Protejarea parolelor. Studiul CPP din Marea Britanie
Ce-i drept, în ultimele două săptămâni, am preferat să vă fac cunoscute o serie de reduceri şi promoţii, în paralel cu o afişarea unei colecţii de resurse (teme, imagini de fundal, pictograme, ş.a.m.d.), fără a intra în subtilităţi sau în probleme de fond. Nu aveam dispoziţia necesară unor analize stufoase, şi cred că nici voi n-aţi fi fost dispuşi să vă „asezonaţi” sarmalelor şi friptura de revelion cu ameninţările informatice din luna decembrie.
Sărbătorile au trecut (sau cel puţin, majoritatea dintre ele) şi este vremea să redevenim serioşi, asta măcar în perspectiva datelor pe care am să vi le prezint în continuare. Subiectul este unul care s-a mai bucurat de atenţie în paginile acestui blog, şi anume: protejarea parolelor, iar dat fiind faptul că articolul de faţă face parte dintr-o colecţie, n-am să reiau discuţia despre ce sunt parolele şi cum ar trebui să arate o parolă sigură sau metoda de securizare a unei parole obişnuite (a se citi nesigure) cu ajutorul unei „fraze parolă”. Mai mult, în măsura timpului disponibil, voi încerca să actualizez şi celelalte materiale, luând în considerare şi comentariile voastre.
Dacă vă mai amintiţi, în jurul datei de 8 decembrie 2009, o ştire ce viza serviciul de microblogging Twitter a făcut înconjurul blogurilor de profil IT. Motivul ?! Includerea în pagina de înregistrare (twitter.com/signup) a unui script ce împiedica utilizatorii să folosească o serie de parole considerate nesigure. N-am să redau conţinutul twttr.BANNED_PASSWORDS (în speţă cele 370 de parole interzise), fiindcă nu mi se par a fi extrem de relevante (măcar prin comparaţie cu lista parolelor „preferate” de Conficker), iar voi le puteţi găsi foarte uşor verificând codul paginii respective. În plus, subiectul a fost tratat pe unul din blogurile partenere, worldit.info.
Altceva mi s-a părut interesant. Că uşor-uşor, furnizorii de servicii (e-mail, mesagerie instant, găzduire web, dar nu numai), sătui să mai repete (aproape obsesiv) aceleaşi sfaturi, au trecut la nivelul următor: blocarea unor parole şi sporirea securităţii (cred că aţi afla deja de obligativitatea confirmării contului prin SMS, recent introdusă de Google).
Întrebarea care se pune, este dacă majoritatea utilizatorilor nu s-au desprins până acum cu gestionarea gestionarea corectă parolelor, iar măsurile de precauţie şi articolele ce tratează subiectul, nu sunt cumva doar rodul unor minţi uşor paranoice, obişnuite să pună răul înainte.
Ei bine, o companie din Marea Britanie, CPP („Assistance, Identity Protection and Card Insurance”), a realizat un studiu destul de grăitor pentru situaţia existentă la ora actuală, iar graţie celor de la telegraph.co.uk care au preluat informaţiile, pot să vă prezint câteva cifre şi vă rog să-mi spuneţi dacă sunt veşti bune sau nu.
Studiul CPP din Marea Britanie
Plecând de la constatarea că unui utilizator care NU accesează internetul extrem de des, i se cere să introducă o parolă, în medie de 23 de ori pe lună, studiul CPP a demonstrat că 46% dintre utilizatorii din Marea Britanie (15,6 milioane) folosesc aceeaşi parolă pentru majoritatea conturilor online, iar 5% dintre ei, adică 1,7 milioane, folosesc EXACT aceeaşi parolă. Nu zâmbiţi că nu s-a terminat.
În jur de 29 de procente, folosesc diverse combinaţii ale unei parole standard, la care adaugă zilele săptămânii, ale lunii, ş.a.m.d. Aniversările (să nu spunem comemorările) sau numele copiilor sunt folosite pe post de parolă de un britanic din zece, în timp ce unul din cinci îşi încredinţează secretele în „mâinile” animalului de companie.
Un alt lucru extrem de interesant, demonstrat de studiul CPP, a fost acela că 40% dintre subiecţi au recunoscut că parola lor este cunoscută de familie sau de prietenii apropiaţi, iar două procente se află în postura, aş spune destul de ingrată, ca fostul partener de viaţă să aibă acces la conturilor web de e-mail şi nu numai. Tot ce le pot dori este un divorţ rapid, fiindcă în cazul unui partaj mi-e teamă că vor fi destule probe la dosar.
Poate uşor surprinşi de rezultate, telegraph.co.uk precizează că „aproape 16 milioane de oameni riscă să cadă victime fraudelor electronice, fiindcă se folosesc aceeaşi parolă pentru mai multe conturi”, iar Sarah Blaney de la CPP, abordează subiectul într-un mod destul de plastic, întrebându-se de ce o personală rezonabilă, care nu foloseşte aceeaşi cheie pentru casă, maşină şi garaj, s-ar baza pe o singură parolă pentru toate conturile ?!
Un exemplu recent l-am prezentat în luna octombrie 2009, când acele liste cu parole au început să circule pe internet… de-au ajuns până la BBC. Şi atunci, utilizatorii cei mai afectaţi, au fost cei care şi-au pus speranţele într-o singură parolă.
Dat fiind faptul că nu-mi place să împart poveţe în stânga şi-n dreapta, şi nici nu-i nevoie să mă credeţi „pe cuvânt”, puteţi citi opiniile domnului Randy Abrams, director de Educaţie Tehnică de la Esset. E drept că unele lucruri s-au mai auzit pe acest blog, însă e mai bine să fie repetate, decât trecute cu vederea.
Am stabilit deja că parola trebuie să fie una SIGURĂ, şi acum rămâne de văzut care sunt câteva dintre metodele eficiente de protejare a parolelor:
Folosiţi parole diferite pentru fiecare cont
Astfel, dacă din motive independente de acţiunea voastră, unul din conturi este compromis, nu riscaţi celelalte conturi. Am văzut cazuri în care utilizatori, extrem de precauţi de altfel, au folosit parola contului de Yahoo pe te miri ce site, unde aceste informaţii erau stocate „în clar” (adică necriptate).
Actualizaţi-vă parolele o dată la câteva luni
Depinde foarte mult şi ce fel parolă aţi ales, sau cât importante sunt informaţii protejate, însă e recomandat ca parolele să fie schimbate, măcar trimestrial. Randy Abrams propune un interval între 6 şi 12 săptămâni.
Stocaţi-vă parolele într-un mediu securizat
Aici, părerile sunt împărţite între cei care spun că stocarea parolelor trebuie făcută exclusiv în memorie şi cei care recurg la soluţii precum KeePass, sau chiar la tipărirea acestor parole. E aproape imposibil însă, dacă respectaţi cele două condiţii anterioare, să vă bazaţi doar pe memorie. KeePass Password Safe sau alternativa sa pentru Linux: KeePassX, reprezintă mijloace eficiente de păstrare în siguranţă a parolelor.
Câteva gânduri la final…
Sunt conştient că cei mai mulţi dintre cititorii blogului Stefa Media ŞTIU deja să se protejeze (dovadă sunt comentariile trecute), iar acest articol nu are un grad de noutate crescut. Îmi asum riscul. Dacă măcar unul sau doi dintre vizitatori, vor conştientiza (urmare a materialului de faţă), importanţa protejării parolelor, mă declar mulţumit.
Nu ştiu dacă situaţia din România este mai îmbucurătoare decât cea din Marea Britanie şi care-a făcut obiectul studiului CPP, însă îmi vine greu să cred în transformări miraculoase. Voi sunteţi mai optimişti ?
Materiale bibliografice:
- http://www.eset.com/threat-center/blog/2009/06/25/password-mythology
- http://www.cpp.co.uk/
- http://blog.wundercounter.com/2009/12/twitter-and-avoiding-weak-passwords.html
- http://www.telegraph.co.uk/technology/news/6922207/Almost-16-million-use-same-password-for-every-website-study-finds.html
- http://www.google.com/support/accounts/bin/answer.py?hl=ro&answer=114129
și apoi dau telefoane în speranța că îi poate ajuta cineva…
Un articol asa cum m-am obisnuit sa citesc pe aici. Problema ce am avut-o si eu pe propria piele si dupa mine este una din cele mai grave este pastrarea aceeasi parole pe diverse conturi.
Asa cum probabil am mai spus in urma cu ceva vreme pe aici, parolele nu trebuie sa fie de forma !$#@*$!*&$! neaparat ca brute forcingul incepe sa isi piarda din intensitate dar e bine sa folositi parole din cele mai selecte si fara sens (aparent)[revin cu un exemplu]. De asemenea puteti sa va organizati parolele in functie de nivelul conturilor :
Conturi publice : o parola medie 6-7 litere mari si mici , aceasta parola poate fi folosita la conturi de ocazie,conturi care nu prea au ce oferi
Conturi medii : o parola din 6-10 litere mari , mici si unu doua caractere speciale(cifre , sau … ). Aceasta parola e de folosit la conturile publice, dar care nu sunt neaparat prea personale : conturi pe bloguri, forumuri pe care activati mai des etc. De retinut este faptul ca aici nu veti folosi aceeasi parola.
Conturi stricte : o parola din 10-15 caractere, majoritatea caractere speciale,litere mari,mici si cifre. Practic aceste parole vor reprezenta metoda de protejarea a hostingului, a conturilor de administrare,a bazelor de date,a emailurilor,a cardurilor bancare accesate pe internet etc. Nici aceste parole nu trebuie sa fie aceleasi la fiecare cont.Pot diferi si cateva litere,caractere,cifre insa ideea sa nu fie identice.
Cum construiti o parola manual?
A fost discutat ceva asemanator pe aici cu generarea unor parole pornind de la un cuvant.Cam acelasi e principiu.Te opresti din orice faci, te uiti prin camera,te duci la magazin, fumezi o tigara, in principiu orice te relaxeaza si te face sa privesti din afara si cauti un cuvant banal care il vezi/simti in jurul tau.Urmeaza stricarea cuvantului si inlocuirea unor caractere cu altele.Eventual se lipeste o fraza favorita rasturnata si impartita in doua. Poti sa transformi si cuvantul in engleza, dupa care sa faci aceste operatii.Ideea este sa “zapacesti” cuvantul/cuvintele in asa hal incat sa fie indescifrabile. Un exemplu de cuvant de la care am pornit acum : muzica si am ajuns la R0Mus1cDj
P.S : Un buton de Retweet?:)
Rationamentul tau este corect… Daca respecti cele 2 regulile prezentate, nu poti sa te bazezi pe memorie. Este cu atat mai adevarat cu cat alegi parole tot mai complexe. In schimb, in cazul in care parola este cu adevarat importanta, nu recomand stocarea in nici un mediu digital: Clasicul carnetel “offline” poate fi o alternativa.
Salut Andrei
Îţi mulţumesc pentru acest comentariu extrem de cuprinzător şi mă bucur să văd că subiectul a reuşit (din nou) să suscite interes. Ce mi s-a părut interesant la studiul CPP este ce se întâmplă cu aceste parole, fie ele „sigure” sau nu şi cred că dincolo de problema tehnică, e mai degrabă vorba de mentalitate. Mulţi utilizatori nu conştientizează faptul că acele informaţii online sunt valoroase, de unde şi lipsa de interes.
Discuţia ar fi mai largă, însă mă aştept ca din 2010, furnizorii de servicii online să-i oblige pe utilizatori să aleagă parole sigure, asta chiar cu riscul pierderii unor „clienţi”.
Salut Marius
Măcar de ar suna… dar mulţi apelează la alte „sfaturi” găsite prin online (în genul celor referitoare la Yahoo), iar în scurt timp, reuşesc să-şi compromită toate conturile.
salut ,Andrei. ne surprinzi din nou cu subiectul de azi în mod plăcut. însa ,in același timp,ma pune personal pe gânduri faptul ca sunt foarte multe persoane care ignora avertismentele….este un subiect delicat….pana la urma cum bine spunea Marius mai devreme,se trezesc ca dau telefoane….cred ca mentalitatea noastră a romanilor rămâne pana la urma marea noastră problema,ma întreb cum vor evolua lucrurile în viitorul apropiat? Insa ,sa ne păstram optimismul…. STIMA.
Oare cum ar suna o extensie pentru WordPress care sa faca acest lucru pentru Romania?
(restrictionare de parole ma refer) 
Bun dar sa zicem ca tu folosesti 3 parole si ai sa zicem 10 conturi (unu pe triburi sa zicem,unu pe travian si sa zicem unu pe filebox)..parola 1 o pui la triburile,parola 2 la travian si apoi pui din nou parola 1 sa zicem la filebox.Cum sa-ti sparga contu de pe triburile daca ti-a aflat parola de pe filebox care e identica cu cea de pe triburi.Spargatorul ala nu stiu cum poate stii ca tu ai cont si pe triburi si ca pe triburi folosesti aceiasi parola,plus ca nu-ti stie id de pe triburi…deci?practic folosirea aceleiasi parole pe mai multe site-uri nu este chiar atat de periculoasa..sau e?
Salut
Mi-e greu să port o conversaţie cu nişte pagini, fie ele şi favorite, dar am aprobat comentariul pentru logica sa. Nu pot să spun că n-am la rândul meu un asemenea carneţel, o alternativă offline. Dealtfel KeePass chiar oferă opţiunea de print şi, celor care sunt siguri că acea foaie nu ajunge în mâine, le-aş recomanda un backup…. că doar „scripta manent”.
@alex008
ai fi surprins să vezi câte știe un „prieten”. stiai că google indexează numele de utilizatori din jocurile de browser? crezi că așa zișii spărgători de parole stau ei să ghicească manual numele de utilizator, parole sau întrebări secrete?
@Avadanei Andrei
Cu adaugarile tale + articolul ar trebui sa fie pe intelesul fiecaruia ce si cum este cu “Parolele”
Anul trecut am auzit de un site foarte atractiv, creeat cu unicul scop de a colecta combinatii de adrese email & parole. Chiar daca e mai greu, va recomand sa nu utilizati aceeasi parola in doua locuri – mai ales la magazine online.
n-am stiut ca google indexeaza usernameurile…ms de sfat
LastPass ofera un mediu sigur de stocare a parolelor? Mie mi-se pare foarte bun si cu greu as face trecerea la alt produs de acest fel. Ce parere ai Andrei?
Apropo, folosesc doar add-onul pt Firefox la LastPass