Risposta appropriata alla violazione della sicurezza russa 2014 (CyberVor)

Il rapporto è autenticato su Gli hacker russi accumulano oltre un milione di password Internet - NYTimes.com . Ma molto non è chiaro, e anche i tempi non hanno notato il conflitto di interessi che Hold Security sta creando parlando in termini spaventosi ma non specifici su questo, e offrendo solo i propri servizi a pagamento per aiutare le vittime, come alludi a.

Sono sorpreso che non ci sia alcuna discussione sull'importanza di una corretta salatura e lentamente delle password di hashing prima di memorizzarle nei database delle password, come discusso qui a 'password' tag wiki . Se un sito fa questo, e le password sono forti, un hacker non può imparare le password semplicemente scaricando database dal sito web. Dovrebbero modificare il codice di autenticazione del sito Web e catturare le password in modo interattivo mentre gli utenti accedono. In questo modo otterrebbero solo lentamente le password degli utenti attivi e quel tipo di attacco su un sito è molto più probabile che venga notato.

Ma ovviamente molte applicazioni web non seguono nemmeno queste pratiche di base, come discusso ad esempio su crittografia - Guardando ad esempio di nota app usando hash non salati

Gli utenti finali dovrebbero utilizzare questo e altri report di hacking del sito Web per motivarli a prestare attenzione a quali siti Web interagiscono e per essere intelligenti su come gestiscono le password. L'utilizzo di siti Web che supportano l'utilizzo di un servizio di accesso Web ben protetto che richiede l'autenticazione a due fattori è migliore rispetto a un sito Web meno dotato di risorse che gestisce il proprio database delle password. Vedi anche le tecniche per affrontare in modo sano con un ampio portfolio di password su Come aiutare gli utenti a gestire i portafogli di password in base ai rischi di compromissione? - Scambio di stack di sicurezza delle informazioni .

Se hai riutilizzato le password per siti importanti su altri siti, potresti trarre vantaggio modificando tali password, ad es. se il sito importante non è vulnerabile, ma un altro con la stessa password è stato violato. Ma dal momento che molti dei siti con problemi rimangono vulnerabili, cambiare la password ora su uno di quelli potrebbe non essere di grande aiuto. E come indicato nella discussione sul portfolio delle password, la modifica delle password per i siti in cui non si dispone di alcuna informazione o risorsa a rischio è molto meno importante.

Negli Stati Uniti, la protezione dell'identità di solito consiste nell'ottenere notifiche quando il credito è preso in tuo nome o bloccato il tuo profilo di credito utilizzando un reclamo che la tua identità è già stata compromessa. Considerando i limiti legali menzionati di seguito sembra avere poco valore per me, ma forse ti aiuterebbe a dormire la notte.

Suggerisco di utilizzare il sistema legale a proprio vantaggio se si è negli Stati Uniti e limitare i fondi disponibili in qualsiasi conto di addebito online mentre si utilizzano le carte di credito, in quanto è più facile non pagare una fattura non valida che recuperare i soldi in un account svuotato. Qui sono limitati in responsabilità a cinquanta dollari se vieni attaccato link di riferimento .

Questo è un problema per tutti noi e per le persone che desiderano commerciare con noi (vedi la perdita di $ 148 milioni di Target pubblicata questa settimana). Le carte di credito Chip and Pin arriveranno qui negli Stati Uniti nei prossimi anni, ma presto non cambierà nulla di significativo sul fronte delle minacce, quindi impara a conviverci e comprendi i tuoi diritti legali.