עם כל כך הרבה הפרות מידע משמעותיות בחדשות לאחרונה, אתה עשוי לתהות כיצד הנתונים שלך מוגנים כשאתה מקוון. כאשר אתה הולך לאתר אינטרנט כדי לעשות קניות ולהזין את מספר כרטיס האשראי שלך, בתקווה שתוך מספר ימים תגיע חבילה לדלת שלך. אבל באותו רגע לפני שאתה לוחץ על הזמנה, אתה תוהה איך האבטחה המקוונת עובדת?
היסודות של אבטחה מקוונת
בצורתה הבסיסית, אבטחה מקוונת - האבטחה המתקיימת בין מחשב לאתר אינטרנט - מתבצעת באמצעות סדרה של שאלות ותשובות. אתה מקליד כתובת אינטרנט בדפדפן, ואז הדפדפן מבקש מאתר זה לאמת את האותנטיות שלו.האתר מגיב במידע המתאים ולאחר שניהם מסכימים, האתר נפתח בדפדפן האינטרנט.
בין השאלות הנשאלות והמידע המוחלף ניתן למצוא נתונים על סוג ההצפנה המעביר את פרטי הדפדפן, מידע המחשב והמידע האישי בין הדפדפן לאתר. שאלות ותשובות אלו נקראות לחיצת יד. אם לחיצת היד הזו לא מתרחשת, האתר שבו אתה מנסה לבקר נחשב לא בטוח.
HTTP לעומת
- פתוח לכל אחד לראות לאורך הדרך.
- קל יותר להגדיר ולהפעיל.
- אין אבטחה עבור סיסמאות ונתונים שנשלחו.
- מוצפן במלואו כדי להסתיר מידע.
- דורש תצורת שרת נוספת.
- מגן על המידע המועבר, כולל סיסמאות.
דבר אחד שאתה עשוי לשים לב אליו כשאתה מבקר באתרים באינטרנט הוא שלחלקם יש כתובת שמתחילה ב-http, וחלקם מתחילים ב-https. HTTP פירושו פרוטוקול העברת Hypertext; זהו פרוטוקול או קבוצה של הנחיות המתייחסות לתקשורת מאובטחת דרך האינטרנט.
אתרים מסוימים, במיוחד אתרים שבהם אתה מתבקש לספק מידע רגיש או זיהוי אישי, עשויים להציג את https בירוק או באדום עם קו דרכו. HTTPS פירושו Hypertext Transfer Protocol Secure, וירוק פירושו שלאתר יש תעודת אבטחה שניתן לאמת. אדום עם קו דרכו אומר שלאתר אין תעודת אבטחה, או שהתעודה לא מדויקת או שפג תוקפו.
כאן הדברים קצת מבלבלים. HTTP לא אומר שהנתונים המועברים בין מחשב לאתר מוצפנים.זה רק אומר שלאתר שמתקשר עם הדפדפן יש אישור אבטחה פעיל. רק כאשר כלול S (כמו ב-HTTP S) הנתונים המועברים מאובטחים, ויש טכנולוגיה אחרת בשימוש שעושה את הייעוד המאובטח הזה אפשרי.
SSL לעומת TLS
- פותח במקור ב-1995.
- רמה מוקדמת יותר של הצפנת אינטרנט.
- איחור מאחורי האינטרנט הצומח במהירות.
- החלה כגרסה השלישית של SSL.
- Transport Layer Security.
- המשיך לשפר את ההצפנה בשימוש ב-SSL.
- נוספו תיקוני אבטחה לסוגים חדשים של התקפות וחרי אבטחה.
SSL היה פרוטוקול האבטחה המקורי כדי להבטיח שהאתרים והנתונים המועברים בין האתרים היו מאובטחים. לפי GlobalSign, SSL הוצג בשנת 1995 כגרסה 2.0. הגרסה הראשונה (1.0) מעולם לא הפכה לנחלת הכלל. גרסה 2.0 הוחלפה בגרסה 3.0 תוך שנה כדי לטפל בפרצות בפרוטוקול.
בשנת 1999, הוצגה גרסה נוספת של SSL, הנקראת Transport Layer Security (TLS), כדי לשפר את מהירות השיחה ואבטחת לחיצת היד. TLS היא הגרסה שנמצאת כעת בשימוש, אם כי היא מכונה לעתים קרובות SSL למען הפשטות.
הבנת פרוטוקול SSL
- הסתרת מידע שנקבע בין מחשב לאתר.
- מגן על פרטי התחברות.
- מאבטח רכישות מקוונות.
- לא מגן מפני כל האיומים.
- לא ניתן לאבטח אותך באתרים שאינם משתמשים ב-SSL.
- לא ניתן להסתיר באילו אתרים אתה מבקר.
כשאתה שוקל לחלוק לחיצת יד עם מישהו, זה אומר שיש צד שני מעורב. אבטחה מקוונת זהה במידה רבה. כדי שלחיצת היד שמבטיחה אבטחה מקוונת תתבצע, חייב להיות צד שני מעורב. אם HTTPS הוא הפרוטוקול שבו משתמש דפדפן האינטרנט כדי להבטיח אבטחה, אז המחצית השנייה של לחיצת היד היא הפרוטוקול שמבטיח הצפנה.
הצפנה היא הטכנולוגיה המשמשת להסוות נתונים המועברים בין שני מכשירים ברשת. זה מושג על ידי הפיכת תווים ניתנים לזיהוי לג'יבריש בלתי מזוהה שניתן להחזיר למצבו המקורי באמצעות מפתח הצפנה.זה הושג במקור באמצעות טכנולוגיה בשם Secure Socket Layer (SSL) Security.
SSL הייתה הטכנולוגיה שהפכה את כל הנתונים הנעים בין אתר ודפדפן לג'יבריש ואז חזרה לנתונים. כך זה עובד:
- אתה פותח דפדפן ומקליד את הכתובת של הבנק שלך.
- דפדפן האינטרנט דופק על דלת הבנק ומציג אותך.
- השוער מוודא שאתה מי שאתה אומר שאתה ומסכים להכניס אותך בתנאים מסוימים.
- דפדפן האינטרנט מסכים לתנאים האלה, ולאחר מכן אתה רשאי לגשת לאתר האינטרנט של הבנק.
התהליך חוזר כאשר אתה מזין את שם המשתמש והסיסמה שלך, עם כמה שלבים נוספים.
- הזן את שם המשתמש והסיסמה שלך כדי לקבל גישה לחשבון שלך.
- דפדפן האינטרנט שלך אומר למנהל החשבון של הבנק שאתה רוצה גישה לחשבון שלך.
- הם משוחחים ומסכימים שאם אתה יכול לספק את האישורים הנכונים, תינתן לך גישה. עם זאת, יש להציג את האישורים האלה בשפה מיוחדת.
- דפדפן האינטרנט ומנהל החשבונות של הבנק מסכימים לשפה שבה ייעשה שימוש.
- דפדפן האינטרנט ממיר את שם המשתמש והסיסמה שלך לאותה שפה מיוחדת ומעביר אותם למנהל החשבונות של הבנק.
- מנהל החשבון מקבל את הנתונים, מפענח אותם ומשווה אותם לרישומים שלו.
- אם האישורים שלך תואמים, ניתנת לך גישה לחשבון שלך.
התהליך מתרחש בננו-שניות, כך שאתה לא שם לב לזמן שלוקח לשיחה ולחיצת היד להתבצע בין דפדפן האינטרנט לאתר.
TLS Encryption
- הצפנה מאובטחת יותר.
- הסתרת נתונים בין מחשב לאתרים.
- תהליך לחיצת יד טוב יותר בעת משא ומתן על תקשורת מוצפנת.
- אין הצפנה מושלמת.
- לא מאבטח DNS באופן אוטומטי.
- לא תואם לחלוטין לגרסאות ישנות יותר.
הצפנת TLS הוצגה כדי לשפר את אבטחת הנתונים. בעוד ש-SSL הייתה טכנולוגיה טובה, האבטחה משתנה בקצב מהיר, וזה הוביל לצורך באבטחה טובה יותר ועדכנית יותר. TLS נבנה על המסגרת של SSL עם שיפורים באלגוריתמים השולטים בתהליך התקשורת ולחיצת היד.
איזו גרסת TLS העדכנית ביותר?
כמו עם SSL, הצפנת TLS המשיכה להשתפר. גרסת ה-TLS הנוכחית היא 1.2, אך TLSv1.3 נוסחה, וכמה חברות ודפדפנים השתמשו באבטחה לפרקי זמן קצרים.ברוב המקרים, הם חוזרים ל-TLSv1.2 מכיוון שגרסה 1.3 עדיין נמצאת בתהליך מושלם.
כאשר יסתיים, TLSv1.3 יביא שיפורי אבטחה רבים, כולל תמיכה משופרת בסוגי הצפנה עדכניים יותר. עם זאת, TLSv1.3 תפסיק גם את התמיכה בגרסאות ישנות יותר של פרוטוקולי SSL וטכנולוגיות אבטחה אחרות שכבר אינן חזקות מספיק כדי להבטיח את האבטחה וההצפנה התקינה של נתונים אישיים.
