Hakerzy rzadko się włamują, zamiast tego po prostu się logują, co jest stereotypem wśród mistrzów bezpieczeństwa komputerowego. Hakerzy mogą wykorzystywać i wykorzystują luki w kodzie programu, gdzie błędy popełnione przez oryginalnych autorów są następnie manipulowane, aby umożliwić niezamierzony dostęp.
Jeśli jesteś użytkownikiem systemu Windows, Mac, Android lub iPhone, bez wątpienia będziesz regularnie otrzymywać powiadomienia, że Twoje urządzenie musi zostać zaktualizowane do najnowszej wersji oprogramowania hosta, aby naprawić nowo wykryte luki.
Ale jeśli haker może odkryć lub wydedukować poświadczenia hasła do konta, oczywiście znacznie łatwiej jest zalogować się za pomocą tych danych, a tym samym uzyskać do nich dostęp.
Hasła były niezbędne do ochrony dostępu online do naszej poczty e-mail, koszyków zakupów online, prenumeraty gazet, kont bankowych i nie tylko. Zdecydowanie odradzamy używanie tego samego hasła do różnych usług, nigdy nie skracając go ani nie ułatwiając odgadnięcia. Powinniśmy zawsze je regularnie zmieniać, zawsze używać losowych kombinacji cyfr, liter i znaków interpunkcyjnych, a także zachować ich prywatność.
Krótko mówiąc, jest to niesamowicie niewygodne, ale najwyraźniej wstydliwa konieczność naszego cyfrowego życia.
Pomoc w zapamiętywaniu haseł zapewniają skarbce cyfrowe i menedżerowie haseł, którzy mogą zarządzać Twoim portfelem haseł. Mogą synchronizować hasła na różnych urządzeniach, które możesz posiadać, i zwykle oferują skanowanie ciemnej sieci w poszukiwaniu zhakowanych kont.
Jednak branża kierowana przez Google, Microsoft, Apple i inne firmy szybko wkracza w świat „bez haseł”, w którym można całkowicie uniknąć haseł. Bardziej oczywiste alternatywy opierają się na danych biometrycznych, takich jak skanowanie twarzy lub odcisku palca.
Ale możesz być zdezorientowany przez duże międzynarodowe korporacje, które z łatwością gromadzą ogromną skarbnicę informacji umożliwiających identyfikację osób na dużej części planety, co jest potencjalnie bezcenne zarówno dla rządów, jak i agencji policyjnych.
Klucze API
Bez względu na zalety i wady różnych metod uwierzytelniania, które pozwalają nam logować się do naszych komputerów, możesz nie zdawać sobie sprawy, że systemy oprogramowania również intensywnie wykorzystują hasła. Mają one postać cyfrowych „kluczy API” umożliwiających dostęp do baz danych i innych usług oprogramowania w sieci.
Te dane uwierzytelniające nigdy nie są przeznaczone do zapamiętywania przez ludzi, dlatego zwykle przyjmują formę długich kombinacji liter i cyfr, generowanych losowo w razie potrzeby.
W przeciwieństwie do hasła logowania, które identyfikuje konkretnego użytkownika, identyfikuje ono konkretną aplikację, komponent lub podsystem, który może być faktycznie używany przez bardzo dużą liczbę użytkowników.
Na przykład, jeśli konkretna aplikacja na Twoim urządzeniu inteligentnym korzysta z Mapy Google — na przykład aplikacja do wezwania taksówki, aplikacja kurierska lub aplikacja do dostarczania jedzenia — aplikacja musi przedstawić swój klucz API do usługi Mapy Google za każdym razem, gdy jest uruchomiona i Bez względu na to, który konkretny użytkownik uruchamia aplikację. Klucz API jest ustawiany podczas tworzenia aplikacji i jest używany przez Google do weryfikacji legalnego korzystania z usługi mapowania przez licencjonowaną aplikację.
Klucze numeryczne są rutynowo używane w aplikacjach do uzyskiwania dostępu do usług płatniczych, baz danych i innych usług internetowych.
Chociaż Google nie pobiera opłat od deweloperów aplikacji za zintegrowanie usługi map z ich aplikacjami, niektóre internetowe usługi oprogramowania dla deweloperów pobierają opłaty za ich użytkowanie. Klucz interfejsu API ma wówczas kluczowe znaczenie dla uwierzytelniania i obciążania odpowiedniego właściciela aplikacji, który może następnie odzyskać koszty, obciążając aplikację użytkownikami końcowymi.
Na szczęście podczas korzystania z aplikacji nie musisz znać różnych wewnętrznych kluczy API ani swoich osobistych haseł. Jednak klucze muszą pojawić się gdzieś w głębi systemu i mogą stanowić potencjalną lukę w zabezpieczeniach. Jeśli haker odkryje taki cyfrowy sekret, prawdopodobnie może napisać oprogramowanie do eksploracji usługi i wszelkich zebranych przez nią danych lub zwiększyć koszty nieuczciwego użytkowania.
To nie jest niespotykane
Twórcy oprogramowania często pracują w zespołach, a także mogą ponownie wykorzystywać oprogramowanie opublikowane przez społeczność w ramach oprogramowania open source w repozytoriach oprogramowania. Nie jest niczym niezwykłym znalezienie kluczy API i danych uwierzytelniających nieumyślnie umieszczonych w kodzie źródłowym oprogramowania.
Na szczęście dla twórców oprogramowania istnieje wiele narzędzi, które mogą skanować kod źródłowy, wyszukiwać klucze i dane uwierzytelniające związane z określonymi usługami internetowymi oraz generować odpowiednie ostrzeżenie w przypadku ich wykrycia.
Ale w ten sam sposób, w jaki użytkownicy są zachęcani do używania „mniej haseł” i zamiast tego polegają na innych mechanizmach uwierzytelniania, innowacje mogą ostatecznie wyeliminować potrzebę kluczy API, usuwając w ten sposób luki w uwierzytelnianiu i unikając konieczności stosowania narzędzi do skanowania i wykrywania .
Bardziej złożone podejście może wykorzystywać dwuetapowe lub nawet wieloetapowe uzgadnianie, które może być wyzwalane w pełni dopiero po zainstalowaniu lub zaktualizowaniu aplikacji.
Uwierzytelnianie cyfrowe jest interesującym obszarem innowacji ze względu na środki zaradcze i środki zaradcze, które są stale wymyślane zarówno przez dobrych, jak i złych ludzi.
Praca Dziś
Otrzymuj najnowsze wiadomości biznesowe i recenzjeRejestracja tutaj
„Analityk. Nieuleczalny nerd z bekonu. Przedsiębiorca. Oddany pisarz. Wielokrotnie nagradzany alkoholowy ninja. Subtelnie czarujący czytelnik.”
