Hur man säger om en webbplats lagrar lösenord som standardtext (och vad man ska göra)
Annons
När du registrerar dig på en webbplats litar du på dem med dina personliga uppgifter. De har åtkomst till din e-postadress åtminstone, och förmodligen mycket mer - inklusive, naturligtvis, ditt lösenord.
Men hur kan du veta om webbplatsen tar hand om din privata information? Varför är det ett problem när webbplatser lagrar kontoinformation i klartext? Och vad kan du göra åt det?
Vad är vanlig text? Varför är det ett problem?
Plaintext är exakt hur det låter som: ditt lösenord lagras precis som du skriver ner det.
Låt oss säga att en webbplats du använder har hackats. Hackaren har tillgång till en lista med konton med lösenord noterade. Låt oss anta att ditt lösenord är "Pa $$ w0rd" (och vi hoppas verkligen att det inte är det). Cybercriminal kan skanna ner listan, hitta din e-postadress och enkelt läsa att din "säkra" inloggning är "Pa $$ w0rd".
Den stora frågan är att det spelar ingen roll hur dumt och otänkbart ditt lösenord är. Eftersom alla som har tillgång till ditt konto kan läsa det, så enkelt som du läser det här.
Det är ännu mer oroande om du använder samma lösenord på flera plattformar. MakeUseOf rekommenderar att inte göra det av just detta skäl, liksom alla säkerhetsexperter. Men vi förstår frestelsen att hålla fast vid ett lösenord som är lätt att komma ihåg.
Men om du gör det, riskerar du hackare att använda läckta klartextkällor för att komma in på dina onlinebankonton, din Facebook och vad du än kopierar lösenordet på.
Uppskattningsvis 30 procent av e-handelswebbplatserna lagrar sina lösenord i klartext. Detta är inte något vi lätt kan förbise.
Det är inte heller begränsat till små, oberoende webbplatser. Några stora företag har fångats ut, inklusive NHL, Match.com, LinkedIn, National Trust och Vodafone. Lyckligtvis har de sedan implementerat säkrare lagringsmetoder.
Hur kan lösenord lagras säkert?
Vad är alternativet till vanlig text? Det finns faktiskt några alternativ för att lagra lösenord, men inte alla är lika säkra som de ursprungligen låter.
Många webbplatser använder en hash-funktion som omvandlar ditt lösenord till en annan uppsättning siffror. Om en hackare kommer in kan de bara se dessa slumpmässiga tecken. Det är emellertid en felaktig algoritm, eftersom varje gång du anger ditt lösenord genererar det samma hash. Systemet ser sedan till att dessa siffror korrelerar för att ge dig åtkomst till ditt konto.
Och ja, de kan vara knäckta, särskilt genom attacker av brute-force.
Men om du driver en e-handelswebbplats bör du istället använda saltad hash. Dessa tar samma princip, men ytterligare siffror bokför ditt lösenord innan det kommer in i hashalgoritmen.
Långsamma hascher är ännu bättre - de begränsar antalet gånger en hacker kan angripa datauppsättningen per sekund. Om en cyberkriminell vet att det tar dem längre tid att knäcka ett lösenord är det mindre troligt att de riktar sig till kontot.
Hur man säger om en webbplats lagrar lösenord som standardtext
Det är svårt att säga om du inte arbetar för det aktuella företaget. Och om du gör det, måste du varna ditt tekniska team om att lagring av privat data i ren text är oetiskt.
Det finns fortfarande en bra indikator du kan gå förbi. Om du ställer in ett konto och webbplatsen skickar ett e-postmeddelande som visar ditt lösenord lagras det troligtvis i klartext.
De är säkert osäkra om du klickar på "Glömt lösenord" och de skickar det till dig via e-post. Om det hade krypterats skulle de inte kunna göra det. Istället måste du verifiera att det är ditt konto och sedan återställa lösenordet helt.
E-postmeddelanden är i alla fall inte säkra. De är känsliga för hacking. Även om webbplatsen inte lagrar din information som ren text är det inte säkert att skicka ett detaljerat meddelande till dig.
Om du vill ta en grundlig inställning till dina onlineaktiviteter, använd ett platshållarlösenord när du registrerar dig i en onlinebutik. Klicka sedan på "Förlorat mitt lösenord" (eller en variant av det) och kontrollera din e-post. Om det enda alternativet är att återställa det, gör det.
Annars, om du tydligt kan se ditt platshållarlösenord i din inkorg, är detta ett oroande tecken.
Du kan också kolla in Plaintext Offenders, en webbplats avsedd för att lyfta fram företag som inte tar din säkerhet tillräckligt allvarligt.
Vad kan du göra med det?
Om du misstänker att en webbplats lagrar ditt lösenord i klartext, skicka ett e-postmeddelande till dem. Be dem ta upp dina problem.
Du bör höra tillbaka från dem, i vilket fall kommer de sannolikt att försäkra dig om att de använder kryptering för att säkra dina uppgifter. Men låt inte det avskräcka dig. Tro inte myten att kryptering är idiotsäker. Tro inte på dessa 5 myter om kryptering! Tro inte på dessa 5 myter om kryptering! Kryptering låter komplex, men är mycket mer enkel än de flesta tror. Ändå kanske du känner dig lite för i mörkret för att använda kryptering, så låt oss byta några krypteringsmyter! Läs mer .
Annars måste vi prata om skadebegränsning. Använd inte samma referenser för allt. Vi vet att det är frestande och du antar att det inte finns någon verklig skada i det. Men du har fel. Vi är säkra på att ett företag som du har använt tidigare har hackats redan. Det kan vara MySpace Ditt glömda MySpace-konto läcker alla dina hemligheter Ditt glömt MySpace-konto läcker alla dina hemligheter Kom ihåg MySpace? Det sociala nätverket du registrerade dig med år innan Facebook ... åh, du har glömt det? Tja, MySpace har inte glömt dig. Och det kunde ha läckt all din privata information. Läs mer, Tumblr, Dropbox ... eller en hel mängd webbplatser.
Kontrollera genom att skriva din e-postadress i Have I Been Pwned.
Säker lösenordshanterare säker text?
Lösenordshanterare är ett snyggt sätt att skydda dina referenser utan att behöva komma ihåg dem alla. Du använder ett säkert lösenord för att komma åt den chef som vet resten för dig.
Men de hjälper inte att bekämpa webbplatser med vanlig text. Chefen är ett lagringssystem för din säkerhet, inte webbplatsens. Dina privata uppgifter kommer fortfarande att läsas om någon kommer in på ditt konto.
Ändå är du tydligt intresserad av att hålla din privata information för dig själv, så det finns definitivt fördelar med att använda lösenordshanterare 7 Clever Password Manager Superpowers Du måste börja använda 7 Clever Password Manager Superpowers Du måste börja använda lösenordshanterare har mycket bra funktioner, men visste du om dessa? Här är sju aspekter av en lösenordshanterare du bör dra nytta av. Läs mer .
Vanliga lösenord är inte säkra!
Vanlig text betyder bara att ditt lösenord lagras precis som du skriver det. Och det är ett problem eftersom hackare enkelt kan läsa den. Var noga med att läsa om referensdumpning och hur du skyddar dig själv Vad är Credential Dumping? Skydda dig själv med dessa fyra tips. Vad är referensdumpning? Skydda dig själv med dessa fyra tips. Hackare har ett nytt vapen: referensdumpning. Vad är det? Hur kan du undvika att dina konton äventyras? Läs mer .
När du har registrerat dig på en webbplats ska alla välkomstmeddelanden du fick inte ha ditt lösenord med. om de gör det, är det en indikation på ett konto som använder vanlig text. Om du klickar på "Glömt mitt lösenord" och de skickar det faktiska lösenordet till dig, är det ett definitivt tecken att din personliga information hålls på ett osäker sätt.
Berörda en webbplats gör inte detta säkert? E-posta dem om dina bekymmer. De kan försäkra dig om att de använder kryptering, men ingenting är obrottsligt. Om inte, ta reda på hur välrenommerade webbplatser ska lagra lösenord. Hur håller webbplatser dina lösenord säkra? Hur håller webbplatserna dina lösenord säkra? Med rapporterade regelbundna säkerhetsbrott på nätet är du utan tvekan orolig för hur webbplatser tar hand om ditt lösenord. För sinnesfrid är det faktiskt något som alla behöver veta ... Läs mer och berätta för dem.
Utforska mer om: Online-säkerhet, lösenord.