У цей час почути про витік даних – це цілком нормально. Порушення може статися через популярну службу, як-от Gmail , або програмне забезпечення, про яке більшість із нас забули, як-от MySpace.
Одна з найгірших речей, яку може дізнатися хакер, це ваш пароль. Це особливо вірно, якщо ви суперечите стандартним порадам і використовуєте той самий логін на кількох різних платформах. Але захист паролем — це не лише ваша відповідальність.
Отже, як веб-сайти зберігають ваші паролі? Як вони зберігають вашу інформацію для входу в безпеку? І який найбезпечніший метод веб-сайти можуть використовувати для відстеження ваших паролів?
Найгірший сценарій: паролі зберігаються у вигляді звичайного тексту
Розглянемо таку ситуацію: великий веб-сайт було зламано. Кіберзлочинці обійшли будь-які базові заходи безпеки, які застосовуються на веб-сайті, і можуть скористатися недоліком у структурі сайту. Ви клієнт. Цей веб-сайт зберігає ваші дані. Сайт гарантує безпеку вашого пароля. Але що станеться, якщо цей веб-сайт збереже ваш пароль у вигляді звичайного тексту?
Паролі у вигляді звичайного тексту схожі на прибуткову приманку. Вони не використовують алгоритми, тому їх неможливо прочитати. Хакери можуть зчитувати паролі так само просто, як ви читаєте цю статтю.
Немає значення, наскільки складні ваші паролі: звичайна текстова база даних – це чітко виписаний список паролів кожного, включаючи будь-які цифри та додаткові символи, які ви використовуєте.
І навіть якщо хакери не зламають веб-сайт, чи справді ви хочете, щоб якийсь адміністратор веб-сайту міг бачити ваші секретні дані для входу?
Ви можете подумати, що це дуже рідкісна проблема, але за оцінками, близько 30% сайтів електронної комерції використовують цей метод для «захисту» даних клієнтів!
Найпростіший спосіб дізнатися, чи веб-сайт зберігає паролі у вигляді звичайного тексту, це якщо відразу після реєстрації ви отримаєте електронний лист від веб-сайту з вашими даними для входу. У такому випадку ви можете змінити будь-які інші сайти, які використовують той самий пароль, і зв’язатися з компанією, щоб попередити їх, що їхній захист надто низький. Звичайно, це неможливо підтвердити на 100%, але це досить чітка ознака, і сайт справді не повинен надсилати такі речі електронними листами.
Кодування: звучить добре, але не ідеально
Багато веб-сайтів використовують шифрування для захисту паролів користувачів. Процес шифрування кодує вашу інформацію, роблячи її нечитабельною, доки два ключі – один у вас (це ваші дані для входу), а інший у відповідної компанії – не з’являться разом.
Ви також використовували шифрування в багатьох інших місцях. Face ID на iPhone є формою шифрування. Пароль той самий. Інтернет працює з шифруванням: HTTPS, який ви бачите в URL-адресі, означає, що веб-сайт, який ви відвідуєте, використовує протокол SSL або TLS для перевірки з’єднання та збору даних. Але насправді шифрування не ідеальне.
Шифрування може дати вам спокій. Але якщо сайт захищає ваш пароль за допомогою власного пароля, хакер може викрасти пароль сайту, а потім знайти ваш пароль і розшифрувати його. Хакерам не потрібно буде багато зусиль, щоб з’ясувати ваш пароль; Ось чому великі бази даних завжди є великою ціллю.
Якщо ключ вашого сайту (пароль) зберігається на тому самому сервері, що й ваш пароль, ваш пароль також може бути у вигляді звичайного тексту.
Хеш: напрочуд простий (але не завжди ефективний)
Хешування пароля може звучати як жаргон, але це просто безпечніша форма шифрування.
Замість того, щоб зберігати пароль у звичайному тексті, веб-сайт запускає пароль через хеш-функцію, як-от MD5, безпечний алгоритм хешування (SHA)-1 або SHA-256, яка перетворює пароль на зовсім інший набір цифр. Це можуть бути цифри, букви або будь-які інші символи.
Ваш пароль може бути IH3artMU0. Це може перетворитися на 7dVq$@ihT , і якщо хакер зламає базу даних, це все, що він може побачити. Хакери не можуть знову розшифрувати вихідний пароль.
На жаль, все не так безпечно, як ви думаєте. Цей метод кращий, ніж звичайний текст, але все одно не є проблемою для кіберзлочинців.
Важливо те, що певний пароль генерує певний хеш. Для цього є вагома причина: кожного разу, коли ви входите в систему з паролем IH3artMU0, він автоматично проходить через цей хеш, і сайт надає вам доступ, якщо цей хеш і хеш у базі даних сайту збігаються.
У відповідь хакери розробили райдужні таблиці, схожі на шпаргалки. Це списки хешів, які вже використовуються іншими як паролі, які складна система може швидко пройти, як атака грубою силою .
Якщо ви вибрали справді невдалий пароль, він буде високо в райдужній таблиці, і його можна буде легко зламати. Складні паролі займуть більше часу.
Найкраще на даний момент: Salting і Slow Hash
Соління є одним із найпотужніших методів, який реалізується на більшості безпечних веб-сайтів
Немає нічого непроникного: хакери завжди активно працюють над тим, щоб зламати будь-яку нову систему безпеки. Наразі існують сильніші методи, реалізовані на найбезпечніших веб-сайтах. Це розумні хеш-функції.
Засолені хеші базуються на криптографічному nonce, випадковому наборі даних, згенерованому для кожного окремого пароля, який часто є дуже довгим і складним.
Ці додаткові цифри додаються до початку чи кінця пароля (або комбінації електронної пошти та пароля) перед тим, як він проходить через хеш-функцію, для захисту від спроб, зроблених за допомогою веселкової таблиці.
Загалом немає проблем, якщо солі зберігаються на тих самих серверах, що й хеші. Злом набору паролів може зайняти у хакерів багато часу, і це ще складніше, якщо ваші паролі складні.
Ось чому ви завжди повинні використовувати надійний пароль, незалежно від того, наскільки ви впевнені в безпеці свого веб-сайту.
Веб-сайти також використовують повільні хеші як додаткову міру. Найвідоміші хеш-функції (MD5, SHA-1 і SHA-256) існують уже деякий час і широко використовуються, оскільки їх відносно легко реалізувати.
Хоча сіль все ще має місце, повільні хеші ще краще захищаються від будь-яких атак, які покладаються на швидкість. Обмежуючи хакерів значно меншою кількістю спроб за секунду, їм знадобиться більше часу для злому, що робить спроби менш цінними, а також знижує рівень успіху.
Кіберзлочинці повинні зважити, чи варто атакувати повільні хеш-системи, які потребують багато часу, чи «швидкі виправлення». Наприклад, медичні установи часто мають нижчу безпеку, тому дані, отримані з них, все ще можуть бути продані за дивовижні гроші.
Якщо система перебуває під «стресом», вона може сповільнитися ще більше. Кода Хейл, колишній розробник програмного забезпечення Microsoft, порівнює MD5 з найвідомішою повільною хеш-функцією bcrypt (інші функції включають PBKDF-2 і scrypt):
«Замість того, щоб зламувати паролі кожні 40 секунд (як у випадку з MD5), я б зламував їх кожні 12 років або близько того (коли система використовує bcrypt). Можливо, ваші паролі не потребують такого захисту, і вам може знадобитися швидший алгоритм порівняння. , але bcrypt дозволяє вибрати баланс між швидкістю та безпекою».
І оскільки повільне хешування все одно може бути виконано менше ніж за секунду, це не вплине на користувачів.
В операційній системі Windows Vista від Microsoft DreamScene дозволяв налаштовувати динамічний фон для комп’ютерів, але через вісім років він все ще не доступний у Windows 10. Чому протягом багатьох років цей звичай став поверненням до минулого, і що ми можемо зробити, щоб це змінити?
Якщо ми хочемо підключити два ноутбуки до мережі, ми можемо використати мережевий кабель, а потім змінити IP-адреси двох комп’ютерів, і все.
Коли Windows відображає помилку «У вас немає дозволу на збереження в цьому місці», це не дозволить вам зберегти файли в потрібні папки.
Сервер Syslog є важливою частиною арсеналу ІТ-адміністратора, особливо коли мова йде про централізоване керування журналами подій.
Помилка 524: Виник тайм-аут – це специфічний для Cloudflare код статусу HTTP, який вказує на те, що з’єднання із сервером закрито через тайм-аут.
Код помилки 0x80070570 є поширеним повідомленням про помилку на комп’ютерах, ноутбуках і планшетах під керуванням операційної системи Windows 10. Однак він також з’являється на комп’ютерах під керуванням Windows 8.1, Windows 8, Windows 7 або раніших версій.
Помилка «синій екран смерті» BSOD PAGE_FAULT_IN_NONPAGED_AREA або STOP 0x00000050 — це помилка, яка часто виникає після встановлення драйвера апаратного пристрою або після встановлення чи оновлення нового програмного забезпечення. У деяких випадках причиною помилки є пошкоджений розділ NTFS.
Внутрішня помилка відеопланувальника також є смертельною помилкою синього екрана, ця помилка часто виникає в Windows 10 і Windows 8.1. Ця стаття покаже вам кілька способів виправлення цієї помилки.
Щоб пришвидшити завантаження Windows 10 і скоротити час завантаження, нижче наведено кроки, які потрібно виконати, щоб видалити Epic із автозавантаження Windows і запобігти запуску Epic Launcher з Windows 10.
Не слід зберігати файли на робочому столі. Існують кращі способи зберігання комп’ютерних файлів і підтримки порядку на робочому столі. Наступна стаття покаже вам ефективніші місця для збереження файлів у Windows 10.
