengandalkan kecepatan; dengan membatasi peretas untuk upaya yang jauh lebih sedikit per detik, itu membuat mereka lebih lama untuk memecahkan, sehingga membuat upaya kurang layak, mengingat juga tingkat keberhasilan yang lebih rendah. Penjahat dunia maya harus mempertimbangkan apakah perlu menyerang sistem hash lambat yang memakan waktu dibandingkan dengan “perbaikan cepat” yang komparatif: institusi medis biasanya kurang memiliki keamanan 5 Alasan Mengapa Pencurian Identitas Medis MeningkatScammers menginginkan detail pribadi Anda dan informasi rekening bank - tetapi apakah Anda tahu bahwa catatan medis Anda juga menarik bagi mereka? Cari tahu apa yang dapat Anda lakukan tentang itu. Baca lebih banyak , misalnya, agar data yang bisa didapat dari sana bisa masih dijual untuk jumlah yang mengejutkan Inilah Berapa Banyak Identitas Anda yang Bernilai di Web GelapTidak nyaman menganggap diri Anda sebagai komoditas, tetapi semua detail pribadi Anda, mulai dari nama dan alamat hingga detail rekening bank, bernilai bagi penjahat daring. Berapa nilai Anda? Baca lebih banyak .

Ini juga sangat adaptif: jika suatu sistem berada di bawah tekanan tertentu, itu dapat melambat lebih jauh. Coda Hale, Mantan Pengembang Perangkat Lunak Prinsip, membandingkan MD5 dengan fungsi hash lambat yang paling terkenal, bcrypt (yang lain termasuk PBKDF-2, dan scrypt):

“Alih-alih memecahkan kata sandi setiap 40 detik [seperti MD5], saya akan memecahkannya setiap 12 tahun atau lebih [ketika suatu sistem menggunakan bcrypt]. Kata sandi Anda mungkin tidak memerlukan keamanan semacam itu dan Anda mungkin membutuhkan algoritma perbandingan yang lebih cepat, tetapi bcrypt memungkinkan Anda memilih keseimbangan kecepatan dan keamanan Anda. "

Dan karena hash yang lambat masih dapat diimplementasikan dalam waktu kurang dari satu detik, pengguna tidak akan terpengaruh.

Mengapa Itu Penting?

Ketika kami menggunakan layanan online, kami menandatangani kontrak kepercayaan. Anda harus aman karena mengetahui bahwa informasi pribadi Anda disimpan dengan aman.

"Laptop saya sudah diatur untuk mengambil gambar setelah tiga kali mencoba kata sandi yang salah" pic.twitter.com/yBNzPjnMA2

- Kucing dalam ruang (@CatsLoveSpace) 16 Agustus 2016

Menyimpan kata sandi Anda dengan aman Panduan Lengkap untuk Menyederhanakan dan Mengamankan Hidup Anda dengan LastPass dan XmarksMeskipun cloud berarti Anda dapat dengan mudah mengakses informasi penting di mana pun Anda berada, itu juga berarti bahwa Anda memiliki banyak kata sandi untuk dilacak. Karena itulah LastPass dibuat. Baca lebih banyak sangat penting. Meskipun banyak peringatan, banyak dari kita menggunakan yang sama untuk situs yang berbeda, jadi jika ada, misalnya, pelanggaran Facebook Sudahkah Facebook Anda Diretas? Inilah Cara Mengenalinya (dan Memperbaikinya)Ada beberapa langkah yang dapat Anda ambil untuk mencegah diretas di Facebook, dan hal-hal yang dapat Anda lakukan jika Facebook Anda diretas. Baca lebih banyak , detail login Anda untuk situs lain mana saja yang sering Anda gunakan kata sandi yang sama mungkin juga merupakan buku terbuka untuk penjahat cyber.

Apakah Anda menemukan Pelanggar Teks Biasa? Situs mana yang Anda percayai secara implisit? Menurut Anda apa langkah selanjutnya untuk penyimpanan kata sandi yang aman?

Kredit Gambar: Africa Studio / Shutterstock, Kata Sandi Salah oleh Lulu Hoeller [Tidak Ada Lagi]; Login oleh Automobile Italia; File kata sandi Linux oleh Christiaan Colen; dan pengocok garam oleh Karyn Christner.