Fallout Heartbleed: 4 Cara Mencegah Bencana Lain

penggodam

Tidak berpuas hati dengan kejatuhan dari Heartbleed? Kamu tidak keseorangan. Bug kecil di perpustakaan SSL paling terkenal di dunia menimbulkan lubang besar dalam keamanan yang membungkus komunikasi kami dengan semua jenis laman web, aplikasi, dan perkhidmatan berasaskan awan - dan lubang itu belum semuanya ditambal.

Bug Heartbleed memungkinkan penyerang mengupas kembali lapisan OpenSSL yang tahan pengintipan dan mengintip komunikasi antara klien dan pelayan. Ini memberi peretas melihat perkara seperti kata laluan dan kuki sesi, yang merupakan sekeping kecil data yang dihantar oleh pelayan kepada anda setelah anda log masuk dan penyemak imbas anda menghantar kembali setiap kali anda melakukan sesuatu untuk membuktikan bahawa ia adalah anda. Dan jika bug tersebut mempengaruhi laman web kewangan, maklumat sensitif lain yang anda lalui melalui Internet, seperti kad kredit atau maklumat cukai, mungkin telah dilihat.

Bagaimana Internet dapat melindungi dirinya daripada bencana seperti ini? Kami mempunyai beberapa idea.

Ya, anda memerlukan kata laluan yang lebih selamat: Inilah cara membuatnya

Baiklah, kata laluan yang lebih baik tidak akan menghalang Heartbleed yang seterusnya, tetapi kata kunci itu dapat menyelamatkan anda daripada diretas suatu hari nanti. Banyak orang hanya pandai membuat kata laluan selamat.

Anda pernah mendengar semuanya sebelum ini: jangan gunakan "password1", "password2" dan lain-lain. Kebanyakan kata laluan tidak cukup dengan apa yang disebut entropi - mereka pasti  tidak  rawak dan mereka  akan  dapat menebak jika penyerang mendapat peluang untuk membuat banyak tekaan, baik dengan memalu perkhidmatan atau (kemungkinan besar) mencuri hash kata laluan - matematik terbitan kata laluan yang dapat diperiksa tetapi tidak dibalikkan kembali ke kata laluan asal.

Apa sahaja yang anda lakukan, jangan gunakan kata laluan yang sama di lebih dari satu tempat.

Banyak penyedia perkhidmatan mendekati masalah ini dengan mengharuskan pengguna memiliki kata laluan dengan panjang tertentu, yang berisi tanda baca dan angka untuk meningkatkan entropi. Namun, kenyataan yang menyedihkan adalah bahawa peraturan seperti ini sedikit sebanyak dapat membantu. Pilihan yang lebih baik adalah frasa panjang kata-kata yang sebenarnya dan tidak dapat dilupakan — apa yang telah dikenali sebagai kata laluan "ruji bateri kuda yang betul", untuk menghormati komik XKCD ini yang menjelaskan konsepnya. Malangnya, anda mungkin (seperti saya) menemui penyedia yang tidak membenarkan anda menggunakan kata laluan seperti itu. (Ya, ada institusi kewangan yang memuatkan 10 watak. Tidak, saya tidak tahu apa yang mereka merokok.)

Perisian atau perkhidmatan pengurusan kata laluan yang menggunakan enkripsi end-to-end juga dapat membantu. KeePass adalah contoh yang baik dari yang pertama; LastPass yang terakhir. Jaga e-mel anda dengan baik, kerana dapat digunakan untuk menetapkan semula sebahagian besar kata laluan anda. Dan apa sahaja yang anda lakukan, jangan gunakan kata laluan yang sama di lebih dari satu tempat — anda hanya meminta masalah.

Laman web perlu menerapkan Kata Laluan Satu Kali

OTP bermaksud "kata laluan satu kali", dan anda mungkin sudah menggunakannya jika anda telah menyediakan laman web / perkhidmatan yang memerlukan anda menggunakan Google Authenticator. Sebilangan besar pengesahan ini (termasuk Google) menggunakan standard Internet yang disebut TOTP, atau Kata Laluan Sekali Waktu berdasarkan Masa, yang dijelaskan di sini.

Apa itu TOTP?  Ringkasnya, laman web yang anda gunakan menghasilkan nombor rahsia, yang diserahkan sekali ke program pengesah anda, biasanya melalui kod QR. Dalam variasi berdasarkan masa, nombor enam digit baru dihasilkan dari nombor rahsia itu setiap 30 saat. Laman web dan pelanggan (komputer anda) tidak perlu berkomunikasi lagi; nombor hanya ditunjukkan pada pengesah anda dan anda memberikannya ke laman web seperti yang diminta bersama dengan kata laluan anda, dan anda masuk. Terdapat juga variasi yang berfungsi dengan menghantar kod yang sama kepada anda melalui pesanan teks.

Aplikasi Android LastPass Aplikasi Android LastPass

Kelebihan TOTP:  Walaupun Heartbleed atau bug yang serupa mengakibatkan pendedahan kata laluan dan nombor anda pada pengesah anda, laman web yang anda berinteraksi hampir pasti telah menandakan nombor tersebut sebagai terpakai dan ia tidak dapat digunakan lagi —Dan akan tetap tidak sah dalam 30 saat. Sekiranya laman web belum menawarkan perkhidmatan ini, ia mungkin dapat melakukannya dengan mudah, dan jika anda mempunyai hampir semua telefon pintar, anda boleh menjalankan pengesah. Agak menyusahkan untuk menasihati telefon anda untuk log masuk, diberikan, tetapi faedah keselamatan untuk perkhidmatan yang anda hargai menjadikannya berbaloi.

Risiko TOTP:  Memecah masuk ke pelayan dengan cara yang berbeza boleh menyebabkan pengungkapan nombor rahsia, yang memungkinkan penyerang membuat pengesah mereka sendiri. Tetapi jika anda menggunakan TOTP bersama dengan kata laluan yang tidak disimpan oleh laman web - kebanyakan penyedia yang baik menyimpan hash yang sangat tahan terhadap reka bentuk terbalik - maka di antara keduanya, risiko anda akan diturunkan.

Kekuatan sijil pelanggan (dan apa itu)

Anda mungkin tidak pernah mendengar sijil pelanggan, tetapi sebenarnya mereka sudah lama (tentu saja dalam tahun Internet). Alasan anda mungkin belum pernah mendengarnya adalah bahawa mereka mesti mendapat pekerjaan. Jauh lebih mudah apabila pengguna memilih kata laluan, jadi hanya laman web keselamatan tinggi yang cenderung menggunakan sijil.

Apakah sijil pelanggan?  Sijil pelanggan membuktikan bahawa anda adalah orang yang anda dakwa. Yang harus anda lakukan ialah memasangnya (dan satu berfungsi di banyak laman web) di penyemak imbas anda, kemudian pilih untuk menggunakannya ketika laman web ingin anda mengesahkan. Sijil-sijil ini adalah sepupu dekat laman web sijil SSL yang digunakan untuk mengenal pasti diri mereka ke komputer anda.

Cara paling berkesan laman web dapat melindungi data anda adalah dengan tidak memilikinya sejak awal.

Kelebihan sijil pelanggan:  Tidak kira berapa banyak laman web yang anda log masuk dengan sijil pelanggan, kekuatan matematik ada di pihak anda; tiada siapa yang dapat menggunakan sijil yang sama untuk berpura-pura menjadi anda, walaupun mereka mengikuti sesi anda.

Risiko sijil pelanggan:  Risiko utama sijil pelanggan adalah seseorang boleh masuk ke   komputer anda dan mencurinya, tetapi terdapat pengurangan untuk risiko tersebut. Isu lain yang berpotensi adalah bahawa sijil pelanggan biasa membawa beberapa maklumat identiti yang mungkin tidak ingin anda dedahkan ke setiap laman web yang anda gunakan. Walaupun sijil pelanggan telah wujud selama-lamanya, dan sokongan kerja ada dalam perisian pelayan Web, masih banyak yang perlu dilakukan untuk kedua-dua penyedia perkhidmatan dan penyemak imbas untuk menjadikannya berfungsi dengan  baik . Kerana jarang digunakan, mereka tidak mendapat perhatian pembangunan.

Paling penting: Penyulitan hujung-ke-hujung

Kaedah paling berkesan yang dapat dilindungi oleh laman web untuk melindungi data anda adalah dengan tidak memilikinya sejak awal - sekurang-kurangnya, bukan versi yang dapat dibaca. Sekiranya laman web dapat membaca data anda, penyerang dengan akses yang mencukupi dapat membaca data anda. Inilah sebabnya mengapa kami menyukai enkripsi end-to-end (E2EE).

Apa itu enkripsi end-to-end?  Ini bermaksud bahawa anda mengenkripsi data di hujung anda, dan data tersebut  akan  disulitkan sehingga ia sampai kepada orang yang anda inginkan, atau ia kembali kepada anda.

Kelebihan E2EE:  Penyulitan end-to-end dilaksanakan dalam beberapa perkhidmatan seperti perkhidmatan sandaran dalam talian. Terdapat juga versi yang lebih lemah di beberapa perkhidmatan pesanan, terutama yang muncul setelah pernyataan Snowden. Sukar bagi laman web untuk melakukan enkripsi dari hujung ke hujung, kerana dua sebab: mereka mungkin perlu melihat data anda untuk menyediakan perkhidmatan mereka, dan penyemak imbas Web sangat teruk dalam melakukan E2EE. Tetapi pada zaman aplikasi telefon pintar, penyulitan hujung-ke-hujung adalah sesuatu yang boleh dan harus dilakukan lebih kerap. Sebilangan besar aplikasi tidak menggunakan E2EE hari ini, tetapi kami harap kita akan melihat lebih banyak lagi dari masa ke masa. Sekiranya aplikasi anda tidak menggunakan E2EE untuk data sensitif anda, anda harus mengeluh.

Risiko E2EE:  Agar enkripsi ujung ke ujung berfungsi, ia mesti dilakukan secara menyeluruh — jika aplikasi atau laman web hanya melakukannya dengan separuh hati, keseluruhan kad mungkin runtuh. Satu bahagian data yang tidak disulitkan kadang-kadang dapat digunakan untuk mendapatkan akses kepada yang lain. Keselamatan adalah permainan pautan paling lemah; hanya satu pautan dalam rantai yang mesti gagal memutuskannya.

Jadi, sekarang apa?

Jelas, tidak banyak yang dapat anda kendalikan, sebagai pengguna. Anda akan bernasib baik untuk mendapatkan perkhidmatan yang menggunakan kata laluan sekali dengan pengesah. Tetapi anda pasti harus bercakap dengan laman web dan aplikasi yang anda gunakan dan memberitahu mereka bahawa anda menyedari bug dalam perisian berlaku, dan anda fikir mereka harus menjaga keselamatan dengan lebih serius dan tidak hanya bergantung pada kata laluan.

Sekiranya lebih banyak Net menggunakan kaedah keselamatan lanjutan ini, mungkin lain kali ada bencana perisian berskala Heartbleed — dan   akhirnya akan ada — kita tidak perlu terlalu panik. 

[Gambar ihsan scyther5 / Shutterstock]