Список сайтов, которые хранят ваш пароль в незашифрованном виде, просто поражает. Нарушение данных Эшли Мэдисон о недавней памяти является ярким примером неправильного обращения с конфиденциальной информацией, когда более 300 ГБ пользовательских данных были скомпрометированы в виде открытого текста. Это не единственный пример, когда сайты, подобные Британике, в последнее время обвиняют в хранении незашифрованных паролей..


В этом руководстве по шифрованию мы рассмотрим, почему конфиденциальная информация должна шифроваться при передаче и хранении, чтобы вы могли защитить себя от плохих мер безопасности. Мы дадим вам базовое определение шифрования, рассмотрим различные способы его применения и предоставим некоторые варианты его использования..

Мы надеемся, что к концу этого руководства вы поймете необходимость шифрования конфиденциальных данных и реальных приложений для них. Хотя криптография – это сложная и сложная тема, мы постарались максимально упростить ее для целей данного руководства..

Что такое шифрование?

Шифрование – это простая концепция для понимания. По сути, это способ, которым вы можете закодировать часть информации, чтобы только предполагаемый получатель мог получить к ней доступ. Информация шифруется с использованием шифра, такого как AES, и ключ распределяется между сторонами, что позволяет получателю расшифровать ее.

Шифр преобразует открытый текст в зашифрованный, делая информацию нечитаемой. Чтобы гарантировать, что только предполагаемый получатель может расшифровать эти данные, используется общий ключ шифрования, который позволяет двум машинам договориться о том, что источник данных и пункт назначения соответствуют назначению. Подробнее о ключах шифрования мы поговорим в следующем разделе..

Криптография, более широкий термин для безопасной передачи информации, не нова. Древние греки часто использовали шифры для шифрования сообщений, обычно просто переставляя буквы каждого слова или применяя простое правило. Шифр Ceaser является хорошим примером. Те же методы применяются к цифровому шифрованию, но шифры являются более сложными.

В цифровом мире шифрование используется как средство защиты личной информации, такой как пароли и интернет-трафик, как мы обсудим в следующем разделе. Если у вас есть учетная запись онлайн где-либо, ваша информация, вероятно, зашифрована. Хотя вы не принимали активного участия в этом процессе, вы все равно получили.

Шифрование защищает от перехвата и кражи ваших данных. Зашифрованные данные могут быть расшифрованы только с помощью ключа шифрования, к которому у злоумышленника не должно быть доступа. Существует два основных типа шифрования, которые имеют разные функции.

Типы Шифрования

Существует несколько способов шифрования открытого текста: кажется, что пределом является человеческое воображение. Давайте рассмотрим несколько наиболее распространенных типов.

Закрытый ключ / симметричное шифрование

Симметричное шифрование использует один и тот же ключ для шифрования и дешифрования данных. Это означает, что ключ шифрования передается между сторонами до того, как данные зашифрованы или расшифрованы. Симметричное шифрование – это как сейф, в котором вы храните свои данные. Вам и всем, кто может получить доступ к этим данным, потребуется комбинация, чтобы открыть сейф..

Симметричное шифрование

Это шифрование в основном используется для защиты данных в состоянии покоя. Хорошим примером этого является облачное хранилище, где шифрование происходит, пока данные все еще хранятся, и дешифруется только при доступе авторизованным пользователем..

Основной процесс работает так: пользователь запрашивает доступ к зашифрованным данным. Контейнер хранения отправляет обратно ключ шифрования менеджеру ключей. Менеджер ключей проверяет легитимность каждой стороны, затем открывает безопасное соединение между ними.

Теперь, когда защищенное соединение открыто, ключ шифрования распределяется между сторонами. После этого зашифрованная информация расшифровывается и отправляется в виде открытого текста запрашивающей стороне..

Существует много шагов, когда речь идет о симметричном шифровании, что делает его наиболее применимым к данным в состоянии покоя. Асимметричное шифрование лучше для данных в движении, поскольку оно позволяет пользователям активно шифровать пакеты данных без разделения ключа между ними.

Открытый ключ / асимметричное шифрование

Асимметричное шифрование основывается на паре открытый / закрытый ключ, а не на личном, совместно используемом сторонами. Он начинается с шифрования ваших данных, в котором используется открытый ключ. Как следует из названия, открытый ключ доступен всем желающим.

Асимметричный-шифрование

Этот тип шифрования используется для данных в движении. Примером может служить подключение к Интернету через виртуальную частную сеть, о чем мы поговорим в следующем разделе. Симметричный сеансовый ключ используется для шифрования данных, а затем открытый ключ используется для шифрования симметричного ключа. После получения зашифрованных данных закрытый ключ используется для расшифровки ключа, который затем используется для преобразования зашифрованного текста..

Сначала отправитель и получатель проверяют сертификаты друг друга. Отправитель запрашивает открытый ключ получателя, который затем разделяется. Эфемерный симметричный ключ – который используется только для одного сеанса – шифрует открытый текст в зашифрованный текст.

Затем открытый ключ шифрует симметричный ключ.

Зашифрованные данные отправляются получателю. Симметричный ключ расшифровывается с использованием закрытого ключа, который совпадает с открытым ключом, предоставленным отправителю. Теперь, когда получатель может видеть симметричный ключ, он может преобразовать зашифрованный текст обратно в открытый текст.

Симметричный ключ все еще существует, но его не нужно передавать сторонам до того, как произойдет шифрование. Данные зашифрованы неразделенным симметричным ключом, и этот ключ зашифрован с использованием пары открытый / закрытый ключ.

Хранение зашифрованных данных

В любом шифре есть свойственный недостаток; он предназначен для расшифровки. Если у злоумышленника есть доступ к ключу расшифровки, то ваша информация немедленно раскрывается. Хранение паролей на сервере, даже в зашифрованном виде, небезопасно. Если ваш пароль и метод шифрования являются слабыми, его можно легко расшифровать (чтобы избежать этого, ознакомьтесь с нашим руководством по созданию надежного пароля).

Целью шифрования является дешифрование предполагаемой стороной. Из-за этого не принято и не рекомендуется хранить зашифрованные пароли на сервере. Значение зашифрованных данных не нужно знать, поэтому нет оснований разрешать хранение таких данных. Шифрование предназначено для транзита, а не для хранения.

Хэш это

Более безопасный способ – хранить хеш пароля на сервере. Хеширование – это процесс, в котором значение может быть вычислено из текста с использованием алгоритма. Хэши лучше, потому что их нельзя изменить. Вы можете сгенерировать хеш из пароля, но вы не можете сгенерировать пароль из хэша.

Пароль-хеширование

К сожалению, это не решает всех проблем. Злоумышленник по-прежнему может использовать хэш, чтобы перехватить ваш пароль. Если злоумышленнику удастся украсть таблицу хэшей паролей, он может использовать атаку по словарю, чтобы выяснить эти пароли в процессе проб и ошибок..

Как только злоумышленник выяснит, по какому алгоритму хешируются пароли, он может использовать программное обеспечение, которое сгенерирует возможные пароли, используя общие слова в словаре. Пароли-кандидаты хешируются с использованием известного алгоритма, а затем сравниваются с хешами паролей в таблице..

Если есть совпадение, злоумышленник успешно взломал ваш пароль.

Это даже проще, если вы используете общий пароль. Давайте предположим, что произошла утечка данных и ваш хэш пароля украден. По какой-то ужасной причине вы использовали пароль «password123». MD5-хэш этого пароля – 482C811DA5D5B4BC6D497FFA98491E38. Это всегда будет хэш этой строки текста для этого алгоритма. Вы не можете восстановить хэш, но вы можете использовать этот хэш, чтобы угадать пароль. Это все еще считается более безопасным для хранения данных, которые не нужно раскрывать. 482C811DA5D5B4BC6D497FFA98491E38 не может пройти алгоритм, чтобы выплюнуть «password123» на другом конце.

Соли это

Наш теоретический хакер выяснил, что 482C811DA5D5B4BC6D497FFA98491E38 – хеш для «пароля123». Хуже того, они нашли 50 совпадений с этим хешем в базе данных, что означает, что 50 учетных записей взломаны по цене одного.

Вот где начинается засолка. Соль – это данные, добавленные к паролю до его хэширования. Не существует определенного правила, каким должна быть соль; тот, кто солит ваш пароль, может это определить. Допустим, например, что вы создаете учетную запись, а веб-сайт, на котором вы ее создали, солит ваш пароль, прежде чем его хешировать.

Для этой учетной записи соль заключается в добавлении случайного числа плюс ваш первый и последний инициал к вашему паролю на основе информации учетной записи, которую вы ввели при регистрации. Теперь «password123» становится, например, «password1239jr».

Соление не устраняет проблему атак грубой силой, но значительно снижает вероятность успеха атаки. Даже пользователи с одинаковыми паролями не получат одинаковый результат хеширования, а это означает, что злоумышленник должен выяснить не только алгоритм хеширования, но и метод подсчета.

Использует для шифрования

Шифрование важно, и это было на протяжении веков. В эпоху цифровых технологий это не могло быть более правдой. Один кусок конфиденциальных данных может подвергнуть вас киберпреступности, включая кражу личных данных и мошенничество. Существует много способов шифрования, которые могут защитить ваши онлайн-аккаунты, конфиденциальные файлы и интернет-трафик..

Защита ваших паролей

Пароли – это самые важные данные, которые вы хотите зашифровать, учитывая, что зачастую это ключ, который открывает бесчисленные другие данные о вас. Менеджер паролей позволяет вам использовать надежный, уникальный пароль для каждой из ваших учетных записей в Интернете, экспоненциально повышая вашу безопасность.

приборная панель

Как мы уже обсуждали в разделе хэширования, хэш пароля может быть обнаружен с помощью атаки методом подбора. Однако эти атаки используют слабые пароли, а не надежные. Подобная атака, несмотря на то, что ей удалось выяснить «password123», было бы трудно создать «ZTG $ iS% 8a2zF» в качестве пароля-кандидата.

Приведенный выше пример был создан с расширением браузера LastPass. Он может генерировать 12-значный пароль, как в нашем примере выше, но также любую комбинацию до 99 символов. Это также лучший бесплатный менеджер паролей на рынке, о котором вы можете прочитать в нашем обзоре LastPass.

Менеджеры паролей хранят данные паролей в зашифрованном хранилище, к которому имеют доступ только вы. Это хранилище защищено мастер-паролем, о котором знают только вы. Лучшие менеджеры паролей имеют меры безопасности для защиты вашего мастер-пароля.

Например, Dashlane использует модель с нулевым разглашением, что означает, что ни ваш мастер-пароль, ни какой-либо из его хэшей не сохраняются. Ваш мастер-пароль шифруется с помощью AES-256 на локальном устройстве после засолки и отправляется через 200 000 циклов хэширования SHA2..

Поскольку хеширование является улицей с односторонним движением, это усложняет взлом вашего мастер-пароля. Буквенно-цифровой мастер-пароль длиной не менее восьми символов взломается с использованием хэширования SHA2. Если вы используете более современный алгоритм хэширования Argon2, который предлагает Dashlane, это займет всего семь миллионов лет..

У Dashlane есть и многое другое, кроме безопасности, включая надежный набор функций и простой в использовании интерфейс. Вы можете узнать больше об этом в нашем обзоре Dashlane.

Сокрытие вашего интернет-трафика

Большая часть интернет-трафика зашифрована. Если вы заходите на сайт, имеющий сертификат SSL, вы подключаетесь к этому сайту через зашифрованное соединение. Однако он зашифрован из внешнего мира, а не от вашего интернет-провайдера. Кроме того, эта форма шифрования имеет известные эксплойты, которые можно легко осуществить, о чем вы можете прочитать в нашем руководстве SSL против TLS..

Вот где появляется виртуальная частная сеть. Помимо сокрытия вашего IP-адреса и анонимности вашего трафика, VPN также будет шифровать ваше интернет-соединение. Это означает, что ваш интернет-провайдер или любой, кто может прорваться через ваш безопасный туннель, не сможет обнаружить, что вы делаете в Интернете.

ExpressVPN-Speed-Test

Это имеет свои преимущества для безопасности, например, для сокрытия личных данных, которые вы передаете через Интернет, а также для обеспечения конфиденциальности. Ваш интернет-провайдер не сможет шпионить за тем, что вы делаете, загружает ли он пару фильмов или иным образом (что вы должны сделать с нашим лучшим VPN для торрента).

Лучшие провайдеры VPN также используют самые передовые методы. ExpressVPN, например, шифрует ваш трафик с помощью AES-256 по протоколу OpenVPN. Вы можете узнать больше о протоколах в нашем руководстве по безопасности VPN, а также о ExpressVPN в нашем обзоре ExpressVPN..

Если вам не нужна эта услуга, NordVPN (прочитайте наш обзор NordVPN) является отличной альтернативой. Это один из лучших вариантов в наших обзорах VPN.

Хранение ваших данных

Как мы отмечали в нашем руководстве о том, как зашифровать ваши данные для облачного хранилища, управляемое шифрование в облаке вызывает несколько проблем. В частности, службы, которые шифруют ваши данные на своих серверах, также управляют ключом шифрования, делая вас более уязвимыми, чем вам нужно..

Ссылка на общий доступ к файлу Sync.com

Вот где в игру вступает облачное хранилище с нулевым знанием. Как и в случае с менеджерами паролей, которые используют эту модель, ваш пароль, зашифрованный или незашифрованный, не сохраняется на серверах провайдера. В большинстве случаев вы также управляете ключом шифрования, а это означает, что, если правительственное учреждение постучит, все, что поставщик может дать ему, – это набор зашифрованного текста..

Нулевое знание по своей сути не означает более безопасный; Безопасность облачных хранилищ сложнее. Тем не менее, лучшие облачные сервисы с нулевым разглашением являются безопасным выбором, тем более что многие из них разделяют наше руководство по безопасному облачному хранилищу..

Победителем обоих этих руководств, а также нашего сравнения поставщиков облачных хранилищ является Sync.com. Он получил 100-процентную оценку безопасности в нашем обзоре Sync.com за модель с нулевым уровнем знаний и первоклассное шифрование AES-256..

Есть несколько других провайдеров, которые имеют отличные показатели безопасности, такие как pCloud, как вы можете прочитать в нашем обзоре pCloud. Если вы хотите больше ходить по магазинам, то лучшие поставщики в наших обзорах облачных хранилищ – это хорошее начало.

Последние мысли

Шифрование является частью использования Интернета. Ваша конфиденциальная информация необходима для банковских операций, доступа к медицинским картам и даже покупок в Интернете. Мы надеемся, что это руководство дало вам лучшее понимание того, как обрабатываются ваши данные, чтобы вы могли принять обоснованное решение о том, какие организации вы разрешаете поддерживать их.

При условии правильной обработки шифрование является одним из лучших способов обеспечения кибербезопасности. Менеджеры паролей, VPN и провайдеры безопасного облачного хранения гарантируют, что вы защищены от поспешного хранения паролей, ползучих интернет-провайдеров и незащищенных данных.

Чувствуете ли вы себя более уверенно в шифровании? Дайте нам знать в комментариях ниже и, как всегда, спасибо за чтение.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me