de.hideout-lastation.com
Paradies Für Designer Und Entwickler


Was der Dropbox-Hack Ihnen über den Zustand der Websicherheit beibringen kann

In der vergangenen Woche machte Dropbox Schlagzeilen über einen Hack, bei dem die E-Mail-Adressen und Passwörter von 68 Millionen Dropbox-Accounts kompromittiert wurden . Für jeden Dropbox-Benutzer ist dies natürlich ein wichtiger Punkt, besonders wenn Sie etwas in Dropbox speichern, sei es persönlich oder für die Arbeit.

Ihre Fotos, Dokumente, Daten usw. können ohne Ihr Wissen unter Verwendung Ihrer E-Mail-Adresse und Ihres Passworts, die in diesem bestimmten Hack verloren gegangen sind, abgerufen werden. Die gute Nachricht ist, dass bisher keine Berichte über bösartige Angriffe aus dem Dropbox-Hack vorliegen . Das bedeutet jedoch nicht, dass Sie sich keine Sorgen machen müssen.

Über den Dropbox-Hack

Lasst uns das erstmal aus dem Weg schaffen: Der Dropbox-Hack ist nicht erst letzte Woche passiert. Mehr als 68 Millionen E-Mail-Adressen und Passwörter werden im Hack gestohlen, ja, aber der Hack selbst ist vor vier Jahren passiert, damals im Jahr 2012.

Anstatt sich eine Hollywood-Hacker-Szene vorzustellen (von denen viele schrecklich gehackt wurden), wurde der Hack durch menschliche Fehler verursacht .

Hacker hatten Benutzernamen und Kennwörter aus einer anderen Datenverletzung verwendet, um sich bei Dropbox-Konten anzumelden. Eines dieser Konten gehörte einem Dropbox-Mitarbeiter, der das gleiche Passwort sowohl für die verletzte Seite als auch für das Dropbox-Konto verwendet hatte.

Zufälligerweise hatte derselbe Mitarbeiter einen Ordner voller Dokumente, der die E-Mail-Adressen von 68.680.741 Dropbox-Konten sowie Hash-Passwörter enthielt . Spiel, Satz und Spiel.

1. Dropbox war nicht alleine; LinkedIn wurde ähnlich gehackt

Bereits im Mai 2016 hatte LinkedIn etwas Ähnliches wie den Dropbox-Hack der letzten Woche angekündigt. Sie ersuchten LinkedIn-Nutzer, ihre Passwörter "nach bestem Wissen und Gewissen" zu ändern, nachdem sie sich des Diebstahls einer Reihe von E-Mails und Passwörtern bewusst geworden waren, die 2012 vorgekommen waren.

Wenn Sie im vorherigen Absatz auf diesen Link geklickt haben, werden Sie keinen Hinweis darauf finden, wie groß der Datenverlust war, obwohl das Gefühl der Dringlichkeit bei häufigen Aktualisierungen dieser Seite offensichtlich ist .

Was passiert ist, dass mehr als 117 Millionen LinkedIn-Konten betroffen waren, obwohl es möglich ist, dass die tatsächliche Zahl so hoch wie 167 Millionen sein könnte .

2. Warum tauchen die gehackten Passwörter jetzt wieder auf?

Die Datenbestände sowohl für Dropbox als auch für LinkedIn werden jetzt im Dunklen Netz gehandelt (oder waren es bis vor einer Woche).

Der Satz von LinkedIn war anfänglich für 2.200 US-Dollar im Angebot, während Dropbox etwas über 1.200 US-Dollar kostet. Der Wert dieser Datensätze nimmt ab, je länger sie da draußen sind, da die meisten Benutzer die Kennwörter geändert haben wenig bis gar nicht.

Aber warum jetzt? Vier Jahre nach dem Hack? Am nächsten komme ich einer Antwort von Troy Hunt (er wird ziemlich oft in diesem Post erwähnt, und so ziemlich überall sonst), der viel über Cybersicherheit schreibt. Ich zitiere nur, was er zu sagen hat:

Zwangsläufig gibt es einen Katalysator, aber es könnte viele verschiedene Dinge geben; Der Angreifer entscheidet sich schließlich, es zu monetarisieren. Sie werden selbst ins Visier genommen und verlieren die Daten oder handeln sie letztendlich für etwas anderes Wertvolles.

3. Hacks und Datendumps passieren häufiger, als jeder zugeben möchte

Während ich über diesen Dropbox-Hack las, stieß ich auf dieses Datenbankverzeichnis, Vigilante.pw, eine Seite, die Informationen über Datenbrüche enthält. Zum Zeitpunkt der Erstellung dieses Artikels enthält die vollständige Datenbank Informationen über 1470 Sicherheitsverletzungen, die mehr als 2 Milliarden kompromittierte Konten umfassen .

Der größte ist der Myspace-Hack im Jahr 2013. Dieser Hack hat mehr als 350 Millionen Accounts betroffen.

Im gleichen Verzeichnis sind die 68 Millionen Einträge von Dropbox die neuntgrößte in der Geschichte bekannter Daten-Dumps. LinkedIn ist der fünftgrößte, obwohl, wenn die Zahl stattdessen auf 167 Millionen korrigiert würde, wäre es der zweitgrößte Datenspeicherplatz im Verzeichnis.

(Beachten Sie, dass die Daten der Datendumps für Dropbox und LinkedIn 2012 statt 2016 aufgeführt sind.)

Es ist jedoch nichts wert, dass der berüchtigte Ashley Madison-Hack sowie der bahnbrechende RockYou-Hack nicht im Verzeichnis enthalten waren. Was da draußen wirklich passiert, ist größer als das, was du auf der Seite siehst.

haveibeenpwned.com ist auch eine andere Quelle, die Sie verwenden können, um die Schwere von Hacks und Datendumps zu betrachten , die Online-Dienste und Tools plagt .

Die Website wird von Troy Hunt betrieben, einem Sicherheitsexperten, der regelmäßig über Datenschutzverletzungen und Sicherheitsprobleme schreibt, unter anderem über diesen letzten Dropbox-Hack. Hinweis: Die Website enthält außerdem ein kostenloses Benachrichtigungstool, das Sie darauf hinweist, wenn eine Ihrer E-Mails kompromittiert wurde.

Sie können eine Liste der verpfändeten Websites finden, deren Daten auf der Website konsolidiert wurden. Hier ist seine Liste der Top-10-Verstöße (schauen Sie sich einfach all diese Zahlen an). Hier finden Sie die vollständige Liste.

Immer noch bei mir? Es wird viel schlimmer.

4. Mit jeder Datenverletzung werden Hacker besser darin, Passwörter zu knacken

Dieser Post auf Ars Technica von Jeremi Gosney, einem professionellen Passwort-Cracker, ist eine Lektüre wert. Kurz gesagt, je mehr Datenverstöße passieren, desto einfacher ist es für Hacker, zukünftige Kennwörter zu knacken.

Der RockYou-Hack ist bereits im Jahr 2009 passiert: 32 Millionen Passwörter im Klartext wurden durchgesickert und Passwort-Cracker bekamen einen Einblick in die Art und Weise, wie Benutzer Passwörter erstellen und verwenden.

Das war der Hack, der zeigte, wie wenig wir uns Gedanken machen, unsere Passwörter zu wählen, zB 123456, iloveyou, Password . Aber noch wichtiger:

Der RockYou-Durchbruch revolutionierte das Cracken von Passwörtern.

Mit 32 Millionen ungeschützten, ungesalzenen und ungeschützten Passwörtern wurde das Spiel für professionelle Passwort-Cracker aufgerüstet, denn obwohl sie nicht diejenigen waren, die die Datenverletzung durchführten, sind sie jetzt besser darauf vorbereitet, Passwort-Hashes zu knacken, sobald ein Daten-Dump auftritt. Die vom RockYou-Hack erhaltenen Passwörter aktualisierten ihre Wörterbuch-Angriffsliste mit den tatsächlichen Passwörtern, die die Leute im echten Leben verwenden, und trugen so zu einem signifikanten, schnelleren und effektiveren Cracken bei.

Spätere Datenbrüche würden folgen: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - und mit einigem Hardware-Upgrade war es dem Autor möglich (nach der Zusammenarbeit mit einigen branchenrelevanten Teams), 173, 7 Millionen LinkedIn-Passwörter zu knacken in nur 6 Tagen (das sind 98% des gesamten Datensatzes). So viel zur Sicherheit, nicht wahr?

5. Passwörter hacken - helfen sie?

Es gibt eine Tendenz für eine Website, die eine Datenverletzung erlebt hat, die Wörter hashed Passwörter, gesalzene Passwörter, Hash-Algorithmen und andere ähnliche Begriffe, als ob Sie Ihnen sagen, dass Ihre Passwörter verschlüsselt sind, und ergo Ihr Konto ist sicher ( puh ). Gut…

Wenn Sie verstehen wollen, was Hashing und Salzen ist, wie sie funktionieren und wie sie geknackt werden, ist dies ein guter Artikel, den Sie lesen sollten.

Auf die Gefahr hin, die Konzepte zu vereinfachen, geht hier:

  • Hash-Algorithmen ändern ein Passwort, um es zu schützen. Ein Algorithmus verdeckt das Passwort, so dass es für Dritte nicht leicht erkennbar ist. Allerdings können Hashes mit Wörterbuchangriffen (wo Punkt 6 ins Spiel kommt) und Brute-Force-Angriffen geknackt werden.
  • Salting fügt einem Kennwort eine zufällige Zeichenfolge hinzu, bevor es gehasht wird. Auf diese Weise wird, selbst wenn das gleiche Passwort zweimal gehashed wird, das Ergebnis aufgrund des Salzes anders sein.

Zurück zum Dropbox-Hack, die Hälfte der Passwörter befindet sich unter dem SHA-1-Hash (Salze nicht enthalten, wodurch sie unmöglich zu knacken sind), während die andere Hälfte unter dem bcrypt-Hash ist.

Diese Mischung deutet auf einen Übergang von SHA-1 zu bcrypt hin, der seiner Zeit voraus war, da SHA1 bis 2017 ausläuft und durch SHA2 oder SHA3 ersetzt wird.

Dennoch ist es wichtig zu verstehen, dass Hashing eine Versicherungspolice ist, die Hacker und Cracker nur verlangsamt. Selbst wenn dieser zusätzliche Schutz Passwörter "schwer zu decodieren" macht, heißt das nicht, dass sie unmöglich zu knacken sind .

Im besten Fall wird durch das Hashing und das Salzen nur Zeit für Benutzer benötigt, um ihre Passwörter zu ändern, um eine Übernahme ihres Kontos zu verhindern.

6. Die Folgen von Hacks (Datenverstöße)

(1) Hacks könnten relativ gutartig sein wie der Dropbox-Hack oder verheerende Folgen wie der Ashley-Madison-Datenbruch haben.

In letzterem Fall wurden 25 GB Daten einschließlich tatsächlicher Wohnadressen, Kreditkartentransaktionen und Suchverlauf ihrer Nutzer durchgesickert. Aufgrund der Art der Website gab es viele Fälle von öffentlicher Beschämung, Erpressung, Erpressung, Scheidungen und sogar Selbstmorde.

Der Hack enthüllte auch die Erstellung von gefälschten Konten und die Verwendung von Chatbots, um zahlende Kunden dazu zu verlocken, sich für ein Konto anzumelden.

(2) Hacks zeigen auch unsere Gleichgültigkeit bei der Auswahl von Passwörtern - das heißt, bis ein Verstoß stattgefunden hat.

Wir haben dies festgestellt, als wir die RockYou-Lücke in # 4 diskutierten. Wenn im Internet viele wichtige Daten verfügbar sind, empfiehlt es sich, eine Kennwortverwaltungs-App zu verwenden . Und aktivieren Sie die zweistufige Authentifizierung . Verwende niemals Passwörter, die sich in einer Datenpanne befinden . Und stellen Sie sicher, dass andere Personen, mit denen Sie arbeiten , die gleichen Sicherheitsmaßnahmen ergreifen .

Wenn Sie noch einen Schritt weiter gehen möchten, melden Sie sich für ein Benachrichtigungstool an, das Sie benachrichtigt, wenn Ihre E-Mail in eine Datenpanne verwickelt ist.

(3) Hacks zeigen die Gleichgültigkeit einer Site zum Schutz von Benutzerpasswörtern und Daten.

Im Fall von Dropbox vs LinkedIn können Sie sehen, dass Dropbox bessere, kalkuliertere Maßnahmen ergriffen hat, um den Schaden durch eine solche Datenpanne zu minimieren .

Dropbox verwendete bessere Hashing- und Salting-Methoden, sandte E-Mails an die Benutzer, um sie so schnell wie möglich zu ändern, bieten Zwei-Faktor-Authentifizierung und Universal 2nd Factor (U2F), die einen Sicherheitsschlüssel verwenden, und führte Personalrichtlinienänderungen durch Verwenden Sie 1Password, um ihre Passwörter zu verwalten, Firmenpasswörter können nicht mehr wiederverwendet werden und alle internen Systeme sind auf 2FA).

Für eine Aufschlüsselung dessen, was LinkedIn getan hat, ist dieser Artikel vielleicht eine gründlichere und geeignetere Lektüre.

Aufwickeln

Um ehrlich zu sein, war das Lernen von all dem nur durch das Studium des Dropbox-Hacks eine Augen öffnende und furchterregende Erfahrung. Wir, die allgemeine Bevölkerung, unterschätzen schmerzlich die Notwendigkeit für eindeutige und starke Passwörter, selbst nachdem man uns mehrmals gesagt hat, niemals Passwörter zu teilen oder zu wiederholen oder Wörterwörter in ihnen zu verwenden.

Wenn Ihre Daten vom Dropbox-Hack betroffen waren, ergreifen Sie die notwendigen Vorsichtsmaßnahmen, um Ihre persönlichen Daten zu schützen. Machen Sie sich etwas Mühe mit Ihren Passwörtern oder erhalten Sie einen Passwort-Manager . Oh, und überkleben Sie Ihre Laptop-Kamera oder Webcam, wenn sie nicht benutzt wird. Du kannst niemals zu vorsichtig sein.

(Titelbild via GigaOm)

Best 10 persönliche Sicherheit Apps für Frauen [Android]

Best 10 persönliche Sicherheit Apps für Frauen [Android]

Die # yesallwomen-Kampagne, die kürzlich auf Twitter gestartet wurde, war eine wichtige Erinnerung daran, dass Frauen noch heute Opfer von Gewalt, häuslicher Gewalt und Vergewaltigung sind . Die unzähligen Vergewaltigungsfälle, die in den letzten Jahren von den internationalen Medien gemeldet wurden, und die Reaktionen von Politikern, Polizeibehörden, Opfern, Tätern und Menschen, die diese Geschichten lesen, sprechen Bände darüber, wo wir in der Frage der persönlichen Sicherheit für Frauen stehen . Manchmal

(Tech- und Design-Tipps)

Testen Sie die Barrierefreiheit Ihrer Website mit Hex Naw

Testen Sie die Barrierefreiheit Ihrer Website mit Hex Naw

Suchen Sie nach einer Möglichkeit, Ihre Zugänglichkeitsbewertung zu verbessern? Es gibt eine Menge, die Sie tun können, und das Thema Barrierefreiheit läuft tief.Aber eines der einfachsten Dinge, die Sie tun können, ist die Farbauswahl Ihrer Website. Sie möchten ein Farbschema, das zu einem starken Kontrast für Benutzer mit Farbenblindheit oder Sehbehinderung passt .Hex Na

(Tech- und Design-Tipps)