Šiuo metu labai normalu girdėti apie duomenų pažeidimą. Pažeidimas gali įvykti naudojant populiarią paslaugą, pvz., „Gmail“ , arba programinę įrangą, kurią daugelis mūsų pamiršo, pvz., „MySpace“.
Vienas iš blogiausių dalykų, kurį įsilaužėlis gali sužinoti, yra jūsų slaptažodis. Tai ypač aktualu, jei prieštaraujate standartiniams patarimams ir naudojate tą patį prisijungimą keliose skirtingose platformose. Tačiau slaptažodžio apsauga nėra tik jūsų atsakomybė.
Taigi, kaip svetainės išsaugo jūsų slaptažodžius? Kaip jie saugo jūsų prisijungimo informaciją? O koks yra saugiausias būdas, kurį svetainės gali naudoti jūsų slaptažodžiams sekti?
Blogiausias scenarijus: slaptažodžiai išsaugomi paprastu tekstu
Apsvarstykite šią situaciją: buvo įsilaužta į didelę svetainę. Kibernetiniai nusikaltėliai apejo visas pagrindines svetainėje taikomas saugumo priemones ir gali pasinaudoti svetainės struktūros trūkumu. Jūs esate klientas. Toje svetainėje buvo išsaugota jūsų informacija. Svetainė užtikrina, kad jūsų slaptažodis yra saugus. Bet kas atsitiks, jei ši svetainė išsaugo jūsų slaptažodį paprastu tekstu?
Slaptažodžiai paprastu tekstu yra tarsi pelningas masalas. Jie nenaudoja algoritmų, todėl jų negalima perskaityti. Piratai gali skaityti slaptažodžius taip paprastai, kaip jūs skaitote šį straipsnį.
Nesvarbu, kokie sudėtingi yra jūsų slaptažodžiai: paprasto teksto duomenų bazė yra visų slaptažodžių sąrašas, aiškiai parašytas, įskaitant visus jūsų naudojamus skaičius ir papildomus simbolius.
Ir net jei įsilaužėliai nenulaužia svetainės, ar tikrai norite, kad svetainės administratorius matytų jūsų slaptus prisijungimo duomenis?
Galite manyti, kad tai labai reta problema, tačiau apskaičiuota, kad apie 30% elektroninės prekybos svetainių naudoja šį metodą klientų duomenims „apsaugoti“!
Paprastas būdas sužinoti, ar svetainė išsaugo slaptažodžius paprastu tekstu, jei iškart po prisiregistravimo gausite el. laišką iš svetainės su jūsų prisijungimo informacija. Tokiu atveju galbūt norėsite pakeisti visas kitas svetaines, kuriose naudojamas tas pats slaptažodis, ir susisiekti su įmone, kad įspėtų, kad jų sauga yra per prasta. Žinoma, 100% patvirtinti neįmanoma, bet tai gana aiškus ženklas ir svetainė tikrai neturėtų tokių dalykų siųsti el.
Kodavimas: skamba gerai, bet nėra tobulas
Daugelis svetainių naudoja šifravimą, kad apsaugotų vartotojų slaptažodžius. Šifravimo procesas sumaišo jūsų informaciją, todėl ji tampa neįskaitoma, kol du raktai – vienas turimas jūsų (tai yra jūsų prisijungimo duomenys), o kitas – atitinkamos įmonės – pasirodo kartu.
Šifravimą taip pat naudojote daugelyje kitų vietų. Veido ID iPhone yra šifravimo forma. Prieigos kodas yra tas pats. Internetas veikia šifruojant: HTTPS, kurį matote URL, reiškia, kad svetainė, kurioje lankotės, naudoja SSL arba TLS protokolą, kad patikrintų ryšį ir kauptų duomenis. Tačiau iš tikrųjų šifravimas nėra tobulas.
Šifravimas gali suteikti jums ramybę. Tačiau jei svetainė apsaugo jūsų slaptažodį naudodama savo slaptažodį, įsilaužėlis gali pavogti svetainės slaptažodį, tada surasti jūsų slaptažodį ir jį iššifruoti. Įsilaužėliams nereikės daug pastangų išsiaiškinti jūsų slaptažodį; Štai kodėl pagrindinės duomenų bazės visada yra didelis tikslas.
Jei jūsų svetainės raktas (slaptažodis) saugomas tame pačiame serveryje kaip ir slaptažodis, slaptažodis taip pat gali būti paprastas tekstas.
Maiša: stebėtinai paprasta (bet ne visada veiksminga)
Slaptažodžio maiša gali skambėti kaip žargonas, tačiau tai tiesiog saugesnė šifravimo forma.
Vietoj to, kad slaptažodis būtų saugomas paprastu tekstu, svetainė paleidžia slaptažodį naudodama maišos funkciją, pvz., MD5, saugų maišos algoritmą (SHA)-1 arba SHA-256, kuri paverčia slaptažodį visiškai kitokiu skaitmenų rinkiniu. Tai gali būti skaičiai, raidės ar bet kokie kiti simboliai.
Jūsų slaptažodis gali būti IH3artMU0. Jis gali virsti 7dVq$@ihT ir jei įsilaužėlis įsilaužs į duomenų bazę, tai viskas, ką jis mato. Piratai negali vėl iššifruoti pradinio slaptažodžio.
Deja, viskas nėra taip saugi, kaip manote. Šis metodas yra geresnis nei paprastas tekstas, bet vis tiek nekelia problemų kibernetiniams nusikaltėliams.
Svarbu, kad tam tikras slaptažodis generuotų tam tikrą maišą. Tam yra rimta priežastis: kiekvieną kartą, kai prisijungiate naudodami slaptažodį IH3artMU0, jis automatiškai pereina per tą maišą, o svetainė leidžia pasiekti, jei yra ta maiša ir svetainės duomenų bazėje.
Reaguodami į tai, įsilaužėliai sukūrė vaivorykštės lenteles, panašias į apgaulingus lapus. Tai maišos sąrašai, kuriuos kiti jau naudoja kaip slaptažodžius, kuriuos sudėtinga sistema gali greitai įveikti, pavyzdžiui, Brute Force ataka .
Jei pasirinkote tikrai prastą slaptažodį, jis bus aukštai ant vaivorykštės lentelės ir gali būti lengvai nulaužtas. Sudėtingi slaptažodžiai užtruks ilgiau.
Geriausias šiuo metu: „Salting“ ir „Slow Hash“.
Sūdymas yra vienas iš galingiausių metodų, naudojamų saugiausiose svetainėse
Nieko nėra neįveikiamo: įsilaužėliai visada aktyviai dirba, kad nulaužtų bet kokią naują apsaugos sistemą. Šiuo metu saugiausiose svetainėse įdiegtos stipresnės technologijos. Tai išmaniosios maišos funkcijos.
Sūdytos maišos yra pagrįstos kriptografine nonce, atsitiktiniu duomenų rinkiniu, sugeneruotu kiekvienam atskiram slaptažodžiui, kuris dažnai yra labai ilgas ir sudėtingas.
Šie papildomi skaitmenys pridedami prie slaptažodžio pradžios arba pabaigos (arba el. pašto ir slaptažodžio derinio) prieš jam pereinant per maišos funkciją, siekiant apsisaugoti nuo bandymų naudojant vaivorykštės lentelę.
Apskritai nėra jokių problemų, jei druskos saugomos tuose pačiuose serveriuose kaip maišos. Slaptažodžių rinkinio nulaužimas įsilaužėliams gali užtrukti daug laiko, o jei slaptažodžiai yra sudėtingi, tai dar sunkiau.
Štai kodėl visada turėtumėte naudoti stiprų slaptažodį, nesvarbu, kiek esate įsitikinę savo svetainės saugumu.
Svetainės taip pat naudoja lėtą maišą kaip papildomą priemonę. Garsiausios maišos funkcijos (MD5, SHA-1 ir SHA-256) egzistuoja jau kurį laiką ir yra plačiai naudojamos, nes jas gana lengva įdiegti.
Nors druska vis dar taikoma, lėtos maišos dar geriau apsisaugo nuo bet kokių atakų, kurios priklauso nuo greičio. Apribojus įsilaužėlių skaičių iki žymiai mažiau bandymų per sekundę, jų nulaužimas užtruks ilgiau, todėl bandymai bus mažiau vertingi, o sėkmės rodiklis bus mažesnis.
Kibernetiniai nusikaltėliai turi pasverti, ar verta pulti daug laiko reikalaujančias lėtas maišos sistemas, palyginti su „greitais pataisymais“. Pavyzdžiui, gydymo įstaigose dažnai yra mažesnis saugumas, todėl iš jų gautus duomenis vis tiek galima parduoti už stebėtinai dideles pinigų sumas.
Jei sistema patiria „stresą“, ji gali dar labiau sulėtėti. Coda Hale, buvęs Microsoft programinės įrangos kūrėjas, lygina MD5 su žymiausia lėtos maišos funkcija, bcrypt (kitos funkcijos apima PBKDF-2 ir scrypt):
"Užuot nulaužęs slaptažodžius kas 40 sekundžių (kaip naudojant MD5), aš juos nulaužčiau maždaug kas 12 metų (kai sistema naudoja bcrypt). Jūsų slaptažodžiams tikriausiai nereikia tokio saugumo ir jums gali prireikti greitesnio palyginimo algoritmo , bet „bcrypt“ leidžia pasirinkti greičio ir saugumo balansą“.
Kadangi lėtą maišą vis tiek galima atlikti greičiau nei per sekundę, naudotojai tai neturės įtakos.
„Microsoft“ operacinėje sistemoje „Windows Vista“ „DreamScene“ leido nustatyti dinamišką kompiuterių foną, tačiau po aštuonerių metų ji vis dar nepasiekiama „Windows 10“. Kodėl bėgant metams šis paprotys buvo grįžimas į praeitį ir ką galime padaryti, kad tai pakeistume?
Jei norime prie tinklo prijungti du nešiojamus kompiuterius, galime naudoti tinklo kabelį ir tada pakeisti dviejų kompiuterių IP adresus ir viskas.
Kai „Windows“ rodoma klaida „Neturite leidimo išsaugoti šioje vietoje“, tai neleis jums išsaugoti failų norimuose aplankuose.
„Syslog Server“ yra svarbi IT administratoriaus arsenalo dalis, ypač kai reikia tvarkyti įvykių žurnalus centralizuotoje vietoje.
524 klaida: Įvyko skirtasis laikas yra „Cloudflare“ specifinis HTTP būsenos kodas, nurodantis, kad ryšys su serveriu buvo nutrauktas dėl skirtojo laiko.
Klaidos kodas 0x80070570 yra dažnas klaidos pranešimas kompiuteriuose, nešiojamuosiuose kompiuteriuose ir planšetiniuose kompiuteriuose, kuriuose veikia „Windows 10“ operacinė sistema. Tačiau jis taip pat rodomas kompiuteriuose, kuriuose veikia „Windows 8.1“, „Windows 8“, „Windows 7“ ar senesnė versija.
Mėlynojo ekrano mirties klaida BSOD PAGE_FAULT_IN_NONPAGED_AREA arba STOP 0x00000050 yra klaida, kuri dažnai įvyksta įdiegus aparatinės įrangos tvarkyklę arba įdiegus ar atnaujinus naują programinę įrangą, o kai kuriais atvejais klaida yra dėl sugadinto NTFS skaidinio.
„Video Scheduler Internal Error“ taip pat yra mirtina mėlynojo ekrano klaida, ši klaida dažnai pasitaiko „Windows 10“ ir „Windows 8.1“. Šiame straipsnyje bus parodyta keletas būdų, kaip ištaisyti šią klaidą.
Norėdami pagreitinti „Windows 10“ paleidimą ir sutrumpinti įkrovos laiką, toliau pateikiami veiksmai, kuriuos turite atlikti norėdami pašalinti „Epic“ iš „Windows“ paleisties ir neleisti „Epic Launcher“ paleisti naudojant „Windows 10“.
Neturėtumėte išsaugoti failų darbalaukyje. Yra geresnių būdų saugoti kompiuterio failus ir išlaikyti tvarkingą darbalaukį. Šiame straipsnyje bus parodytos efektyvesnės vietos failams išsaugoti sistemoje „Windows 10“.
