כיצד למצוא אושר בעולם של טירוף סיסמה

בתחילת אוגוסט, Wired כתב Matan Honan היו סיסמאות היקר ביותר שלו פרוצים באמצעות סדרה מורכבת של הנדסה חברתית מנצל. ההפרה הגיעה לכותרות משום שחשפה פגמים ביטחוניים במדיניות שירות הלקוחות של אפל ושל אמזון; אבל בואו לא נשכח כי סאגה Honan כתרים קיץ ארוך מלא של פלישות שרת שחשף מיליוני סיסמאות משתמש בהמוניהם.

בחודש יוני, האקרים גנבו כ -6.5 מיליון סיסמאות LinkedIn ופרסמו אותם באינטרנט. באותו חודש, פולשים פרצו כ -1.5 מיליון סיסמאות eHarmony בהפרת אבטחה, ובמהלך יולי האקרים תפסו 450,000 סיסמאות של Yahoo Voice. בין הסיסמאות הנפוצות ביותר בשימוש על ידי אותם חברים יאהו: "123456", "ברוך הבא", ואת אי פעם פופולרי "סיסמה".

הבעיה הבסיסית היא לא כי אתרים אלה צריכים לעשות עבודה טובה יותר להגן על נתוני המשתמש (אם כי הם היו צריכים). וזה לא שהמשתמשים בחרו סיסמאות שהיו קלות מאוד לפצח ולאחר מכן למחזר אותן סיסמאות דקיקות בכל אתר שבו נרשמו (למרות שהן עשו זאת). [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

הבעיה היא כי סיסמאות הפכו עצמית להביס, לעתים קרובות כלים אימפוטנט בתוכנית הגדולה של אבטחה דיגיטלית. אנחנו צריכים יותר מדי מהם, והחזקים חזקים מכדי לזכור אותם. "כדי להשתמש ברשת בימים אלה יש לך עשרות סיסמאות והיומנים", אומר טרי הרטמן, סגן נשיא פתרונות האבטחה הגלובליים של יוניסיס. "בכל פעם שאתה חוזר לאתר, זה מרגיש כאילו הם הציגו כללים חדשים כדי להפוך את הסיסמאות מורכבות יותר. בסופו של דבר, משתמשים חוזרים להשתמש בסיסמה אחת לכל דבר. "

בקיצור: מערכת הסיסמה שבורה. כל הסיסמאות נפרצו ב- LinkedIn, eHarmony, ומנצלות יאהו היו "hashed" - כלומר, סיסמאות בפועל הוחלף עם קוד שנוצר אלגוריתמית. זה הופך את הסיסמאות המאוחסנות בשרתים (נגנב על ידי האקרים) לתוך gobbledygook אלפאנומריים. ובכל זאת, אם הסיסמה שלך היא פשוטה כמו, למשל, "officepc", האקר יכול בקלות לפצח אותו אפילו בצורת hashed באמצעות כוח פראי או שולחן קשת.

אבל כל זה לא אבוד. סיסמאות מורכבות מלאות מספרים ותווים מיוחדים (ונושאות דמיון לשם או מילה אמיתיים) מעניקים לך סיכוי לחימה נגד האקרים, ואתה יכול לאחסן את הקודים האלה באפליקציית ניהול סיסמה נוחה. אתרי אינטרנט, בינתיים, עושים יותר כדי להגביר את האבטחה בסוף שלהם, המחייבים אימות multifactor, וזה נראה כאילו הטכנולוגיה הביומטרי יהיה מועסק בקרוב גם עבור אבטחה בשוק ההמוני.

הבעיה הסיסמה לא ייעלם כל אבל בקרוב נצטרך להסתמך על היישומים, השירותים והטכנולוגיות המתעוררות שהוסברו למטה כדי להישאר צעד אחד לפני הרעים.

קמרונות סיסמה

תוכניות לניהול סיסמאות הן כמו מסנני דואר זבל, אבל כלי חיוני לניהול החיים הדיגיטליים שלך. מנהל סיסמה טוב זוכר את כל פרטי הכניסה שלך, מחליף את הסיסמאות הפשוטות שאתה בוחר באלו המורכבות, ומאפשר לך לשנות את הסיסמאות האלה במהירות אם האתר או השירות שאתה משתמש מקבל פרוצים.

החלק הכי טוב: במקום לזכור עשרות של סיסמאות ייחודיות, אתה רק צריך לזכור אחד: את סיסמת המאסטר של הכספת שלך. אלא אם כן אתה תמיד מתחבר מאותו מחשב ומאותו דפדפן (במקרה זה אתה בטח קורא את זה בחיבור AOL dialup), אתה רוצה תוכנית מבוססת ענן כמו LastPass, 1Password, או Roboform שיכולים לחול הכניסה שלך לכל מחשב, טלפון או טאבלט שבו אתה משתמש.

החיסרון: אתה עדיין צריך לזכור את סיסמת המאסטר שלך, וזה באמת צריך להיות אחד טוב, ארוז בתערובת של מספרים, הון אותיות קטנות, תווים מיוחדים כגון סימני שאלה וסימני קריאה.

כמובן, תוקף אשר מצליח לשתול keylogger במערכת שלך יוכל לרחרח את הסיסמה שלך תוך כדי הקלדה, מציין רוברט Siciliano, מומחה אבטחה מקוונת עבור McAfee המשתמשת קמרון סיסמה לאחסן יותר מ -700 כניסות. באופן דומה, אם נוכלים לפרוץ קמרון סיסמת ענן - כפי שקרה LastPass בחודש מאי 2011 - זה יכול להיות המשחק מעל. למרבה המזל עבור לקוחות LastPass, לא הופר שום מידע רגיש בהתקפה של 2011; אבל בפעם הבאה שחלפה מוצלחת מתרחשת (ושזה יקרה לאיזה משרד אבטחה איפשהו הוא בלתי נמנע), משתמשים אולי לא יהיה כל כך בר מזל.

השורה התחתונה: קמרונות ניהול הסיסמה מציעים ערך עצום, והם כלים חיוניים לכל מי >

אימות מולטיפקטור

סיסמאות מורכבות המאוחסנות בכספת מוצפנת הן רק צעד ראשון. אתרים מסוימים מסתמכים על רמה שנייה של אבטחה כדי לזהות משתמשים - בדרך כלל פיסת חומרה שרק למשתמש הנכון יש גישה אליה. בדרך זו, אפילו תוקף שיודע את הסיסמה שלך זקוק לגישה אל הטלפון או המחשב שלך, לדוגמה, כדי לגנוב את הנתונים שלך.

מוסדות פיננסיים נדרשים על פי חוק להשתמש במספר גורמים בעת טיפול בעסקאות מקוונות, אך הם עשויים לעשות זאת זה ברקע על ידי אימות המחשב שלך או המיקום שלו, אומר סיציליאנו. לדוגמה, אם אתה מתגורר בסן פרנסיסקו ומישהו בשנחאי מנסה לגשת לחשבון הבנק שלך, ייתכן שהעסקה חסומה או שהאדם הזה עשוי להידרש לספק פריט אימות נוסף על ידי הזנת מספר שנשלח למכשיר שסופק על ידי הבנק.

Google ו- Facebook מציעים כעת אימות בשני גורמים גם כן: תוכל לשלוח להם מספר PIN זמני אל הטלפון הסלולרי שלך בכל פעם שתתחבר ממכשיר לא מוכר (עליך להזין את מספר הזיהוי האישי באמצעות הסיסמה שלך בפעם הראשונה שתנסה להיכנס באמצעות המכונה החדשה). כישלון זה היה מונע את כל הקשיים של מאט הונאן בחודש שעבר.

מערכת האימות של שני חלקים של גוגל מבטיחה רמה גבוהה יותר של אבטחה, אך משתמשים רבים מוצאים אותה מעייפת במציאות של העולם האמיתי.

למרבה הצער, מהבנקים וקומץ של אתרי אינטרנט ברמה גבוהה, רוב המקומות באינטרנט פשוט אינם מציעים אימות רב-תכליתי - בין השאר משום שזה לא נוח מאוד, והרוב המכריע של משתמשי האינטרנט מוכנים לסחור באבטחה עבור כניסות ללא טרחה. "אימות של שני גורמים לא תמיד עובר את מבחן הסבתא", אומר סיציליאנו. "זה אומר יותר שיחות תמיכה, יותר איפוס סיסמה, ועלויות גבוהות יותר. בגלל זה זה בדרך כלל משמש רק חברות עם הרבה להפסיד. "

ביומטריה

היופי של ביומטריה היא שאתה לא צריך לזכור שום דבר בכלל, הרבה פחות סיסמה מורכבת. במקום זאת, מערכת אבטחה ביומטרי תופס את המאפיינים הייחודיים של האריזה הפיזית שלך כדי לאמת את הזהות שלך.

מערכות ביומטרי יכול לסרוק טביעות אצבע, אירוסים, פרצופים, ואפילו קולות כדי לקבוע אם אדם צריך גישה לשירות או חתיכת של חומרה. הם עדיין לא נפרסו עבור שירותי הענן הגדולים, אבל טרי הארטמן מאוניברסיטת יוניסיס אומר שהבנקים הגדולים מטיסים מערכות זיהוי ביומטריות עכשיו, ומצפים מהם להתחיל להתגלגל בשנה הבאה. הרכישה החדשה של חברת אפלנטק, יצרנית טכנולוגיית טביעת אצבע, שעלתה ל -360 מיליון דולר, מצביעה על כך שכמה סוגים של זיהוי ביומטרי עשויים להיבנות במוצרי אפל עתידיים.

ביומטריה בסיסית כבר זמינה במחשבים ניידים רבים.

ביומטריה מושלם, עם זאת. חוקרים יש gamed טביעת אצבע סורקים באמצעות ג'לטין אצבעות, והם fooled מערכות זיהוי פנים באמצעות תמונות. בסופו של דבר, בכנס Blackhat של יולי, חוקרי אבטחה הוכיחו דרך לעקוף סורקים איריס על ידי הנדסה לאחור נתוני התמונה.וכמובן, האקרים יכולים למקד נתונים ביומטריים המאוחסנים במסד נתונים מרכזי, ולגנוב זהויות על ידי החלפת הנתונים הביומטריים שלהם במקום הקורבנות שלהם. כמו סיסמאות ומידע אחר המאפשר זיהוי אישי, רמת ההגנה הניתנת על ידי אבטחה ביומטרית תהיה תלויה לחלוטין ביכולת של מי שאחסן את הנתונים (כולנו יודעים כמה טוב זה עובד ב LinkedIn).

הצורך ביומטריה בכניסה יכול גם לעשות אנונימיות קשה (אם לא בלתי אפשרית) עבור מתנגדים פוליטיים, שודדים ואנשים החיים במספר זהויות מסיבות אישיות או מקצועיות. חששות מעל

דוח מיעוט

מעקב ממשלתי בסגנון עשוי גם לתת לצרכנים רבים להשהות.

למרות כל זה, ג'וזף פריטיקין, מנהל שיווק מוצרים ב- AOptix Technologies, יצרנית של סורקי איריס הפרוסים בנמלי תעופה ובמעברי הגבול, חוזה כי טלפונים חכמים המעסיקים ביומטריה יהיה אחד ממכשירי הזיהוי העיקריים של העתיד, בין השאר משום שהנתונים ניתנים לאחסון מאובטח במכשיר עצמו. ככל הנראה סמארטפון ", אומר Pritikin. "ההצפנה מבוססת החומרה שלהם תהיה קשה להתפשר." ID אחד לשליטה על כולם בסופו של דבר, הפתרון האידיאלי לעייפות סיסמה הוא לאחד את כל פרטי הכניסה והזהויות השונות שלנו. הזן את ממשל אובמה, אשר בחודש אפריל 2011 השיקה יוזמה ציבורית-פרטית, האסטרטגיה הלאומית של זהויות מהימנות במרחב הקיברנטי, לפתח מערכת אקולוגית של זהות שתאפשר לצרכנים להשתמש בכל מערכת אימות ולהפעיל אותה בצורה חלקה בכל אתר. > מערכת כזו תוכל לוודא שאתה מבוגר מספיק כדי לקנות יין באינטרנט או שאתה זכאי להנחה של סטודנט, מבלי לשתף את כל המידע האישי שלך עם כל אתר, אומר ג'ים פנטון, מומחה האבטחה הראשי של OneID, מערכת לניהול זהויות באינטרנט. המערכת גם תאפשר לך לפעול תחת שם בדוי, אם זה מה שאתה רוצה להתגלגל. אבל גלגלי הממשלה נוטים לאט. בחודש שעבר, ועדת ההיגוי של NTSIC קיימה את הפגישה הראשונה. בין הנושאים שבסופו של דבר הם יצטרכו להתמודד, הם כמה מידע צריך להיות משותף בין הצדדים, וכמה צרכנים צריכים לשלוט על המידע הזה, אומר פנטון, חבר בקבוצת הפרטיות של ועדת ההיגוי.

במילים אחרות: עזרה הוא בדרך, אבל זה לא יגיע לכאן בקרוב. בינתיים, אנחנו תקועים עם סיסמאות. ליצור כמה טובים, ולוודא שהם תחת נעל ומפתח