¿Cómo sitios web guardan sus contraseñas seguras?

Ahora rara vez ir un mes sin oír hablar de algún tipo de datos breach- podría ser una puesta al día servicio como Gmail o algo más de nosotros hemos olvidado, como MySpace.Es su cuenta de Gmail Entre 42 millones de credenciales filtrados?Es su cuenta de Gmail Entre 42 millones de credenciales filtrados?Lee mas

Factor en nuestra creciente conciencia de las formas en que nuestra información privada se aspirado por Google, medios de comunicación social (en especial Facebook), E incluso nuestros propios teléfonos inteligentes, y nadie puede culpar por ser un poco paranoico acerca de cómo los sitios web se ocupan de algo tan importante como su contraseña.

De hecho, para su tranquilidad, esto es algo que cada uno tiene que saber ...

El peor de los casos: Texto sin formato

Considere esto: Un sitio web importante ha sido hackeado. Los cibercriminales han roto a través de las medidas de seguridad básicas que se necesita, tal vez aprovechando un defecto en su arquitectura. Eres un cliente. Ese sitio ha guardado sus datos. Afortunadamente, usted ha estado seguro de que su contraseña es segura.

9415848746_b33a9831d7_z

Excepto ese sitio almacena la contraseña como texto sin formato.

Siempre era una bomba de tiempo. contraseñas en texto plano están a la espera de ser robado. Utilizan ningún algoritmo para hacerlos ilegibles. Los hackers pueden leerlo tan simple como usted está leyendo esta frase.

Es un pensamiento de miedo, ¿verdad? No importa la complejidad de su contraseña, incluso si es pi con 30 dígitos: una base de datos de texto sin formato es una lista de las contraseñas de todos, le expliquen con claridad, incluyendo cualesquiera números y caracteres adicionales que utilice. Incluso si los hackers no hacer romper el sitio, ¿de verdad quieres administrador para poder ver sus datos confidenciales de acceso?

Se podría pensar que esto es un problema muy raro, pero se estima que el 30% de los sitios web de comercio electrónico utiliza este método para “asegurar” sus datos - de hecho, hay todo un blog dedicado a resaltar estos delincuentes! Hasta el año pasado, aunque la NHL almacena las contraseñas de esta manera, al igual que Adobe ante un incumplimiento importante.

Sorprendentemente, la firma de la protección antivirus, McAfee también utiliza texto sin formato.

Una manera fácil de descubrir si un sitio utiliza esto es si, justo después de inscribirse, recibirá un correo electrónico de ellos una lista de sus datos de acceso. Muy poco fiables. En ese caso, es posible que desee cambiar cualquier sitio con la misma contraseña y ponerse en contacto con la empresa para alertarlos de que su seguridad es preocupante.

No significa necesariamente que hacen guardarlos como texto sin formato, pero es un buen indicador - y que realmente no debería estar enviando ese tipo de cosas en los correos electrónicos de todos modos. Pueden argumentar que tienen cortafuegos et al. para proteger contra los delincuentes, pero les recuerdo que ningún sistema es impecable y colgar la perspectiva de perder clientes frente a ellos.

Que pronto cambian de opinión. Ojalá…

No es tan bueno como parece: Encriptación

Entonces, ¿qué hacen estos sitios?

Muchos a su vez a la encriptación. Todos hemos oído hablar de ello: una forma aparentemente impermeable de codificar su información, haciendo que resulte ilegible hasta dos llaves - uno en poder de usted (que es sus datos de acceso), y el otro por la empresa en cuestión - se presentan. Es una gran idea, que incluso se debe aplicar en su smartphone y otros dispositivos.7 razones por las que debe cifrar los datos del smartphone7 razones por las que debe cifrar los datos del smartphone¿Está la encriptación del dispositivo? Todos los principales sistemas operativos de teléfonos inteligentes ofrecen cifrado de dispositivos, pero deberían usarlo? He aquí por qué el cifrado de teléfonos inteligentes es que vale la pena, y no afectará el modo de usar su teléfono inteligente.Lee mas

23771568875_09e67f020b_o

El Internet se ejecuta en el cifrado: cuando ver HTTPS en la URL, eso significa que el sitio que está en está utilizando ya sea el Secure Sockets Layer (SSL) o Transport Layer Security (TLS) Protocolos verificar las conexiones y la seguridad de los datos jumble.

Pero a pesar de lo que usted puede haber oído, el cifrado no es perfecto.No creemos que estos 5 mitos sobre el cifrado!No creemos que estos 5 mitos sobre el cifrado!Cifrado suena complejo, pero es mucho más sencillo que la mayoría piensa. No obstante, se puede sentir un poco demasiado en la oscuridad para hacer uso de la encriptación, así que vamos a Busto de algunos mitos de cifrado!Lee mas

Debe ser seguro, pero es tan segura como la que se almacenan las claves. Si un sitio web está protegiendo su clave (es decir, la contraseña) utilizando su cuenta, un hacker podría exponer a este último con el fin de encontrar la primera y descifrarlo. Se requeriría relativamente poco esfuerzo por parte de un ladrón para encontrar su por contraseña es por eso que las bases de datos son un objetivo clave masiva.

Básicamente, si su clave se almacena en el mismo servidor que el suyo, su contraseña bien podría ser en texto plano. Es por eso que el sitio antes mencionado PlainTextOffenders también enumera los servicios que utilizan cifrado reversible.

Sorprendentemente simple (pero no siempre eficaz): Hashing

20971786578_c870e94ba8_z

Ahora estamos llegando a alguna parte. hash contraseñas suena como jerga sin sentido, pero es simplemente una forma más segura de cifrado.Tecnología de lenguaje técnico: aprender 10 palabras nuevas al Recientemente se agregó al diccionario [extraño & Maravillosa Web]Tecnología de lenguaje técnico: aprender 10 palabras nuevas al Recientemente se agregó al diccionario [extraño & Maravillosa Web]La tecnología es la fuente de muchas palabras nuevas. Si usted es un friki y un amante de la palabra, le encantará estos diez que se añade a la versión en línea del Diccionario Oxford de Inglés.Lee mas

En lugar de almacenar la contraseña en texto plano, un sitio se ejecuta a través de una función hash, como MD5, Algoritmo de hash seguro (SHA) -1, o SHA-256, que lo transforma en un conjunto totalmente diferente de digits- estos pueden ser números, letras o cualquier otro carácter. Su contraseña podría ser IH3artMU0. Eso podría convertir en 7dVq $ @ IHT, y si un hacker se rompió en una base de datos, eso es todo lo que pueden ver. Y funciona de una sola manera. No se puede decodificar de nuevo.

Por desgracia, no es ese seguro. Es mejor que el texto sin formato, pero aún así es bastante estándar para los cibercriminales. La clave es que una contraseña específica produce un hash específica. Hay una buena razón para ello: cada vez que se conecte con la contraseña IH3artMU0, éste pasa automáticamente a través de esa función hash y el sitio web le permite tener acceso si ese hash y el que está en juego la base de datos del sitio.

También significa que los hackers han desarrollado tablas de arco iris, una lista de hashes, ya utilizados por otros como contraseñas, que un sofisticado sistema puede ejecutar rápidamente a través de lo un ataque de fuerza bruta. Si usted ha escogido una malísimos contraseña, que va a ser alto en las tablas de arco iris y podría ser fácilmente cracked- los más oscuros - particularmente extensas combinaciones - tomará más tiempo.¿Cuáles son los ataques de fuerza bruta y cómo puede protegerse?¿Cuáles son los ataques de fuerza bruta y cómo puede protegerse?Yyou`ve probablemente ha escuchado la frase "ataque de fuerza bruta." Pero, ¿qué es, exactamente, qué significa? ¿Como funciona? Y cómo puede protegerse contra ella? Esto es lo que necesita saber.Lee mas

¿Qué tan malo puede ser? De nuevo en 2012, LinkedIn fue hackeada. se filtraron direcciones de correo electrónico y sus correspondientes valores hash. Eso es 177,5 millones de hashes, que afectan a 164,6 millones de usuarios. Es posible imaginar que no es demasiado de una preocupación: que son sólo una carga de dígitos al azar. Bastante indescifrable, ¿verdad? Dos galletas profesionales decidieron tomar una muestra de 6,4 millones de hashes y ver lo que podían hacer.Lo que usted necesita saber sobre la masiva fuga de cuentas de LinkedInLo que usted necesita saber sobre la masiva fuga de cuentas de LinkedInUn hacker es la venta de 117 millones de credenciales de LinkedIn hackeado en la web oscuro por alrededor de 2.200 $ en Bitcoin. Kevin Shabazi, CEO y fundador de LogMeOnce, nos ayuda a comprender exactamente lo que está en riesgo.Lee mas

Reprimieron el 90% de ellos en poco menos de una semana.

Como Mejor imposible: Salazón y hashes Lento

Ningún sistema es inexpugnable - los piratas informáticos, naturalmente, trabajar para romper cualquier nuevo sistema de seguridad - pero las técnicas más fuertes implementado por los sitios más seguros hashes son más inteligentes.Mythbusters: Peligroso Consejo Medidas de seguridad Usted no debe seguirMythbusters: Peligroso Consejo Medidas de seguridad Usted no debe seguirCuando se trata de la seguridad de Internet, todo el mundo y su prima tiene consejos para ofrecerle sobre los mejores paquetes de software para instalar, sitios poco fiables a mantenerse alejados de cualquier o mejores prácticas cuando se trata de ...Lee mas

2435626898_b04c5e7f1f_z

hashes salados se basan en la práctica de un nonce criptográfica, un conjunto de datos aleatorio generado para cada contraseña individual, típicamente muy largo y muy complejo. Estos dígitos adicionales se agregan al principio o al final de una contraseña (o combinaciones de correo electrónico en contraseñas) antes de que pase a través de la función hash, con el fin de luchar contra los intentos hechos usando tablas de arco iris.

Por lo general, no importa si las sales se almacenan en los mismos servidores como hashes- agrietando un conjunto de contraseñas puede ser enormemente el tiempo que consume para los hackers, hecho aún más difícil si su contraseña en sí es excesiva y complicada. Es por eso que siempre se debe utilizar una contraseña segura, no importa cuánto confía en la seguridad de un sitio.6 consejos para crear una contraseña irrompible que pueda recordar6 consejos para crear una contraseña irrompible que pueda recordarSi las contraseñas no son únicos e irrompible, que también podría abrir la puerta e invitar a los ladrones la hora de comer.Lee mas

Los sitios web que toman su, y, por extensión, su, muy en serio la seguridad son cada vez más para frenar los hashes como una medida adicional. Las funciones hash más conocidos (MD5, SHA-1 y SHA-256) han sido por mucho tiempo, y se utiliza ampliamente, ya que son relativamente fáciles de implementar y aplicar los hashes muy rápido.

Sin dejar de aplicar las sales, los hashes lentos son aún mejores en la lucha contra cualquier ataque que se basan en velocidad- mediante la limitación de los piratas informáticos a un número sustancialmente menor de intentos por segundo, se les toma más tiempo para acabar, con lo que los intentos menos vale la pena, teniendo en cuenta también la tasa de éxito baja. Los cibercriminales tienen que sopesar si vale la pena atacar sistemas de hash lentas que requieren mucho tiempo más comparativamente “soluciones rápidas”: instituciones médicas suelen tener menos seguridad, por ejemplo, lo que los datos que se podrían obtener a partir de ahí puede Todavía se venden por sumas sorprendentes.5 razones por robo de identidad médica es cada vez mayor5 razones por robo de identidad médica es cada vez mayorLos estafadores desea que sus datos personales y la información de la cuenta bancaria - pero usted sabía que sus registros médicos también son de interés para ellos? Averigüe lo que puede hacer al respecto.Lee mas

También es muy adaptable: si un sistema es de las más solicitadas, se puede ralentizar aún más. Coda Hale, de Microsoft Software Principio antigua desarrollador, compara MD5 a quizás el más notable función de dispersión lenta, Bcrypt (otros incluyen PBKDF-2, y scrypt):

“En lugar de descifrado de contraseñas cada 40 segundos [como con MD5], estaría ellos agrietando cada 12 años más o menos [cuando un sistema utiliza bcrypt]. Las contraseñas pueden no necesitar de ese tipo de seguridad y es posible que necesite un algoritmo de comparación más rápido, pero bcrypt le permite elegir su equilibrio entre velocidad y seguridad.”

Y debido a un hash lenta todavía se puede implementar en menos de un segundo, los usuarios no deberían verse afectados.

¿Por qué eso importa?

Cuando utilizamos un servicio en línea, entramos en un contrato de confianza. Usted debe estar seguro en el conocimiento de que su información personal se mantiene segura.

Almacenar la contraseña de forma segura es especialmente importante. A pesar de las numerosas advertencias, muchos de nosotros usamos el mismo para diferentes sitios, así que si hay, por ejemplo, una violación Facebook, sus datos de acceso para cualquier otro sitio que frecuente usando la misma contraseña también podrían ser un libro abierto para los cibercriminales.La guía completa para simplificar y Seguridad de su vida con LastPass y XmarksLa guía completa para simplificar y Seguridad de su vida con LastPass y XmarksMientras que la nube significa que se puede acceder fácilmente a su información importante donde quiera que esté, sino que también significa que usted tiene una gran cantidad de contraseñas para seguir la pista. Es por eso que se creó LastPass.Lee mas

¿Ha descubierto los posibles infractores de texto sin formato? ¿Qué sitios de confianza implícita? ¿Qué cree usted que es el siguiente paso para el almacenamiento de contraseñas seguras?

Artículos Relacionados