Un'altra settimana, un altro incidente di sicurezza importante con un sito web significativi.Così la notizia questa volta è che Zappos - quei ragazzi che vendono le scarpe (tra le altre cose) - per la gente negli Stati Uniti può avere, uh, accidentalmente rivelato da qualche parte secondo l'ordine di 24 milioni di account utente . Bugger.
Ora, naturalmente, alla radice di questo è inevitabilmente ancora più malvagi intenti a sfondare sicurezza sito a scopo di lucro, l'attivismo o calci vecchio semplicemente.Indipendentemente dal modus operandi di questi incidenti, resta il fatto che un numero significativo di conti sono stati esposti e c'è ora la possibilità reale che i nomi utente e password - forse la tua username e la password - stanno per essere galleggianti intorno internet essere visti da chi sa quante persone.
Questo, naturalmente, è un problema perché statisticamente c'è una probabilità più migliore media che hai usato la password in una serie di altre posizioni. Hai usarlo per eBay? Era lo stesso che avete usato per Amazon? O, ancora peggio, è che la tua password Gmail e può ora essere utilizzato per ripristinare tutte le altre password ? Se vi state chiedendo una di queste domande in questo momento, è il momento per un gestore di password che lo rendemorto facile per creare una forte, password unica per tutti gli account in modo che la prossima volta che questo accade - e non ci sarà una prossima volta - l'esposizione delle credenziali e il rischio non andrà oltre quel singolo sito.
Riutilizzo delle password è davvero così male?
Mettiamo un contesto intorno a questo da un altro recente incidente di sicurezza maggiore; Gawker. Indietro alla fine del 2010, da qualche parte secondo l'ordine di alcune centinaia di migliaia gli account sono stati esposti dopo Gawker è stato violato. Questo, naturalmente, potrebbe rivelarsi un numero molto piccolo in confronto a Zappos, ma è comunque un numero significativo.
Cosa succede frequentemente in questi incidenti hacking è che i colpevoli dopo la prova con orgoglio del loro operato per il web per tutti. E 'vero, ogni account viene reso pubblico in modo che chiunque può scaricare. Ecco Gawker , ecco Sony , ecco Stratfor e per il momento stai leggendo questo, potreste essere in grado di aggiungere Zappos alla lista.Linea di fondo: si aspettano informazioni riservate conto di essere reso pubblico.
Cosa succede dopo è che tali credenziali trapelato iniziare a ricevere abusato. Dopo l'incidente Gawker, gente con gli account violati ha iniziato inaspettatamente tweeting di bacche di Acai . Perché? Perché avevano riutilizzato la stessa password tra Gawker e Twitter e uno dei 2 miliardi di persone più che ora hanno avuto accesso a queste informazioni lo stava usando Twitter per inviare spam. E 'così semplice.
Ora, naturalmente, potrebbe anche essere molto peggio; riutilizzare l'account su Amazon e alcuni di quei 2 miliardi di persone potrebbero iniziare a fare altri acquisti a vostro nome.Riutilizzarlo su Facebook e improvvisamente è molto facile per iniziare socialmente ingegneria tuoi amici a cliccare su link o l'installazione di software che normalmente non potrebbero fare - dopo tutto, qualcuno di loro fiducia li sta spingendo in azione quindi deve essere ok, giusto?
La linea di fondo è semplicemente questo: ogni volta che si riutilizza una password, è come dormire con qualcuno senza "precauzioni". Certo, può rendere le cose un po 'più facile e vi fidate di loro di essere "sicuro", ma che stai rischiando la propria sicurezza personale, più che di ogni altra interazione che avete in futuro.
La password anti-pratiche
Ci sono un sacco di idee là fuori su come dovrebbe essere la gestione delle password: in arrivo con una frase poi raccogliere le lettere dalle parole, sostituendo questi personaggi a -> @ e S -> $, creando solo una manciata di password di classi diverse poi riutilizzarli (forum, negozi, banche, ecc), utilizzando le informazioni relative al sito per generare la password e così via e così via.
Nessuno di questi funziona in modo coerente, ecco perché:
- Tutto ciò che dipende dalla memoria - la vostra memoria - non scala. Si può essere in grado di ricordare 10 o 15 o anche 20 frasi o schemi o qualsiasi modello che si sceglie, ma si dispone di più account di questo, anche se non ve ne rendete conto ora.
- Sviluppatori di siti web possono essere veri bastardi (abbiate pazienza) e l'impossibilità di utilizzare password generate dai modelli. Possono limitare la lunghezza dei caratteri ai limiti molto bassi o limitare di un set di caratteri molto limitato. Ci sono un sacco di siti là fuori dove sei bloccato con un PIN a 4 cifre.
- Nessuno - nessuno - è immune da sempre violato. Banche avere violato . avere violato le forme di sicurezza . governi ottenere hacked . Pensare è possibile creare una "classe" di password, come se ogni luogo si riutilizza è "sicuro" è fondamentalmente errata.
Quando non hanno consistenza, è possibile creare eccezioni. Quando si hanno delle eccezioni, è necessario un metodo per tenere traccia e gestire quelli che vi rimette a destra da dove siete partiti che alla fine significa solo una cosa: l'unica password sicura è quella che non riesce a ricordare .
Il ruolo del gestore di password
Un password manager è un po 'come il vecchio adagio di mettere tutte le uova nello stesso paniere poi guardarlo davvero, davvero da vicino. Ci sono diversi prodotti là fuori che affrontare il problema da angolazioni leggermente diverse, ma oggi voglio guardare il mio preferito, 1Password .
In termini molto semplici, funziona così:
- Si installa il software 1Password sul vostro PC / Mac / iPhone / Android.
- Si crea un "portachiavi" che è un file che conterrà tutte le vostre password.
- Sognate un singolo, password molto forte con un sacco di numeri, lettere, simboli, ecc - questa è la tua "Master Password", che si memorizzare e guardia con la vostra vita.
- Hai messo tutte le password per tutti i siti si utilizza nel vostro portachiavi che è quindi possibile sbloccare solo con la password principale.
- Si riserva il portachiavi e la sincronizzazione tra i dispositivi che utilizzando Dropbox.
Il portachiavi è crittografato in maniera estremamente robusta e può essere sbloccato solo con la master password. Se si perde questo, sei da solo - nessuno sarà in grado di aiutarvi a sbloccare quel file quindi dovrete passare attraverso un processo di reset su ognuno di loro.Naturalmente questo significa anche che chiunque si impossessa del vostro portachiavi non può fare nulla con essa senza la master password. Per esempio, se il portachiavi viene recuperato dal disco rigido del PC o in qualche modo estratto dal tuo account Dropbox, è inutile per conto suo.
Altri generale Domande e risposte su 1Password possono essere trovati nei loro post sul blog di Quanta sicurezza 1Password?
Semplificare la gestione delle password
Questo è in realtà un processo molto semplice, infatti è così semplice che è molto più semplice di quello che hai fatto prima, anche se si riusciva a ricordare tutte le tue password.
Il primo, ho 1Password eseguito localmente sul mio PC. Si integra nelle principali browser che significa che quando faccio il login a un sito Web che non riconosce, per esempio, oh, Zappos, questo è ciò che vedo:
Questo è in Google Chrome, browser diversi un aspetto leggermente diverso. Comunque, potete vedere che ho cerchiato la barra di 1Password che viene visualizzata automaticamente dopo il login in Ho bisogno di inserire la password principale per andare avanti dopo di che posso dare un nome all'account allora che è - ho finito.
Quando sono accanto tornare al sito e vuoi fare il login, mi basta premere l'icona di 1Password sul browser (è appena a destra della barra degli indirizzi), inserire la password master, che completa automaticamente il modulo di accesso - sia username e password - sottopone poi per me:
Quanto facile è quello?! Perché questo è così semplice e perché mai poi realmente bisogno diricordare le password per siti come Zappos, è possibile iniziare a creare davvero "forte" le password e 1Password vi aiuterà con questo. Eseguire il backup sul menu in alto, il quadrante po 'come ci si trova in una posizione sicura permette di fare questo:
Che cosa questo significa è che si finisce con un qualcosa di password come "D [O62MA & RCWJ (Ihf3nk ^ e1bVS" <- questa è una buona password e non importa di una virgola che non si può ricordare e che sarebbe un dolore a tipo, perché non avete intenzione di fare che più, vero?
Tutto questo funziona benissimo sul PC (o Mac) ma ci sono anche equivalenti per iPhone e Android e faranno sincronizzare il vostro portachiavi tramite Dropbox. La linea di fondo è che si può sia mantenere il vostro account sicuri e tenerli con te ovunque tu vada, la scelta di piattaforma mobile dipende, naturalmente.
Il (molto raro) caveat
La promessa di avere solo "una password" è un po 'grande, ma non è troppo lontano il marchio. Qualsiasi luogo in cui non si può prendere 1Password sarà un problema. L'accesso al mio PC mentre è bloccato è un esempio, l'accesso al mio account iTunes su Apple TV è un altro. In casi come questo, mi sia finire con una password più corta che è più facile da digitare (ma ancora non riesco a ricordare) o utilizzare una memorabile unico uno quando ho davvero bisogno. Ma sono rare eccezioni - quattro o cinque al massimo.
Ma ci sono anche altri casi limite che possono rendere le cose più difficile per alcune persone. Che utilizzano regolarmente i computer condivisi in cui non è possibile eseguire 1Password è un buon esempio. La cosa da tenere a tornare a con sicurezza è che si sta cercando di trovare questo equilibrio tra rendendo troppo difficile per i cattivi contro nonrendendo troppo difficile per voi. Per molte persone, che significa equilibrio con approcci diversi, una taglia non è bene per tutti. In un caso come le macchine condivise, 1Password su un dispositivo mobile con il più breve - ma pur sempre casuale - password potrebbe essere l'opzione migliore.
Riassunto
Speriamo che andrà a finire che Zappos ha fatto un buon lavoro di proteggere gli account dei loro clienti 'e anche se la loro banca dati potrebbe essere stato a conoscenza, conservazione crittografia corretta garantirà le password al sicuro, o per lo meno non sono in grado di essere rotto in massa . Ma a prescindere, stanno ancora raccontando ai clienti di cambiare le loro password altrove li hanno riutilizzati . Chiaramente rimane un rischio.
Questa è una storia ormai ripetitivo, uno sono stato sul lato sbagliato di me in passato. In realtà è stato l'incidente che mi ha spinto in azione e mi ha installato e funzionante su 1Password. Io semplicemente non preoccuparsi di questo genere di cose più - Io ho zero rischio oltre i singoli siti.
Fatevi un favore, vai a farti 1Password poi passare qualche ora in movimento i vostri conti e reimpostare la password per qualcosa di sicuro. Anche se non sono stati colpiti da Zappos (o Sony o Stratfor o Gawker), domani sarà Amazon o eBay o PayPal o qualcuno come quello chevi è impatto e che stai per avere un intero mondo di nuovi problemi da affrontare. Purtroppo, è inevitabile.
Nessun commento:
Posta un commento