Video: Help for hacked sites: Overview (Lokakuu 2024)
Turvallisuus ei ole joskus asia, mutta jatkuva prosessi. Et ole turvassa, koska käytät tiettyä työkalua - olet turvassa, koska käytät tietoturva-ajattelutapaa joka päivä.
Ota salasanat. Kuulet muistutuksia jatkuvasti - älä käytä salasanoja uudelleen sivustoissa, sovelluksissa ja palveluissa. Älä valitse heikkoja salasanoja. Käytä salasananhallintaa, jotta voit valita erittäin monimutkaisia salasanoja eikä sinun tarvitse huolehtia yrittäessäsi muistaa niitä. Ota kaksikerroinen todennus käyttöön aina kun mahdollista. Nämä ovat kaikki hyviä neuvoja muistaa ja noudattaa. Aikaisemmin tällä viikolla kollegani Neil Rubenking otti salasananhallintasuosituksen askeleen pidemmälle ja sanoi, että kirjautuminen kolmansien osapuolien verkkosivustoille Google-, Facebook-, Twitter- tai muilla sosiaalisen median tunnuksilla on tietoturvariski. En osta tätä väitettä.
Olet nähnyt mitä puhun. Vaikka useimmat palvelut edellyttävät tilin luomista tyhjästä, on sivustoja, joihin voit kirjautua sisään sosiaalisen median käyttöoikeustiedoillasi. Esimerkiksi Expedia antaa sinun kirjautua sisään Facebookilla. Tai Inoreader (valitun RSS-lukijani), jonka avulla voit kirjautua sisään Googlella. Tämän avulla voit ohittaa tilin luomisprosessin ja kirjautua sisään vain jo olemassa olevalla tilillä. Kätevä, eikö? Erittäin. Onko se turvallisuuskysymys, kuten Neil sanoi teoksessaan? Ei.
Aina kun näen sivuston, jonka avulla voin kirjautua sisään toisella tilillä, valitsen tämän vaihtoehdon. En käytä Facebook-tiliäni sisäänkirjautumiseen (anteeksi, Expedia), mutta teen jonkin vaihtoehdon käyttää Google-tiliäni. Minulla on vahva ja monimutkainen salasana ja otin myös käyttöön kaksikerroisen todennuksen. Joten Google-tilini on niin turvallinen kuin voin tehdä sen, ja luotan Googlen toteuttavan tarvittavat toimenpiteet tietoturvan pitämiseksi. Mitään Facebookia vastaan, mutta luulen, että olen ryhtynyt parempiin suojaamaan Google-tiliäni kuin Facebook.
Luotanko sinuun? Ei
Kun tulen sivustolle ja minun on luotava tili, ensimmäinen ajatukseni on "Luotanko sinuun?" Luotanko sivustoon tietoturvani pitämiseen? En tarkoita vain salasanoja ja luottokorttinumeroita. Luotan siihen, että sivusto on ryhtynyt tarvittaviin toimiin puhelinnumeroni, postiosoitteeni ja syntymäpäiväni suojaamiseksi tietokannassa? Rehellisesti? En useimmille yrityksille, en. Sovellusten suojaus on vaikeaa - useimmat kehittäjät oppivat edelleen vain turvallisia koodauskäytäntöjä - samoin kuin tietokannan suojaaminen tehokkaasti. Tämä on meneillään oleva työ, ja monet yritykset eivät vieläkään ole siellä turvallisuuden suhteen. Koska en voi kiertää kysymällä yrityksiltä: "Voinko luottaa siihen, että pidät salasanani turvassa eikä hakkerit varasta sitä?" Otan helpon tien ja oletan, etten voi.
Muistatko Gawkerin rikkomuksen muutama vuosi sitten? Kaikki nämä sähköpostiosoitteet ja salasanat paljastettiin, koska Gawkerin kehittäjät eivät ryhtyneet toimenpiteisiin niiden suojaamiseksi oikein. En sano, että Gawker oli väärässä - se on mediayhtiö, eikä kukaan siellä kuvitellut ketään menevän sivuston kommentointijärjestelmän jälkeen. Mutta se tapahtui. Kuluttajana en aio yrittää selvittää, mitkä yritykset ovat riittävän turvallisuusalttiita luottamaan sovelluksiinsa ja mitkä eivät. Aion keskittyä siihen, kuka tekee työtä oikein.
Tärkeä asia Google-tunnuksilla kirjautumiseen: sivusto ei pidä salasanaani tai muita tietoja. Kun napsautin Google+ -painiketta, minut ohjataan Google-sivulle ja todennan Googlen palvelimia. Sitten Google kertoo sivustolle, että kyllä, olen kuka sanon olevani ja lähettää minut takaisin sivustoon. Mikä tarkoittaa, että tietoni säilyvät Googlen kanssa, ja sivusto saa vain tunnuksen, joka sanoo "hän on kirjautunut sisään onnistuneesti, päästä se läpi".
Harkitse kaikkia sivustojen rikkomuksia, joita olemme nähneet kahden viime vuoden aikana. On sivustoja, jotka kirjaudun sisään vain nähdäkseni, millainen se on, ja lopetan sen jälkeen muutaman päivän kuluttua, koska se ei ole sitä mitä tarvitsin. Jos olen luonut tilin sivustolle, tietoni ovat sivuston tietokannassa. Jopa sen jälkeen kun lopetan kyseisen sivuston, tilini elää. (Tästä syystä en pidä sivustoista, jotka eivät anna sinun poistaa tilejä, mutta se on erilainen juttu toiseen päivään.) Se on paljon potentiaalisia paikkoja tietojen varastamiseen. Jos kirjaudun sisään Google-tililläni, sivustolla ei ole minua koskevia tietoja varastuksi. Se on rauhoittavaa. Jos luopun kyseisestä sivustosta, Google antaa minun peruuttaa tilin käyttöoikeudet, jotta kukaan muu ei voi kirjautua sisään minuna.
Puhutaanpa peruuttamisesta. Koko seikka, jonka avulla Google, Facebook ja Twitter voivat hoitaa kirjautumisen, tarkoittaa, että voit käyttää niitä myös estämään pääsyn. Esimerkiksi käytän Googlea kirjautuaksesi sisään Inoreaderiin. Sano, etten halua enää käyttää Inoreaderia. Menen vain Google-tilini asetuksiin ja napsautin "peruuta käyttöoikeudet". Ja siinä se on. Siksi käytän myös Twitteriä kirjautumiseen joihinkin sivustoihin. Twitterin avulla on erittäin helppo irrottaa sovelluksia, kun olen valmis.
Tavoitteenani on, että maailmassa on mahdollisimman vähän tietokantoja, jotka sisältävät tietueen henkilökohtaisilla tiedoillani.
Toinen asia, jota pidän kirjautumalla sisään Googlella: tilikohtaiset salasanat. Luon satunnaisen salasanan, jonka Google nyt tietää on kyseisen sivuston salasana. Tämä salasana toimii vain kyseisellä sivustolla eikä anna pääsyä mihinkään muuhun. Sen sijaan, että generoisin salasanoja salasananhallintaohjelman kautta ja luonut upouuden tilin, jatkan prosessia Googlen kanssa. Käytän muuta kuin salasanani salasanaa ja ohitan koko tilin luomisprosessin pitämällä kiinni Googlen mekanismeista. Tämä on varsin kätevää, jos kirjaudun sisään esimerkiksi mobiilisovellukseen. Google osaa nyt vahvistaa henkilöllisyyteni ja kuten tavallinen sisäänkirjautuminen, minä vain peruun salasanan, eikä sovellus voi enää kirjautua sisään.
Pysy kiinni siihen, johon luotat
Neil esitti erittäin hyvän kysymyksen: kysy itseltäsi, tarvitseeko sivuston tietää jotain sinusta. Tarvitseeko tietosivustosi sinun nimesi, sähköpostiosoitteesi, fyysinen osoitteesi ja puhelinnumerosi tai muut profiilitiedot? Jos ei, älä anna sitä. Pidä sitä luotettavien kanssa.
Jos Facebook-salasanasi on "Password1" ja joku epätoivoisilla aikomuksilla selvittää sen, kyllä, tämä henkilö voi mennä eteenpäin ja kirjautua sisään mihin tahansa muuhun sivustoosi, jonka olet linkittänyt tiliisi. Mutta miten eroaa siitä, että olet valinnut "Password1" kyseiselle sivustolle aluksi? Jos käytät helposti muistettavaa salasanaa sähköpostiisi tai sosiaalisen median sivustoosi, et todennäköisesti käytä vaikeasti muistettavissa olevia merkkejä säännöllisessä lentokilometrimoodissa, eikö niin? Joten se heikko salasana huutaa "Hakkaa minua!" ei se, että olet kirjautunut sisään toisella tilillä. Ja jos joku on keksinyt Google-salasanasi, en usko, että suurin huolestasi on, voiko tämä henkilö nyt kirjautua sisään linkitettyihin tileihisi. Ei silloin, kun on niin helppoa kysyä vain salasanan vaihto-sähköposteja.
Suojauksella ei ole taikuutta. Annettua työkalua voidaan käyttää sekä hyviin että huonoihin. Kaiken siinä, kuinka lähestyt sitä. Pidän parempana pysyä poissa tietokannoista. Mikä on sinun?
