Ce sunt parolele şi cum ar trebui să arate o parolă sigură
După ce ieri am aflat de curând, despre listele cu parole ce-au ajuns să circule pe internet şi v-am prezentat reacţiile unora dintre personajele implicate, am zis că pentru azi ar fi bine să vedem ce anume reprezintă o parolă şi care sunt cele mai sigure modalităţi de a alege şi de a stoca o parolă.
Şi nu vorbesc întâmplător de acest clivaj. Alegerea unei parole şi păstrarea ei în siguranţă reprezintă două lucruri diferite. Nu este suficient să avem o parolă sigură (o să vedem imediat ce presupune acest lucru), dacă nu suntem capabil să o protejăm de privirile indiscrete.
Ce este o parolă ?
Din nefericire „Dicţionarul Explicativ al limbii Române”, nu ne ajută foarte mult, iar singura definiţie care ar putea fi considerată acceptabilă pentru parolă este: „cuvânt secret sau formulă secretă de recunoaştere”.
Mai bine decât deloc, dar hai să particularizăm. Şi plecăm de la elementele descriptive. Cuvânt sau formulă secretă ?! Păi ce implică acest lucru ? Un şir de caractere. Ce fel de caractere ? Litere, cifre, semne, spaţii. Şi ce scop are acest cuvânt ? De recunoaştere sau de autentificare.
Să le spunem cap la cap:
„Parola reprezintă un şir de caractere (litere, cifre, semne, spaţii) prin intermediul căruia, o persoană (sau organizaţie) îşi certifică identitatea şi dreptul de a accesa anumite resurse.”
În regulă. Ştiu că nu este poate cel mai literar mod de concepere a unei definiţii, însă scopul acestui mic exerciţiu a fost să vă demonstrez că o parolă nu este doar un nume (fie el comun sau propriu) sau o înşiruire de cifre, iar orice abatere de la această definiţie de bază a parolei, reprezintă un risc de securitate. Paranteză. Păi PIN-ul (Personal Identification Number) nu este o înşiruire de cifre ? Este o parolă ?! ESTE. Dar din acest motiv au rezultat mai multe probleme şi de ceva vreme se caută alternative. Una dintre ele se numeşte „Cip şi PIN”, şi are ca ţintă securizarea plăţilor electronice prin validarea suplimentară a card-ului, a cărui „clonare” devine în acest caz imposibilă. Dar destul despre PIN-uri şi carduri. Am vrut doar să lămuresc problema, să nu credeţi că m-aţi prins în ofsaid. Fanta de lumină e prezentă.
Ne-am lămurit ce este o parolă, iar cum blogul de faţă se adresează utilizatorului obişnuit, pasionatului şi mai puţin profesionistului în IT, să vedem care ar fi cele mai obişnuite parole şi cum ar trebui să arate ele.
Care sunt parolele necesare unui utilizator obişnuit ?
Parola de logare în sistem
Începând cu Windows NT 3.1 Workstation şi apoi Windows 95 pentru utilizatorul individual, s-a încetăţenit ideea de logare în sistem. Şi asta chiar dacă vorbim de un singur calculator. S-ar zice că a fost primul pas spre securizarea sistemelor. Teoretic. Mulţi foloseau, sau încă folosesc celebra parolă „blank”.
Parola contului / a conturilor de e-mail
Majoritatea au două, trei, patru… zece adrese de mail… că doar nu-i aşa… sunt gratuite. Mai delicată este administrarea acestor conturi, alegerea unei întrebări de securitate decente (aici ar fi o altă discuţie fiindcă nu este suficient să folosiţi o parolă sigură, dacă întrebarea de securitate este una banală).
Parola blogului sau de acces în reţelele sociale
E la modă să avem blog. Cont (cel puţin unul) pe Twitter, pe Hi5, pe Facebook, etc. Cine îşi bate capul cu parole ? Una şi bună să fie. Asta până când ea este „desecretizată” şi atunci observaţi cu mirare că nu vă mai puteţi autentifica.
Parola pentru online banking
În număr mai mic, după ce au fost introduse dispozitivele de securizare, mai există cazuri în care utilizatorilor unui astfel de serviciu de online banking li se cere să-şi aleagă singuri o parolă. O idee proastă, dacă mă întrebaţi, deoarece majoritatea vor opta (aproape invariabil) o parolă nesigură. Ce se întâmplă în continuare, este lesne de bănuit şi are consecinţe dintre cele mai neplăcute. Dar pentru că n-am timp să insist asupra subiectului, vă invit să lecturaţi un articol foarte bun, scris de Luca Dezmir: „Recomandări pentru utilizarea în siguranţă a serviciilor de online-banking”
Cum ar trebui să arate o parolă sigură ?
Bun. Am văzut care ar fi principele parole de care loveşte un utilizator obişnuit. Pe locuri, s-a insinuat în discuţie subiectul parolelor sigure. A venit vremea să intrăm în detalii. Pas cu pas.
Primul pas: nu folosiţi parole de amoru’ artei
N-are nici rost. Decât o parolă „12345”, „123456”, „admin” (cu variantele „admin123” sau „admin1), „qwerty”, „password”, „test”… sau orice asemenea năzbâtie, mai bine lipsă. Am o listă cu parolele „preferate” ale viermelui de internet Confiker (despre care am discutat deja în două rânduri, în articolele „Conficker. Un vierme de internet perpetuu”, respectiv „De ce nu pot accesa site-uri de antivirus? Să fie Conficker ?”) şi dacă vă recunoaşteţi mai jos „capodopera”, citiţi cu foarte mare atenţie restul materialului. Sau mai bine faceţi întâi o scanare. Articolul meu nu pleacă nicăieri.
Pasul doi: parola trebuie să fie UNICĂ
La fel cum anumite persoane îşi folosesc ziua de naştere „ddmmyyyy” pe post de parolă, de parcă în acea zi s-ar fi dat intersecţie în maternităţi, alţii merg pe mâna echipei favorite de fotbal, a actorului preferat, a eroului de benzi desenate care le-a marcat copilăria sau a şefului care le-a mâncat viaţa. Credeţi că sunteţi singurul fan al lui Arnold Schwarzenegger, sau vă număraţi printre „cei aleşi” care reuşesc să scrie corect numele starului american ? UNICĂ înseamnă INVENTATĂ, CREATĂ de voi.
Pasul trei: parola NU TREBUIE SĂ AIBĂ LEGĂTURĂ CU VOI
Începând cu persoanele care îşi folosesc id-ul de messenger pe post de parolă, mergând până la numele căţelului, al peştişorului, al soţului, al copilului / depinde de fiecare ce lighioană are în grijă, asemenea detalii sunt foarte uşor de aflat şi nu garantează securitatea. Veţi spune că mă repet şi că o parolă unică exclude o legătură directă cu persoana vostră. Goleo, mascota campionatului mondial din 2006, era unic şi totuşi… cunoscut de toată lumea.
Pasul patru: parola trebuie să fie UŞOR DE MEMORAT
Aici fac o precizare suplimentară. Chiar dacă aveţi 15-20 de parole, nu este nevoie să le ţineţi minte de toate, dar măcar una singură, trebuie să fie uşor de memorat. Aşa numit-a „master password”. Există şi-o axiomă: „Hard to guess, easy to remember”.
Pasul cinci: NU FOLOSIŢI PAROLE MAI SCURTE DE 8 CARACTERE
Cu 8 caractere (2 la puterea a treia) se poate genera o parolă de aproximativ 50 de biţi. V-am lămurit buştean, nu ? Hai să punem altfel problema. O parolă de 4 caractere, formată doar din cifre (cazul PIN-urilor, pe care l-am discutat la începutul articolului) are o valoare de 10,12 sau maxim 14 biţi, insuficientă cât să reziste unui număr mare de încercări. De ce credeţi că un card se blochează la treia nereuşită ?
Pasul şase: LITERE, CIFRE, SEMNE
Chiar şi spaţii, acolo este permis. Paranteză. Prin definiţie password, ne duce cu gândul la existenţa unu singur cuvânt (eng. word), însă dacă termenul este fracturat prin introducea unor spaţii, parola nu mai fi formată doar dintr-un cuvânt, ci din mai multe. În acest caz, denumirea corectă este de passphrase. Conform logicii, passphrase (frază parolă) este considerată mai sigură, decât varianta fără spaţii (password).
Ce ar trebuie să ştie orice utilizator care încearcă să-şi aleagă a parolă potrivită, este că nu trebuie să se ferească în a utiliza semne sau caractere speciale:
!@ # $ % ^ & * ( ) _ + = – \ ] [ { } | ‘ ” ; : , . < > / ? – ”„
Pasul şapte: FIECARE CONT CU PAROLA LUI
Să presupunem că aţi reuşit să vă găsişi parola perfectă. Mă bucur pentru voi, dar dacă o veţi folosi pentru trei, cinci, zece conturi, inclusiv ca să vă logaţi pe blogul vecinei de şase (care păstrează aceste date într-un fişier text, neprotejat şi necriptat), parola voastră de un milion de dolari, tocmai ce a devenit inutilă. Şi trebuie s-o luaţi de capăt. Bine, asta dacă mai aveţi cu ce.
Să alegem o parolă sigură
Cu ceva vreme vreme în urmă, când încă mă războiam cu amicul nostru Conficker („şi dă-i şi luptă, şi luptă şi dă-i”), am găsit pe blogul lui Graham Cluley, unul dintre cei mai renumiţi experţi la nivel mondial în problema viruşilor şi spam-ului, un filmuleţ în care ni se explică cum să alegem o parolă sigură. Fiind vorba material de nici patru minute, vă rog să-l urmăriţi cu atenţie şi revenim.
Noţiune de bază pentru alegerea unei parole sigure de la Laboratoarele Sophos.
Graham Cluley tocmai ce ne-a demonstrat că o a parolă poate fi sigură şi uşor de reţinut în acelaşi timp. Nu degeaba l-or fi angajat cei de la Sophos „Senior Technology Consultant”.
KeePass Password Safe
Dar poate noi suntem mai comozi. Sau suntem presaţi de timp. Ce facem ? Apelăm la software specializat. Iar prima soluţie pe listă este KeePass Password Safe.
URL: http://keepass.info/
KeePass Password Safe. Versiunea portabilă:
URL: http://portableapps.com/apps/utilities/keepass_portable
Ar fi multe de spus despre acest program, căruia promit să-i dedic un material Asta cât de curând… dacă nu mâine, atunci în weekend, însă până atunci să vedem ce ştie să facă KeePass Password Safe.
KeePass Password Safe generează parole
Unice. Sigure. Şi exact aşa cum doriţi dumneavoastră. Vreţi ca parolă să fie de 10 caractere lungime ? Nici o problemă. De douăzeci ? Nimic mai simplu ? Litere mari, litere mici, cifre, semne, caractere speciale. În plus, pentru fiecare parolă generată vă este afişată mărimea ei în biţi astfel încât, încercând diferite combinaţii, obţine parole din în ce mai sigure.
KeePass Password Safe gestionează / administrează parole
Parolele pentru Windows, pentru logare în reţea (despre care am vorbit la început), cele asociate conturilor de e-mail (discutate), sau a pentru diferite site-uri (reunite în categoria internet) şi nu în ultimul rând, parolele necesare activităţilor de online banking, pot fi gestionate (să nu folosesc englezismul – manageriate) cu succes folosind acest program. Tot ce aveţi nevoie este să creeaţi o bază date, la rândul ei securizată (print-o parolă generală – master password sau folosind un fişier parolă – pwsafe.key), în care veţi stoca toate celelalte parole. KeePass este destul de simplu de folosit, iar în curând sper să fac o prezentare mai detaliată a acestui program. De ce nu, poate chiar un video tutorial.
Secure Password Generator
V-am mai amintit despre această unealtă pusă la dispoziţie de PCTools, dar nu ştiu câţi dintre voi au citit cu atenţie materialul respectiv. Practic, aşa cum îi spune şi numele PC Tools Password Generator, este un generator de parole, care poate fi folosit atât online (inclusiv folosind o conexiune securizată SSL), dar şi offline dacă descărcaţi instalaţi aplicaţia…
PC Tools Password Utilities
URL: http://www.pctools.com/guides/password/
Ce oferă PC Tools Password Utilities ?
- Password Generator – aşa cum tocmai v-am spus este versiunea offline a generatorului de parole, foarte utilă atunci nu beneficiaţi de o conexiune la internet;
- Password Checker – un utilitar interesant care analizează parolele şi execută o serie de teste, la sfârşitul cărora vă spune dacă parola folosită este sau nu sigură;
- Password Revealer – funcţionează împreună cu Internet Explorer şi vă arată ce parole aţi folosit de-a lungul timpului în diferite formulare. Poate fi folosit cu succes pentru a recupera parola folosită pentru un anumit site, şi pe care între timp aţi uitat-o.
Şi despre PC Tools Password ar mai fi multe de spus, dar timpul nu ne permite. Trebuie să încheiem.
Dar până la final…
Mai am timp să lămuresc o problemă. Şi anume: gestionarea iresponsabilă a parolelor este mai periculoasă (şi mai păguboasă) decât folosirea unor parole nesigure.
Vă adresez aşadar, două întrebări:
I. Ce calculator folosiţi pentru a vă verifica e-mail-ul, pentru a vă înregistra în reţelele sociale, sau chiar pentru a efectua tranzacţii online. Este acel sistem, unul SIGUR ?
II. Obişnuiţi să accesaţi conturile personale şi de pe calculatoare despre căror securitate nu ştiţi mai nimic (sistemele unor prieteni, cele aflate la locul de muncă, internet cafe-uri, biblioteci, etc.) ?
Aici s-ar putea să fie problema, fiindcă şi cele mai sigure parole sunt ţinte sigure în faţa unor troieni sau programe de tip keylogger. Încercaţi, pe cât posibil, să nu săriţi pe orice calculator, în frenezia de vă verifica e-mail-ul.
Pericolul principal nu îl reprezintă viruşii, troienii sau de orice alte vietăţi care sălăşluiesc în realitatea mai mult mai puţin virtuală, ci propriile acţiuni ale utilizatorului. De multe ori, acesta este slab informat şi, involuntar, îşi asumă nişte riscuri pe care probabil, în cunoştinţă de cauză, le-ar considera inacceptabile.
Urmare a comentariilor ce au precedat acest articol şi în special a celor care semnalau dificultatea de folosi o parolă sigură (dar foarte dificil de memorat), am zis că pot să dau o mână de ajutor, prezent o modalitate de securizarea unei parole obişnuite cu ajutorul unei fraze parolă. Să ne înţelegem. Nu este o metodă pe care o recomand, însă reprezintă o soluţie mai sigură, faţă de parola „clasică” 12345, qwerty, admin, etc.
Aici, pe blogul Stefa Media, există o categorie dedicată soluţiilor de SECURITATE ŞI INTIMITATE, unde multe dintre întrebările voastre îşi vor găsi răspunsul.
Materiale bibliografice:
- http://www.sophos.com/blogs/gc/g/2009/01/16/passwords-conficker-worm/
- http://www.guidebookgallery.org/screenshots/login
- http://en.wikipedia.org/wiki/Passphrase
- http://en.wikipedia.org/wiki/Password
- http://en.wikipedia.org/wiki/Chip_and_PIN
- http://en.wikipedia.org/wiki/Personal_identification_number
Execelnt articolul as avea de adaugat ca pentru un utilizator obisnuit sa aiba o parola ce contine litere mari , mici si numere este recomandat macar una de genul [ y29QRehVyz ]
Bine inteles ca una [ adV%a8#>sZ ] ar fi recomandata dar …
Eu am pe telefon un program ce imi tine minte parolele deoarece eu nu pot tine minte eu folosesc parole diferite la fiecare cont si le schimb 1 data pe saptamana (pentru ca asa m-am obisnuit de vreo 3-4 ani) bine inteles ca fiecare schimba parola de cate ori crede el ca e necesar
KeePass e ideal.. îl folosesc de multă vreme. Ca idee folosesc generarea automată a parolelor cu KeePass dar și un algoritm personal de generare a parolelor
Salut Aerosoul. KeePass e formidabil. Eu acum am verificat pe site-ul tău şi văd ai scris un material despre KeePass cu aproximativ un an în urmă. E bine, dar cel puţin eu am impresia că aceste informaţii nu ajung la cititori. Poate ar trebui să fiu ceva mai agresiv (la modul vizual) sau să încerc să trezesc la viaţă acest target (n.r. utilizatorul obişnuit). Altfel, scriem pentru noi. Ştii, era un candidat la Preşedinţie prin ’92 care avea sloganul „Este dintre noi. Este pentru noi”. Mi se pare suspect de actuală formularea.
Salut Cătălin
Iniţial am dat câteva exemple de parole sigure, în genul celor pe care le folosesc. Am renunţat însă la recomandări de teama ca cineva, grăbit şi care nu a citit articolul, să nu copieze acea parolă sub impresia că „ a văzut pe un blog că e sigură”. Aşa, avem prezentarea făcută de Graham Cluley şi link-urile către generatoarele de parole (KeePass şi PC Tools Password Generator).
Aşa cum ne-ai obişnuit, articol foarte bun!
Este destul de delicată treaba cu parolele. Hai să-ţi spun cum fac eu. În primul rând aleg o parolă foarte lungă. Exact, parola nu trebuie să ma reprezinte, să aibă legatură cu mine sau cu ce fac eu. Dar cu toate astea, chiar îmi e greu să ţin minte parole de genul wvqp&3mshl8c2?zgkxo. Probabil că greşesc, dar aleg totuşi cuvinte. De ce ziceam mai devreme “să ţin minte”? Pentru că parola nu trebuie să fie scrisă (memorată) nici unde, trebuie învăţată ca pe poezie. Nu obişnuiesc să folosesc nici un manager de parole pentru că acele fişiere unde sunt ţinute parolele pot fi furate, decriptate…
Parola o aleg foarte lungă de pe vremea când era la modă Brutus sau BrutForce, acele progrămele cu care lăsai PC-ul pornit zile întregi pentru a încerca x variante de parole pe diferite site-uri.
Parola o schimb aproximativ o dată pe lună şi… da, evit să am o parolă generală, adică o singură parolă la toate conturile de e-mail, forumuri, blog, etc.
În încheiere, prin intermediul blogului tău, atrag atenţia copilaşilor care folosesc DC, DC++, StrongDC,… să nu îşi pună în share toată partiţia “C:” pentru că astfel le oferă tuturor cookie-urile de logare pe paginile care acceptă logarea prin cookie.
O zi bună tuturor şi… MARE GRIJĂ LA PAROLE!
Salut Julian. Nici nu ştiu dacă să bucur că v-am obişnuit cu articole bune interesante, fiindcă asta implică şi o obligaţie.
Îţi mulţumesc pentru comentariu şi pentru feedback. Nu este greşit să foloseşti cuvinte, dar o parolă nu trebuie să se regăsească în dicţionar. Să-ţi dau un exemplu: parola „mirceacelbătrân”, poate deveni foarte uşor „m!rc3ac3lbâtr&n”. Valoarea ei a crescut de la 80 la 91 de biţi şi este o parolă sigură. E bine că nu foloseşti o singură parolă pentru toate conturile, aşa cum fac 40% dintre utilizatori (tot de la Sophos citire).
Eu prefer să folosesc un gestionar de parole fiindcă sunt destul de multe şi mă tem, cu vârsta, să nu ajung să le încurc. Iar KeePass e ok. Open source, versiune portabilă, fără bug-uri, etc.
Legat de dc++, recunosc că m-am ferit să scriu despre acest subiect. Orice aş încerca, nu e deloc alb, e foarte puţin gri şi restul negru. În mare parte, utilizatorii acestor programe pun securitatea personală, sau cel din jurul lor pe ultimul plan. E mai important ultimul Fifa decât dacă-şi pierde cineva din familie locul de muncă, pentru că „ai dat share” tuturor documentelor din calculator, sau chiar unei partiţii întregi (aşa cum foarte bine ai sesizat).
O zi cât mai plăcută îţi urez şi un început de weekend relaxant
Mai pe seară vin cu un filmuleţ pe blog, că doar „vineri e video”.
Sa sti ca ma gandesc sa folosesc si eu Keepass
Felicitari. Mereu, articole TARI !
eu am o combinatie formata din litere si cifre, acestea nu au nici o legatura cu mine sau cu ceva preferat, e pur si simplu un cuvant luat din dictionar si amestecat cu cifre
Oricum parolele difera la fiecare mail si cred ca voi incerca Keepass
Mulţumesc pentru feedback. Mă bucur să aud că există şi utilizatori care au renunţat de ceva vreme la clasica parolă „12345”. Bravo
Cât priveşte KeePass, nu pot decât să-l recomand cu toată încrederea.
Pate aduci un material propriu, referitor la KeePass …
Pentru linux KeePassX
S-ar putea să vă placă un material semnat de videotutorial.ro despre KeePass.. hxxp://www.videotutorial.ro/?p=1356
Interesant articol, frumos explicat.
Eu voi fi mai tehnic: orice parola a carei keySpace este mai mic de 2^60 poate fi sparta.
Sa va lamuresc : daca vrei sa spargi o parola (hashul ei) ai 3 variante de atac : dictionary attack, bruteforce attack si rainbow tables attack.
Dictionary attack este atacul simplu, prin care se compara hashul parolei cu hashul fiecarui cuvant dintr-o lista de cuvinte (wordlist). Evident exista mutatii ale acestui atac, dar nu voi intra in amanunte.
Bruteforce attack – se incearca toate posibilitatile de a sparge parola, atacatorul alege un charSet ( combinatie de litere, cifre, simboluri etc, exemplu : loweralpha =[a-z], upperalpha=[A-Z], numeric = [0-9], symbol32 = [toate simbolurile de pe tastatura] ).
Sa presupunem ca parola in cauza are lungime 9 si e formata NUMAI din caractere loweralpha (adica a-z)
charSet = [a-z]
charSetLen = 26 (numarul de caractere din charSet )
Facand bruteforce de la lungime 1 la lungime 9, vom avea N combinatii.
N = 26^1+26^2+…+26^9
N = (26*(26^9-1)/(26-1))
Dar N se numeste keySpace. Asadar:
keySpace = (charSetLen * (charSetLen^maxPwLen – 1) / (charSetLen – 1)
keySpace ~= 2^42
Daca keySpace-ul este mai mic decat 2^60 log_2(keySpace)<60, parola este vulnerabila.
Dupa cum se observa, este.(42 60, putem deja considera parola "safe" deoarece, spre exemplu, un brute forcer rapid (BarsWF) poate sparge hash-uri MD5 la o viteza de aproximativ 350 Mhashes/sec, folosind placa grafica pentru procesare. Asta inseamna ca un atacator care detine 200 de computere (adica placi video), poate parcurge toate combinatiile de parole (keySpace-ul) in 190 zile.
Ce inseamna ce am spus eu mai sus ?
1. daca vrei o parola "sigura" compusa NUMAI din caractere a-z, parola trebuie sa aiba lungime >=13.
Daca vrei o parola “sigura” compusa numai din caractere “x”, parola trebuie sa aiba lungime >= y.
2. 0-9, >=19.
3. a-z si A-Z, >=11.
4. a-z si 0-9, >=12.
5. a-z si A-Z si 0-9, >=11
6. a-z si A-Z si 0-9 si simboluri >= 10
Rainbow tables attack, sa fiu cat mai concis : ele “stocheaza” intr-un mod foarte eficient 99.9% din toate combinarile de parole posibile din keySpace, pentru ca timpul de atac sa scada dramatic.
Deocamdata cel mai mare proiect care genereaza astfel de tabele rainbow este freerainbowtables.com. Dar ei genereaza si detin tabele doar pentru urmatorii algoritmi : LM(windows XP), NTLM(windows vista), md5(marea majoritate a bazelor de date encripteaza parolele cu acest algoritm hash, sha-1, mysql323.
Cel mai mare keySpace atacat de dansii este 2^50. (De >1000 ori mai putin decat maximul impus de mine).
Salutari,
begood (ma puteti gasi pe rstcenter)
Salutare. Scuze dacă sună off-topic, dar poţi să detaliezi puţin pe subiectul “chip & pin” de la carduri? Că nu sunt convins că am înţeles. Asta numai dacă se poate. Mersi anticipat.
Mi se fura parola! Ce trebuie sa fac? Nu mi se cunosc datele, intr. de control si totusi cineva reuseste sa-mi schimbe mereu parolele.
atacatorul iti stie intrebarile de siguranta !
vezi ce faci.