Motløs av nedfallet fra Heartbleed? Du er ikke alene. Den lille feilen i verdens mest populære SSL-bibliotek stakk store hull i sikkerheten som pakket kommunikasjonen vår med alle slags skybaserte nettsteder, apper og tjenester - og hullene er ikke engang lappet enda.
Heartbleed-feilen tillot angripere å trekke tilbake den snusresistente foringen av OpenSSL og kikke på kommunikasjonen mellom klient og server. Dette ga hackere en titt på ting som passord og øktcookies, som er små biter av data som serveren sender deg etter at du har logget på, og nettleseren din sender tilbake hver gang du gjør noe for å bevise at det er deg. Og hvis feilen påvirket et finansielt nettsted, kan det hende at du har sett annen sensitiv informasjon du sendte gjennom nettet, for eksempel kredittkort eller skatteinformasjon.
Hvordan kan Internett best beskytte seg mot katastrofale feil som dette? Vi har noen ideer.
Ja, du trenger tryggere passord: Slik lager du dem
Ok, så bedre passord forhindrer ikke neste Heartbleed, men de kan redde deg fra å bli hacket en dag. Mange mennesker er bare forferdelig i å lage sikre passord.
Du har hørt alt før: ikke bruk "passord1", "passord2" osv. De fleste passord har ikke nok av det som kalles entropi - de er definitivtikke tilfeldig og devil bli gjettet om en angriper noen gang får muligheten til å gjette mange gjetninger, enten ved å hamre på tjenesten eller (mer sannsynlig) å stjele passordhashene - matematiske avledninger av passordene som kan kontrolleres, men ikke reverseres tilbake til det opprinnelige passordet.
Uansett hva du gjør, ikke bruk det samme passordet på mer enn ett sted.
Mange tjenesteleverandører nærmer seg dette problemet ved å kreve at brukerne har passord av en viss lengde, som inneholder tegnsetting og tall for å prøve å øke entropien. Den triste virkeligheten er imidlertid at regler som dette bare hjelper litt. Et bedre alternativ er lange setninger av faktiske, minneverdige ord - det som har blitt kjent som et "riktig hestebatteristift" -passord, til ære for denne XKCD-tegneserien som forklarer konseptet. Dessverre kan du (som jeg) støte på leverandører som ikke lar deg bruke passord som det. (Ja, det er finansinstitusjoner som gir deg 10 tegn. Nei, jeg vet ikke hva de røyker.)Passordadministrasjonsprogramvare eller tjenester som bruker end-to-end-kryptering kan også hjelpe. KeePass er et godt eksempel på førstnevnte; LastPass av sistnevnte. Beskytt e-posten din godt, da den kan brukes til å tilbakestille de fleste passordene dine. Og uansett hva du gjør, ikke bruk det samme passordet på mer enn ett sted - du ber bare om problemer.
Nettsteder må implementere engangspassord
OTP står for "engangspassord", og du kan allerede bruke det hvis du har satt opp et nettsted / en tjeneste som krever at du bruker Google Authenticator. De fleste av disse autentisatorene (inkludert Google) bruker en Internett-standard kalt TOTP, eller tidsbasert engangspassord, som er beskrevet her.
Hva er TOTP? I et nøtteskall genererer nettstedet du er på, et hemmelig nummer som sendes en gang til autentiseringsprogrammet ditt, vanligvis via en QR-kode. I den tidsbaserte variasjonen genereres et nytt sekssifret nummer fra det hemmelige nummeret hvert 30. sekund. Nettstedet og klienten (datamaskinen din) trenger ikke å kommunisere igjen; numre vises ganske enkelt på autentiseringsenheten din, og du leverer dem til nettstedet som forespurt i forbindelse med passordet ditt, og du er i. Det er også en variant som fungerer ved å sende de samme kodene til deg via en tekstmelding.
LastPass ’Android-app Fordeler med TOTP: Selv om Heartbleed eller en lignende feil skulle føre til avsløring av både passordet ditt og nummeret på autentisatoren din, har nettstedet du kommuniserer med nesten helt sikkert allerede merket nummeret som brukt, og det kan ikke brukes igjen — og det vil være uansett innen 30 sekunder. Hvis et nettsted ikke allerede tilbyr denne tjenesten, kan det sannsynligvis gjøre det relativt enkelt, og hvis du har praktisk talt hvilken som helst smarttelefon, kan du kjøre en autentisator. Det er litt upraktisk å konsultere telefonen din for å logge på, gitt, men sikkerhetsfordelen for alle tjenestene du bryr deg om, gjør det verdt det.
Risiko for TOTP: Bryte inn på en server a annerledes måte kan resultere i avsløring av det hemmelige nummeret, slik at angriperen kan opprette sin egen autentisator. Men hvis du bruker TOTP sammen med et passord som ikke er lagret av nettstedet - de fleste gode leverandører lagrer en hash som er sterkt motstandsdyktig mot reversering av det - så blir risikoen mellom de to redusert.
Kraften til klientsertifikater (og hva de er)
Du har sannsynligvis aldri hørt om klientsertifikater, men de har faktisk eksistert veldig lenge (selvfølgelig på internett). Årsaken til at du sannsynligvis ikke har hørt om dem, er at de er en jobb å få. Det er langt lettere å bare få brukerne til å velge et passord, så bare nettsteder med høy sikkerhet har en tendens til å bruke sertifikater.
Hva er et klientsertifikat? Kundesertifikater viser at du er personen du hevder du er. Alt du trenger å gjøre er å installere den (og en fungerer på mange nettsteder) i nettleseren din, og deretter velge å bruke den når et nettsted vil at du skal autentisere. Disse sertifikatene er en nær fetter av SSL-sertifikatene nettsteder bruker for å identifisere seg mot datamaskinen din.
Den mest effektive måten et nettsted kan beskytte dataene dine på er å aldri ha det i utgangspunktet.
Fordeler med klientsertifikater: Uansett hvor mange nettsteder du logger på med et klientsertifikat, er matematikkens kraft på din side; ingen vil kunne bruke det samme sertifikatet til å late som om du er, selv om de overholder økten din.
Risiko for klientsertifikater: Den primære risikoen for et klientsertifikat er at noen kan bryte seg inndin datamaskin og stjele den, men det er avbøtende risiko. Et annet potensielt problem er at typiske klientsertifikater inneholder identitetsinformasjon du kanskje ikke vil oppgi for hvert nettsted du bruker. Selv om klientsertifikater har eksistert for alltid, og det finnes arbeidsstøtte i webserverprogramvare, er det fortsatt mye arbeid å gjøre både på tjenesteleverandører og nettlesere for å få dem til å fungerevi vil. Fordi de brukes så sjelden, får de liten utviklingsoppmerksomhet.
Viktigst: End-to-end-kryptering
Den mest effektive måten et nettsted kan beskytte dataene dine på er å aldri ha det i utgangspunktet - i det minste ikke en versjon det kan lese. Hvis et nettsted kan lese dataene dine, kan en angriper med tilstrekkelig tilgang lese dataene dine. Dette er grunnen til at vi liker end-to-end-kryptering (E2EE).
Hva er end-to-end-kryptering? Dette betyr at du krypterer dataene på slutten, og denforblir kryptert til den når personen du har tenkt den til, eller den kommer tilbake til deg.
Fordeler med E2EE: End-to-end-kryptering er implementert i noen få tjenester allerede, som online backup-tjenester. Det er også svakere versjoner av det i noen meldingstjenester, spesielt de som dukket opp etter Snowden-avsløringene. Det er vanskelig for nettsteder å gjøre end-to-end-kryptering, men av to grunner: de kan trenge å se dataene dine for å tilby tjenesten deres, og nettlesere er forferdelige med å utføre E2EE. Men i en alder av smarttelefonappen er end-to-end-kryptering noe som kan og bør gjøres oftere. De fleste apper bruker ikke E2EE i dag, men vi håper vi ser mer av det fremover. Hvis appene dine ikke bruker E2EE til sensitive data, bør du klage.
Risiko for E2EE: For at end-to-end-kryptering skal fungere, må den gjøres over hele linjen - hvis en app eller et nettsted bare gjør det halvhjertet, kan hele korthuset kollapse. Ett stykke ukryptert data kan noen ganger brukes til å få tilgang til resten.Sikkerhet er et spill med svakest lenke; bare ett ledd i kjeden må ikke bryte den.
Så hva nå?
Det er tydeligvis ikke mye du som bruker kan kontrollere. Du vil være heldig å finne en tjeneste som bruker engangspassord med en autentisator. Men du bør absolutt snakke med nettsteder og apper du bruker og fortelle dem at du innser at feil i programvare skjer, og du tror de bør ta sikkerhet mer seriøst og ikke bare stole på passord.
Hvis mer av nettet bruker disse avanserte sikkerhetsmetodene, kanskje neste gang det er en programkatastrofe i Heartbleed-skala - og dervil være, til slutt - vi trenger ikke få panikk så mye.
[Bilde med tillatelse fra scyther5 / Shutterstock]
