Videó: Facebook Hacker Cup 2020 R3 (I Got To Finals!) (November 2024)
A biztonságosság nem néha dolog, hanem folyamatos folyamat. Nem vagy biztonságban, mert egy adott eszközt használ - biztonságos, mert minden nap biztonsági gondolkodást alkalmaz.
Vegye ki a jelszavakat. Mindig hallja az emlékeztetőket - ne használja újra a jelszavakat a webhelyek, alkalmazások és szolgáltatások között. Ne válasszon gyenge jelszavakat. Használjon egy jelszókezelőt, így szuper bonyolult jelszavakat választhat, és nem kell aggódnia, hogy megpróbálja őket emlékezni. Kapcsolja be a két tényezős hitelesítést, ahol csak lehetséges. Ezek mind jó tanácsok, amelyeket emlékezni és követni kell. A hét elején kollégám, Neil Rubenking egy lépéssel tovább vette a jelszókezelő ajánlását, és azt jelentette, hogy biztonsági kockázatot jelent a harmadik fél webhelyeire történő bejelentkezés a Google, a Facebook, a Twitter vagy más közösségi média hitelesítő adatokkal. Nem veszem ezt az érvet.
Látta már, amiről beszélek. Noha a legtöbb szolgáltatás megköveteli a fiók létrehozását a semmiből, vannak olyan oldalak, ahol bejelentkezhet a közösségi média hitelesítő adataival. Az Expedia például lehetővé teszi a Facebookon belépést. Vagy az Inoreader (a választott RSS-olvasóm), amely lehetővé teszi a Google-ba való bejelentkezést. Ez lehetővé teszi, hogy kihagyja a fiók létrehozásának folyamatát, és csak bejelentkezzen egy már létező fiókkal. Kényelmes, igaz? Nagyon. Biztonsági kérdés, ahogy Neil mondta a darabjában? Nem.
Amikor látom egy webhelyet, amely lehetővé teszi számomra, hogy bejelentkezzek egy másik fiókkal, ezt a lehetőséget választom. Nem használom a Facebook-fiókomat a bejelentkezéshez (sajnálom, az Expedia), de ha van lehetőség a Google-fiókom használatára, akkor igen. Erős és összetett jelszavam van, és engedélyeztem a két tényezős hitelesítést. Tehát Google-fiókom olyan biztonságos, mint amennyit tudok tenni, és bízom benne, hogy a Google megteszi a szükséges lépéseket adataim biztonságának megőrzése érdekében. Semmi a Facebook ellen, de szerintem jobb lépéseket tettem a Google-fiókom védelme érdekében, mint a Facebook.
Bízok benne? Nem
Amikor eljövök egy weboldalra, és létre kell hoznom egy fiókot, az első gondolatom a következő: "Bízok benne?" Bízom a webhelyen, hogy adataimat biztonságban tartom? És nem csak a jelszavakra és a hitelkártya-számokra gondolok. Bízom abban, hogy a webhely megtette-e a szükséges lépéseket telefonszámom, levelezési cím és születési dátumom adatbázisában történő védelmére? Őszintén? A legtöbb cégnél nem, nem. Az alkalmazások biztonsága nehéz - a legtöbb fejlesztő továbbra is csak a biztonságos kódolási gyakorlatokat tanulja -, mint az adatbázis hatékony biztosítása. Ez egy folyamatban lévő munka, és a biztonság szempontjából sok vállalat még mindig nincs ott. Mivel nem tudom megkérdezni a vállalatoktól: "Bízom benne, hogy biztonságban kell tartania a jelszavam, és hogy a hackerek nem lopják el?" Megteszem a könnyű utat, és feltételezem, hogy nem tudom.
Emlékszel a Gawker megsértésére néhány évvel ezelőtt? Az összes e-mail címet és jelszót feltárták, mert a Gawker fejlesztői nem tettek lépéseket a megfelelő biztonság érdekében. Nem azt mondom, hogy a Gawker tévedett - ez egy médiavállalat, és senki sem gondolta volna, hogy bárki is megy a weboldal kommentáló rendszeréhez. De megtörtént. Fogyasztóként nem fogom megpróbálni megvizsgálni, hogy mely vállalatok eléggé biztonságban gondolkodnak-e ahhoz, hogy megbízhassanak alkalmazásukban, és melyek nem. Arra fogok összpontosítani, hogy ki jól végzi a munkát.
A Google hitelesítő adataimmal való bejelentkezés fontos dolga: a webhely nem tárolja a jelszavam vagy egyéb adataimat. A Google+ gombra kattintva átirányítom egy Google oldalra, és hitelesítem a Google szerverei ellen. A Google ezután elmondja a webhelynek, hogy igen, én vagyok az, aki azt mondom, hogy én vagyok, és visszaküldi a webhelyre. Ami azt jelenti, hogy adataim a Google-nál maradnak, és a webhely csak kap egy tokent, amely azt mondja: "sikeresen bejelentkezett, engedd át".
Vegye figyelembe az összes weboldal-megsértést, amelyet az elmúlt két évben tapasztaltunk. Vannak olyan oldalak, amelyekre csak feliratkozom, hogy megnézhessem, miféle, és néhány nap után elhagyom, mert nem erre van szükségem. Ha létrehoztam egy fiókot a webhelyen, az információk az adott webhely adatbázisában találhatók. Még azután is, hogy elhagytam ezt a webhelyet, a számlám tovább él. (Ez az oka annak, hogy nem kedvelem azokat a webhelyeket, amelyek nem engedik meg fiókok törlését, de ez egy másik nap más története.) Ez sok olyan hely, ahol adataimat ellophatom. Ha a Google-fiókomat használom a bejelentkezéshez, akkor a webhelynek nincs információja rólam, hogy ellopjam. Ez megnyugtató. Ha elhagyom a webhelyet, a Google engedi, hogy visszavonjam a fiók engedélyét, hogy senki más ne jelentkezzen be én.
Beszéljünk a visszavonásáról. Az a lényeg, hogy hagyja, hogy a Google, a Facebook és a Twitter kezelje a bejelentkezést, azt is jelenti, hogy felhasználhatja őket a hozzáférés blokkolására is. Például a Google használatával jelentkezem be az Inoreaderbe. Tegyük fel, hogy már nem akarom használni az Inoreader alkalmazást. Bemegyek a Google Fiókbeállításokba, és kattints a „Hozzáférés visszavonása” gombra. És ez az. Ez az oka annak, hogy a Twitter használatával jelentkezem be néhány webhelyre. A Twitter rendkívül egyszerűvé teszi az alkalmazások leválasztását, amint készen vagyok.
Célom, hogy a lehető legkevesebb adatbázis legyen a világon, amely nyilvántartást tartalmaz a személyes adataimmal.
Egy másik dolog, amit szeretek a Google-lal történő bejelentkezéskor: fiókspecifikus jelszavak. Generálok egy véletlenszerű jelszót, amelyről a Google most tudja, hogy a webhely jelszava. Ez a jelszó csak az adott webhelyen működik, és nem ad hozzáférést máshoz. Ahelyett, hogy jelszavakat generálna egy jelszókezelőn, és létrehozott egy vadonatúj fiókot, a folyamatot a Google-on folytatom. Az e-mail jelszavamon kívül más jelszót is használok, és kihagyom a fiók létrehozásának teljes folyamatát a Google mechanizmusainak betartásával. Ez nagyon hasznos, ha például bejelentkezek egy mobilalkalmazásba. A Google most már tudja, hogyan kell igazolni személyazonosságomat, és a szokásos bejelentkezéshez hasonlóan csak visszavonom a jelszót, és az alkalmazás már nem tud bejelentkezni.
Ragaszkodj ahhoz, akiben bízik
Neil egy nagyon jó kérdést tett fel: kérdezd meg magadtól, hogy az oldalnak tudnia kell-e valamit rólad. Tudnia kell a nevét, e-mail címét, fizikai címét és telefonszámát, vagy bármilyen más profil információt az önről szóló webhelyről? Ha nem, ne adja át. Tartsa azt, akiben bízol.
Ha a Facebook jelszava "Password1", és ha valaki rosszindulatú szándékkal látja el ezt, akkor igen, az a személy léphet tovább, és bejelentkezhet bármilyen más webhelyre, amelyet összekapcsolt a fiókjával. De mennyiben különbözik attól, hogy Ön a "Jelszó1" lehetőséget választotta az adott webhelyhez? Ha e-mailben vagy a közösségi média webhelyén könnyen megjegyezhető jelszót használ, akkor valószínűleg nem használja a nehezen megjegyezhető karakterek sorozatát a gyakori repülési mérföldek számláján, igaz? Tehát az a gyenge jelszó azt kiáltja: "Hack me!" nem az a tény, hogy egy másik fiókkal jelentkezett be. És ha valaki kitalálta a Google jelszavát, nem hiszem, hogy a legnagyobb gond az, hogy ez a személy bejelentkezik-e az Ön összekapcsolt fiókjába. Nem akkor, amikor ilyen egyszerű csak jelszó-visszaállítási e-maileket kérni.
A biztonságnak nincs mágikus golyója. Egy adott eszköz felhasználható mind a jó, mind a rossz célokra. Az egész abban van, ahogyan megközelíti. Előnyöm az, hogy távol maradjak az adatbázisoktól. Ami a tiéd?
