Skleslí vás spad z Heartbleed? Nejsi sám. Drobná chyba v nejpopulárnější knihovně SSL na světě způsobila obrovské díry v zabezpečení, které obklopilo naši komunikaci všemi druhy cloudových webů, aplikací a služeb - a tyto díry ještě nejsou ani opravené.
Chyba Heartbleed umožnila útočníkům odloupnout podšívku OpenSSL odolnou proti snoopu a nahlédnout do komunikace mezi klientem a serverem. To hackerům poskytlo pohled na věci, jako jsou hesla a soubory cookie relace, což jsou malé kousky dat, která vám server odešle po přihlášení a váš prohlížeč odešle zpět pokaždé, když něco uděláte, aby dokázal, že jste to vy. A pokud chyba ovlivnila finanční stránku, mohly být viděny další citlivé informace, které jste procházeli sítí, jako jsou kreditní karty nebo daňové informace.
Jak se může internet nejlépe chránit před takovými katastrofickými chybami? Máme několik nápadů.
Ano, potřebujete bezpečnější hesla: Takto je můžete vytvořit
Dobře, takže lepší hesla by dalšímu Heartbleed nezabránila, ale mohou vám někdy zabránit v hacknutí. Mnoho lidí je strašně hrozných při vytváření bezpečných hesel.
Už jste to všechno slyšeli: nepoužívejte „heslo1“, „heslo2“ atd. Většina hesel nemá dostatek toho, čemu se říká entropie - určitě jsoune náhodně a onivůle lze uhodnout, pokud útočník někdy dostane příležitost provést spoustu odhadů, buď kladivem na službu, nebo (pravděpodobněji) odcizením hash hesel - matematické derivace hesel, která lze zkontrolovat, ale nelze je vrátit zpět na původní heslo.
Ať děláte cokoli, nepoužívejte stejné heslo na více než jednom místě.
Mnoho poskytovatelů služeb přistupuje k tomuto problému tím, že požaduje, aby uživatelé měli hesla určité délky, která obsahují interpunkci a čísla, aby se pokusili zvýšit entropii. Smutnou realitou však je, že taková pravidla pomáhají jen málo. Lepší možností jsou dlouhé fráze skutečných nezapomenutelných slov - na počest tohoto komiksu XKCD, který tento koncept vysvětluje, se stalo známé jako heslo „správné koňské baterie“. Bohužel můžete (stejně jako já) narazit na poskytovatele, kteří vám nedovolí používat taková hesla. (Ano, existují finanční instituce, které vás omezují na 10 znaků. Ne, nevím, co kouří.)Pomůže také software nebo služby pro správu hesel, které používají šifrování typu end-to-end. KeePass je dobrým příkladem toho prvního; LastPass druhého. Chraňte svůj e-mail dobře, protože jej lze použít k resetování většiny vašich hesel. A cokoli uděláte, nepoužívejte stejné heslo na více než jednom místě - jen žádáte o potíže.
Webové stránky musí implementovat jednorázová hesla
OTP je zkratka pro „jednorázové heslo“ a můžete jej již použít, pokud máte nastavený web / službu, která vyžaduje použití aplikace Google Authenticator. Většina z těchto ověřovatelů (včetně Googlu) používá internetový standard s názvem TOTP nebo Time-based One-Time Password, který je zde popsán.
Co je TOTP? Stručně řečeno, web, na kterém se nacházíte, generuje tajné číslo, které je jednou předáno vašemu autentizačnímu programu, obvykle prostřednictvím QR kódu. V časové variantě se z tohoto tajného čísla každých 30 sekund generuje nové šestimístné číslo. Web a klient (váš počítač) nemusí znovu komunikovat; čísla se jednoduše zobrazí na vašem autentizátoru a zadáte je na web podle požadavku ve spojení s vaším heslem a jste v. Existuje také varianta, která vám funguje zasláním stejných kódů prostřednictvím textové zprávy.
Aplikace LastPass pro Android Výhody TOTP: I kdyby mělo mít Heartbleed nebo podobná chyba za následek prozrazení vašeho hesla i čísla ve vašem autentizátoru, webové stránky, se kterými komunikujete, již téměř jistě označily toto číslo jako použité a nelze je znovu použít - a bude být stejně neplatný do 30 sekund. Pokud web tuto službu ještě nenabízí, pravděpodobně to může udělat relativně snadno, a pokud máte prakticky jakýkoli smartphone, můžete spustit ověřovatele. Je trochu nepohodlné konzultovat svůj telefon, abyste se přihlásili, samozřejmě, ale bezpečnostní výhoda pro každou službu, na které vám záleží, vám za to stojí.
Rizika TOTP: Vniknutí na server a odlišný způsobem by mohlo dojít k prozrazení tajného čísla, což by útočníkovi umožnilo vytvořit si vlastní autentizátor. Pokud ale používáte TOTP ve spojení s heslem, které web neukládá - většina dobrých poskytovatelů ukládá hash, který je silně odolný proti jeho zpětnému inženýrství -, pak mezi nimi dvěma se vaše riziko výrazně sníží.
Síla klientských certifikátů (a jaké jsou)
Pravděpodobně jste nikdy neslyšeli o klientských certifikátech, ale ve skutečnosti jsou již velmi dlouho (samozřejmě v internetových letech). Důvod, proč jste o nich pravděpodobně ještě neslyšeli, je ten, že je dost práce. Je mnohem snazší přimět uživatele, aby si vybrali heslo, takže certifikáty mají tendenci používat pouze weby s vysokým zabezpečením.
Co je certifikát klienta? Klientské certifikáty prokazují, že jste osobou, o které se tvrdí, že jste. Jediné, co musíte udělat, je nainstalovat (a jeden funguje na mnoha webech) do prohlížeče a poté jej použít, když vás web chce ověřit. Tyto certifikáty jsou blízkým příbuzným certifikátů SSL, které weby používají k identifikaci vašeho počítače.
Nejúčinnějším způsobem, jak web může chránit vaše data, je to, že je nikdy nebudete mít.
Výhody klientských certifikátů: Bez ohledu na to, na kolik webů se přihlásíte pomocí klientského certifikátu, je matematika na vaší straně; nikdo nebude moci použít stejný certifikát k předstírání, že jste vy, i když vaši relaci sleduje.
Rizika klientských certifikátů: Primárním rizikem klientského certifikátu je, že se do něj někdo může vloupatvaše počítač a ukrást jej, ale toto riziko má zmírnění. Další potenciální problém spočívá v tom, že typické klientské certifikáty obsahují určité informace o totožnosti, které si nepřejete zveřejnit na každém webu, který používáte. Přestože klientské certifikáty existují navždy a v softwaru webového serveru existuje funkční podpora, na straně poskytovatelů služeb i prohlížečů je ještě hodně práce, aby fungovalystudna. Protože se používají jen zřídka, věnuje se jim malá pozornost vývoje.
Nejdůležitější je: šifrování typu end-to-end
Nejúčinnějším způsobem, jak web může chránit vaše data, je to, že je nikdy nemáte - alespoň ne verzi, kterou dokáže přečíst. Pokud web dokáže číst vaše data, může je číst útočník s dostatečným přístupem. Proto máme rádi šifrování typu end-to-end (E2EE).
Co je šifrování typu end-to-end? To znamená, že šifrujete data na svém konci a tamzůstává šifrováno, dokud se nedostane k osobě, pro kterou to zamýšlíte, nebo se vám vrátí.
Výhody E2EE: End-to-end šifrování je již implementováno v několika službách, jako jsou online zálohovací služby. V některých službách zasílání zpráv existují také jeho slabší verze, zejména ty, které se objevily po odhalení Snowdena. Je těžké pro webové stránky provádět šifrování typu end-to-end, a to ze dvou důvodů: možná potřebují vidět vaše data, aby mohly poskytovat své služby, a webové prohlížeče jsou při provádění E2EE hrozné. Ve věku aplikace pro chytré telefony je však šifrování typu end-to-end něco, co se může a mělo by provádět častěji. Většina aplikací dnes E2EE nepoužívá, ale doufáme, že se jich do budoucna dočkáme více. Pokud vaše aplikace nepoužívají E2EE pro vaše citlivá data, měli byste si stěžovat.
Rizika E2EE: Aby šifrování typu end-to-end fungovalo, musí být provedeno plošně - pokud to aplikace nebo web dělá jen polovičatě, může dojít ke zhroucení celého domu karet. Jeden kus nezašifrovaných dat lze někdy použít k získání přístupu ke zbytku.Zabezpečení je hra s nejslabším článkem; pouze jeden článek v řetězci jej nesmí zlomit.
Takže, co teď?
Je zřejmé, že není mnoho, co jako uživatel můžete ovládat. Budete mít štěstí, že najdete službu, která používá jednorázová hesla, s ověřovatelem. Určitě byste si ale měli promluvit s webovými stránkami a aplikacemi, které používáte, a sdělit jim, že si uvědomujete, že dochází k chybám v softwaru, a myslíte si, že by měli brát bezpečnost vážněji a nespoléhat jen na hesla.
Pokud tyto pokročilé bezpečnostní metody používá více sítí, možná příště dojde k softwarové katastrofě v měřítku srdce - a tamvůle nakonec - nebudeme muset tolik panikařit.
[Obrázek s laskavým svolením scyther5 / Shutterstock]
