Comment les sites web garder vos mots de passe sécurisés?

Nous allons maintenant rarement un mois sans entendre parler une sorte de données breach- il pourrait être une mise à jour service comme Gmail

ou quelque chose plupart d`entre nous ont oublié, comme MySpace.Votre compte est Gmail Parmi 42 millions de lettres de créance Fuites?Votre compte est Gmail Parmi 42 millions de lettres de créance Fuites?Lire la suite

Facteur dans notre prise de conscience croissante des façons dont notre information privée est aspirés par Google, des médias sociaux (notamment Facebook), et même nos propres smartphones, et personne ne peut vous reprocher d`être un peu paranoïaque sur la façon dont les sites Web occupent quelque chose comme important que votre mot de passe.

En fait, pour la tranquillité d`esprit, cela est quelque chose que chacun a besoin de savoir ...

Le pire scénario de cas: Texte brut

Considérez ceci: Un site majeur a été piraté. Les cybercriminels ont franchi toutes les mesures de sécurité de base qu`il faut, peut-être prendre avantage d`une faille dans leur architecture. Vous êtes un client. Ce site a enregistré vos données. Heureusement, vous avez assuré votre mot de passe sécurisé.

Sauf que le site stocke votre mot de passe en texte brut.

Il a toujours été une bombe à retardement. les mots de passe en texte brut n`attendent d`être pillés. Ils utilisent aucun algorithme pour les rendre illisibles. Les pirates informatiques peuvent lire aussi simplement que vous lisez cette phrase.

Il est une pensée effrayante, est-ce pas? Peu importe la façon dont votre mot de passe est complexe, même si elle est pi à 30 chiffres: une base de données texte est une liste des mots de passe de chacun, énoncés clairement, y compris quel que soit le nombre supplémentaire et les caractères que vous utilisez. Même si les pirates ne pas fissurer le site, vous voulez vraiment admin pour pouvoir voir vos informations de connexion confidentielles?

Vous pourriez penser que cela est un problème très rare, mais on estime que 30% des sites de commerce électronique utiliser cette méthode pour « sécuriser » vos données - en fait, il y a un blog entier consacré à mettre en évidence ces délinquants! Jusqu`à l`année dernière, même les mots de passe de la LNH ainsi stockés, tout comme Adobe avant une violation majeure.

Shockingly, société de protection antivirus, McAfee utilise également le texte brut.

Un moyen facile de savoir si un site utilise est si, juste après la signature, vous recevez un e-mail de leur liste de vos informations de connexion. Très douteux. Dans ce cas, vous pouvez modifier les sites avec le même mot de passe et contacter la société pour les avertir que leur sécurité est préoccupante.

Cela ne signifie pas nécessairement qu`ils ne les stocker sous forme de texte, mais il est un bon indicateur - et ils devraient vraiment pas envoyer ce genre de chose dans les courriels de toute façon. Ils peuvent faire valoir que ils ont des pare-feu et al. pour protéger contre les cybercriminels, mais leur rappeler qu`aucun système est impeccable et miroiter la perspective de perdre des clients devant eux.

Ils vont bientôt changer leur esprit. Si tout va bien ...

Pas aussi bon que cela puisse paraître: chiffrement

Alors, que ces sites font?

Beaucoup se tournent vers le cryptage. Nous avons tous entendu parler: d`une manière apparemment imperméable de brouillage vos informations, ce qui rend illisible jusqu`à ce que deux clés - un par vous (tenue c`est vos informations de connexion), et l`autre par la société en question - sont présentés. Il est une excellente idée, celui que vous devriez même mettre en œuvre sur votre smartphone et d`autres appareils.7 raisons pour lesquelles vous devriez Chiffrez vos données pour téléphones intelligents7 raisons pour lesquelles vous devriez Chiffrez vos données pour téléphones intelligentsChiffrez-vous votre appareil? Tous les principaux systèmes d`exploitation de smartphones offrent un chiffrement de l`appareil, mais si vous l`utiliser? Voici pourquoi le chiffrement des smartphones est utile, et n`affectera pas la façon dont vous utilisez votre smartphone.Lire la suite

L`Internet fonctionne sur le cryptage: lorsque vous voir HTTPS dans l`URL, cela signifie que le site que vous utilise soit la Secure Sockets Layer (SSL) ou Transport Layer Security (TLS) Protocoles à vérifier les connexions et pêle-mêle des données.

Mais malgré ce que vous avez peut-être entendu, le cryptage est pas parfait.Ne croyez pas ces 5 mythes sur le cryptage!Ne croyez pas ces 5 mythes sur le cryptage!Le chiffrement semble complexe, mais il est beaucoup plus simple que la plupart pensent. Quoi qu`il en soit, vous pourriez vous sentir un peu trop dans le noir pour utiliser le cryptage, donc nous allons buste certains mythes de cryptage!Lire la suite

Il doit être sûr, mais il est aussi sûr que les clés où sont stockées. Si un site Web protège votre clé (par exemple un mot de passe) en utilisant leur propre, un pirate pourrait exposer ce dernier afin de trouver l`ancien et le déchiffrer. Il faudrait relativement peu d`effort d`un voleur pour trouver votre qui est pourquoi un mot de passe des bases de données clés sont une cible énorme.

En gros, si leur clé est stockée sur le même serveur que le vôtre, votre mot de passe pourrait aussi bien être en texte clair. Voilà pourquoi le site mentionné ci-dessus PlainTextOffenders énumère également des services qui utilisent le chiffrement réversible.

Étonnamment simple (mais pas toujours efficace): Hashage

Maintenant, nous recevons quelque part. mots de passe hachant sonne comme jargon non-sens, mais il est tout simplement une forme de cryptage plus sécurisé.Tech Jargon: En savoir 10 Nouveaux mots récemment ajoutés au dictionnaire [Bizarre & Web merveilleux]Tech Jargon: En savoir 10 Nouveaux mots récemment ajoutés au dictionnaire [Bizarre & Web merveilleux]La technologie est la source de beaucoup de mots nouveaux. Si vous êtes un geek et un amant de mot, vous allez adorer ces dix qui ont été ajoutés à la version en ligne de l`Oxford English Dictionary.Lire la suite

Au lieu de stocker votre mot de passe en texte brut, un site fonctionne à travers un fonction de hachage, comme MD5, Algorithme SHA (SHA) -1, ou SHA-256, ce qui le transforme en un ensemble tout à fait différent de ceux-ci peuvent être chiffres- chiffres, des lettres ou d`autres caractères. Votre mot de passe pourrait être IH3artMU0. Cela pourrait se transformer en 7dVq $ @ IHT, et si un pirate ont fait irruption dans une base de données, qui est tout ce qu`ils peuvent voir. Et il ne fonctionne que dans un sens. Vous ne pouvez pas le décoder en arrière.

Malheureusement, ce n`est pas cette garantir. Il vaut mieux que du texte brut, mais il est encore assez standard pour les cybercriminels. La clé est qu`un mot de passe spécifique produit un hachage spécifique. Il y a une bonne raison pour cela: chaque fois que vous ouvrez une session avec le mot de passe IH3artMU0, il passe automatiquement par cette fonction de hachage et le site vous permet d`accéder, si ce hachage et une dans le match de la base de données du site.

Cela signifie également que les pirates ont développé des tables arc-en-une liste de hash, déjà utilisés par d`autres mots de passe, qu`un système sophistiqué peut rapidement courir à travers comme une attaque par force brute. Si vous avez choisi un mot de passe scandaleusement mauvais, ce sera élevé sur les tables arc-en-et pourrait être facilement cracked- les plus obscurs - combinaisons particulièrement étendues - prendra plus de temps.Qu`est-ce que la Force Brute Les attaques et comment peuvent-ils vous protéger?Qu`est-ce que la Force Brute Les attaques et comment peuvent-ils vous protéger?Yyou`ve probablement entendu l`expression "attaque de force brute." Mais qu`est ce que cela veut dire exactement? Comment ça marche? Et comment pouvez-vous vous protéger? Voici ce que vous devez savoir.Lire la suite

"Quel est le mot de passe?"
« Est-ce ... est ce chien? »
* Réunion étouffés derrière la porte *
« Vous pouvez entrer. » Pic.twitter.com/jWIhtCNrJL

- Animaux Awkward bébé (@SoVeryAwkward) 16 Août, 2016

Comment peut-il être mauvais? Retour en 2012, LinkedIn a été piraté. Les adresses électroniques et leurs hash correspondants ont été divulgués. C`est 177,5 millions hash, affectant 164,6 millions d`utilisateurs. Vous pourriez comprendre ce n`est pas trop de souci: ils sont juste une charge de chiffres aléatoires. Jolie indéchiffrable, non? Deux biscuits professionnels ont décidé de prélever un échantillon de 6,4 millions de hash et de voir ce qu`ils pouvaient faire.Ce que vous devez savoir sur Massive comptes LinkedIn fuiteCe que vous devez savoir sur Massive comptes LinkedIn fuiteUn pirate se vend 117 millions piraté références LinkedIn sur le Web noir pour environ 2 200 $ en Bitcoin. Kevin Shabazi, PDG et fondateur de LogMeOnce, nous aide à comprendre tout ce qui est en danger.Lire la suite

Ils fissurés 90% d`entre eux en moins d`une semaine.

As Good as It Gets: salaison et Hashes lent

Aucun système est inattaquable - les pirates travailleront naturellement à craquer de nouveaux systèmes de sécurité - mais les techniques mises en œuvre plus solides par les sites les plus sûrs sont plus intelligents hash.Mythbusters: Conseils de sécurité dangereux Vous ne devriez pas suivreMythbusters: Conseils de sécurité dangereux Vous ne devriez pas suivreQuand il vient à la sécurité Internet, tout le monde et leur cousin a des conseils à vous offrir sur les meilleurs logiciels pour installer, les sites louches à rester à l`écart, ou les meilleures pratiques en matière de ...Lire la suite

hash Salted sont basés sur la pratique d`un nonce cryptographique, un ensemble de données aléatoires générées pour chaque mot de passe individuel, généralement très longue et très complexe. Ces chiffres supplémentaires sont ajoutés au début ou à la fin d`un mot de passe (ou une combinaison de messagerie électronique mot de passe) avant qu`il ne passe par la fonction de hachage, afin de lutter contre les tentatives faites en utilisant des tables arc en ciel.

Il n`a généralement pas d`importance si les sels sont stockés sur les mêmes serveurs que hashes- craquage d`un ensemble de mots de passe peut être temps extrêmement long pour les pirates, a fait encore plus difficile si votre mot de passe lui-même est excessive et complexe. Voilà pourquoi vous devriez toujours utiliser un mot de passe, peu importe combien vous avez confiance à la sécurité d`un site.6 conseils pour créer un mot de passe que vous pouvez Incassable Rappelez-vous6 conseils pour créer un mot de passe que vous pouvez Incassable Rappelez-vousSi vos mots de passe ne sont pas uniques et incassable, vous pourriez aussi bien ouvrir la porte d`entrée et d`inviter les voleurs pour le déjeuner.Lire la suite

Les sites Web qui prennent leur, et par extension votre, la sécurité en particulier sont de plus en plus sérieusement ralentir tournent vers hash comme une mesure supplémentaire. Les fonctions de hachage les plus connues (MD5, SHA-1 et SHA-256) ont été autour d`un certain temps, et sont largement utilisés parce qu`ils sont relativement faciles à mettre en œuvre, et d`appliquer hash très rapide.

Tout en appliquant des sels, hash lents sont encore mieux à lutter contre les attaques qui se fondent sur Speed- en limitant les pirates à des tentatives beaucoup moins par seconde, il les prend plus de temps à se fissurer, ce qui rend les tentatives moins la peine, compte tenu également le taux de réussite réduit. Les cybercriminels doivent peser si cela vaut la peine d`attaquer les systèmes de hachage lent chronophages plus comparativement « solutions rapides »: institutions médicales ont généralement moins de sécurité, par exemple, afin que les données qui pourraient être obtenues à partir de là peut être encore vendus sur des sommes surprenantes.5 raisons pour lesquelles le vol d`identité médicale augmente5 raisons pour lesquelles le vol d`identité médicale augmenteScammers veulent vos coordonnées personnelles et coordonnées bancaires - mais saviez-vous que vos dossiers médicaux sont également d`intérêt pour eux? Découvrez ce que vous pouvez faire à ce sujet.Lire la suite

Il est également très adaptable: si un système est sous pression particulière, il peut alors ralentir encore plus loin. Coda Hale, ancien logiciel Principe développeur de Microsoft, compare MD5 peut-être la plus notable fonction de hachage lent, Bcrypt (autres comprennent PBKDF-2 et scrypt):

« Au lieu de craquage d`un mot de passe toutes les 40 secondes [comme avec MD5], je serais les craquais tous les 12 ans environ [lorsqu`un système utilise bcrypt]. Vos mots de passe pourraient ne pas besoin de ce genre de sécurité et vous pourriez avoir besoin d`un algorithme de comparaison plus rapide, mais bcrypt vous permet de choisir l`équilibre de la vitesse et la sécurité « .

Et parce qu`un hachage lent peut encore être mis en œuvre en moins d`une seconde, les utilisateurs ne devraient pas être affectés.

En quoi est-ce important?

Lorsque nous utilisons un service en ligne, nous entrons dans un contrat de confiance. Vous devriez être en sécurité en sachant que vos renseignements personnels sont conservés en lieu sûr.

Stockage de votre mot de passe en toute sécurité est particulièrement important. En dépit de nombreux avertissements, beaucoup d`entre nous utilisent la même pour les différents sites, donc s`il y a, par exemple, une violation Facebook, vos informations de connexion pour d`autres sites que vous fréquentez en utilisant le même mot de passe peut aussi être un livre ouvert pour les cybercriminels.Le guide complet de sécurisation Simplifier et votre vie avec LastPass et XmarksLe guide complet de sécurisation Simplifier et votre vie avec LastPass et XmarksAlors que les moyens de nuages, vous pouvez facilement accéder à vos informations importantes où que vous soyez, cela signifie aussi que vous avez beaucoup de mots de passe pour garder la trace. Voilà pourquoi LastPass a été créé.Lire la suite

Avez-vous découvert des délinquants Texte brut? Quels sont les sites faites-vous confiance implicitement? Que pensez-vous est l`étape suivante pour le stockage de mot de passe sécurisé?