Securizarea unei parole obişnuite cu ajutorul unei fraze parolă
Săptămâna trecută, am vorbit despre parole, ce sunt acestea şi cum ar trebui să arate o parolă sigură. A fost un articol pe placul cititorilor (drept dovadă cele voturile obţinute pe FTW şi comentariile care au însoţit materialul), însă dacă vă mai aduceţi aminte, promiteam să revin cu noi materiale pe aceeaşi temă.
Pentru început, vreau să vă prezint o metodă foarte simplă de alegere a unei parole, una care-i va mulţumit inclusiv pe adepţii „12345”. Cu ghilimele de rigoare, unii dintre voi „s-au plâns” că nu pot reţine o parolă complicată şi lipsită de orice logică, în genul celor generate de KeePass. Am scotocit pe internet, mi-am stresat neuronii, amintindu-mi că exista un site ce transformă parolele nesigure în unele sigure, în baza unei hărţi.
După lupte seculare (dar care n-au durat 30 de ani, ci un weekend întreg), am găsit site-ul respectiv, Password Chart îi zice, iar în câteva cuvinte voi încerca să vă explic cum să-l folosiţi şi… cel mai important… de ce ?!
Primul pas, în vederea asigurării unei protecţii decente a sistemului, a contului de e-mail, ş.a.m.d. este să nu folosiţi o parolă „doar ca să fie”. M-am exprimat chiar mai plastic data trecută, spunând „nu folosiţi parole de amoru’ artei”. O parolă nu trebuie să reprezinte o corvoadă şi fac această precizare în cunoştinţă de cauză, fiindcă am asistat la mai multe situaţii în care persoanele rugate să-şi aleagă a parolă, tratau momentul ca un veritabil supliciu, de parcă ÎMI făceau o favoare.
Password Chart
URL: http://www.passwordchart.com/
În continuare aveţi nevoie de două două lucruri:
- o frază parolă (aia de-i zice passphrase);
- şi faimoasa voastră parolă (12345, qwerty, sau oricare alta pe care NU trebuie s-o folosiţi).
Să facem un test…
Ce frază parolă alegem ?!
Nu contează foarte mult. Poate să fie un rând dintr-o carte, o operaţie aritmetică, un citat al „conducătorului iubit”, etc. Eu am ales o propoziţie uşor de ţinut minte:
Socrate a fost filosof al Greciei Antice
Pe baza acestei fraze parolă (passphrase), este generată o hartă, în genul celor folosite pentru codarea / decodarea mesajelor din filmele cu spioni. Fraza parolă îndeplineşte (în mare) rolul cheii de criptare.
Atenţie ! Fiecărei fraze parolă îi corespunde un card unic, cu o serie de identificare (n.r. password Chart # 2970600896)
Şi la câmpul „parolă” ce completăm ?
Parola vostră „din copilărie”, cea la care nu sunteţi dispuşi să renunţaţi, în ciuda riscurilor de securitate.
qwerty
Pentru siguranţă, vom bifa şi cele două opţiuni:
Include numbers;
Include punctuation.
Dar mai trebuie să fac o precizare. Autorul descrie foarte clar mecanismul prin care este generată această hartă şi parola, însă NU OFERĂ NICI O GARANŢIE privind rezultatul obţinut.
Folosind „yU9QL49D8*8EI”ca parolă, este un pas înainte faţă de „qwerty”, însă nu ştiu dacă este de ajuns. Am vorbit la început de filosofie, iar un principiu al logicii ne spune că ceva poate fi „necesar, dar nu şi suficient”.
În încheiere…
Vă reamintesc că vom avea încă un articol din această serie, cel mai probabil în weekend, însă până atunci am două materiale în lucru: StumbleUpon şi link-urile nofollow. Ar mai fi şi un material despre RSS (a se nu confunda cu RSR-ul spre care ne îndreptăm)… dar rămâne de văzut când le voi finaliza. Până atunci, aveţi grijă ce parolă folosiţi şi pe unde o lăsaţi.
Daca mi sepermite o umila parere, bazata pe experienta, pielea si casuta mea de mail pe Yahoo, as avea urmatoarea relatare si la finalul ei, un algoritm relativ simplist dar mai usor de tinut minte si cu mult mai puternic decat 1235 sau querty-urile uzuale si s-ar putea in prima instanta sa poata sa substituie criptarea, din moment ce nu tuturor le e la indemana folosirea si intelegeera unui asemenea algoritm. Tin sa precizez totusi ca ar fi o simpla masura de siguranta putin mai avansata, dar care nu ofera garantii.
Asadar… Eu m-am decis sa trec la parola mai complexa de ceva vreme. Pana atunci foloseam una din cele mai mari greseli posibile in materie de parole : data nasterii. Siu, ar trebui sa-mi fie rusine, ca IT-st da’ nu considerasem niciodata contu’ de Yahoo ca pe ceva indispensabil vietii.
Asta pana-n momentul in care m-am trezit in inbox cu un mail de la mine catre mine, anuntandu-ma ca mi-a fost spart contu’ si ca voi fi contactat ulterior unde sa trimit o suma oarecare de bani… Mare greseala, ca am modificat absolut tot ce insemna contact details, optiunile de privacy au disparut cu totu’ (in ceea ce priveste accesibilitatea informatiilor din exterior) si am trecut in prima etapa la o parola provizorie bazata pe conversie, cu ajutorul lui Shift allmighty.
O alternativa simpla ar fi algoritmul shift din 3 in 3 caractere ale parolei, parola avand si litere si cifre. Astfel avem si alfanumerice lower si uppercase, si caractere speciale, si punctuatie. Si nici nu uiti niciodata parola. Totusi, si asta e doar un stadiu intermediar pana la criptare, care-a ajuns a fi varianta finala.
Algoritmul pe care l-am folosit a fost sa transform o data din 05.02.1974 in 2 stagii:
stagiul 1: 05februarie1974
stagiul 2: aplicarea shift-ului asupra parolei, din 2 in 2 caractere
rezultatul final a fost ceva de genul 0%FeBrUaRiE1(7$
Din punct de vedere al seuritatii parolei, e un pas inainte, dar nici asta nu e securizata, chiar daca e mult mai puternica decat parola initiala. Avantajul principal e ca asa, ca average user, o poti folosi linistit, atata timp cat nu vorbim de internet banking. Pentru conturi uzuale, expendable, de genul Yahoo, mi s-a parut a fi suficient si atat. Dezavantajul ar fi ca algoritmic vorbind, nu e extraordinar de rezistenta si poate fi desfacuta de un “profesionist” relativ cu usurinta. Pe de alta parte, cred ca Yahoo-ul de zi cu zi nu constituie o atractie sau importanta economica sau de identitate in mod deosebit pentru marii distrugatori de parole, intrucat minim 99,5% din datele pe care le-ar gasi nu le-ar folosi la prea mare luru, la modul general vorbind.
Bine ai venit pe acest blog şi îţi mulţumesc pentru comentariu
Parolele foarte simplu reprezintă o problemă, cum din păcate ai constat pe propria experienţă şi din păcate mulţi utilizatori continuă să neglijeze acest subiect. E interesantă soluţia pe care ai dat-o şi, cu siguranţă, reprezintă o măsură de protecţie în plus faţă de folosirea unor date personale de identificare, iar pentru situaţiile de „de viaţă şi de moarte” o parolă de genul celor generate de KeePass reprezintă cea mi bună soluţie.
Salut. Într-un alt articol, am şi alte modalităţi mai sigure de alegere a unei parole. Graficul este o soluţie „de criză”, iar raţionamentule este foarte simplu: decât o parolă gen 12345 sau qwerty, ORICE altceva.
N-as recomanda chart-ul despre care vorbesti. Eu n-am folosit niciodata o parola simpla, nici macar inainte de a incepe sa folosesc Roboform. Cu Roboform n-am pierdut nici o parola, le am si pe cele de acum n ani, de cand am inceput sa-l folosesc pe USB stick.
Metoda e simpla.
1. Nascoceste o fraza lunga, semnificativa pentru tine (deci usor de retinuta) dar absurda pentru altii. De pilda “Cucuruzul fraternal beleste ochios din damigeana dar eu nici ca-l bag in maree.”
2. Alege un numar intre 1 si 5 usor de tinut minte pentru tine. De pilda, marimea ********* **** exprimata in inch – 20. In cazul meu, 3.
3. Ia a 3-a litera din fiecare cuvant: calhnmrc-gr
4. Capitalizeaza cateva litere dupa un algoritm pe care sa-l tii minte.
5. Eventual inlocuieste cateva litere cu cifre (dupa initiala sau asemanare) sau intercaleaza cifrele.
There ya go!
Hhhmmm … interesant ce spuneți, … dar, … de ce parole vorbiti !? La modul general, sau la parole, “introduse, undeva anume” … mail, windows, etc. …
Păi n-am discutat în articolul trecut despre tipuri de parole ? Metoda descrisă azi se aplică în situaţiile descrise, mai puţin în cazul contului de online banking.
Exact asta de la urma ma interesa cel mai mult, în cazul internet banking, unde eu fac mai multe accesari intr-o luna …
Am citit un articol interesant despre parole pe blogul oficial Eset (antivirus), scris chiar de un ditamai Director of Malware Intelligence.
Ce am retinut eu de acolo era faptul ca o parola OK este o parola lunga. Atat. Parolele cu multe caractere (fie ele keyphrases, cuvinte normale) sunt mai puternice decat parolele cu litere mici, mari, semne dubioase si numere, de numai 8-10 caractere.
Link-ul e aici, in caz ca intereseaza pe cineva: http://www.eset.com/threat-center/blog/2009/06/25/password-mythology Mie mi s-a parut util si am fugit sa imi fac o parola de peste 20 de caractere.
Mulţumesc pentru comentariu şi link. Mă bucur să văd că, indirect, nenea Randy susţine unele recomandări pe care le făceam săptămâna trecută, când am abordat şi problema numărului de caractere dintr-o parolă. Ce nu se spune însă în acest articol, este că putem verifica „valoarea” unei parole. Cu KeePass de exemplu. O parolă de 20 de caractere, ar trebui să ofere o valoare între 100 şi 125 de biţi (depinde şi de caracterele folosite), suficientă pentru a fi în siguranţă.
Nu subscriu însă la ideea de a nu tipări o listă cu aceste parole (păstrată în siguranţă, evident).
Da ideea este ca parole sa fie cat mai lungi iar caracterele sa fie cat se poate de aleatoare, fara repetari prea multe ale aceluiasi caracter, ideea de a crea o parola pe baza unui altgoritm atat de simplu precum primul nu mi se pare o idee buna intrucat pot fii sparte mult mai usor. Sfatul meu e deci folositi parole aleatoare care sa nu aiba nici un substrat matematic, folositi ceva de genu ,,numecaine+cartieru lincarestati+numele bunicului+…” folositi upcase numere semne .
Eu va recomand un algoritm bazat pe numele site-ului. De exemplu gmail:
1. Alegi prima litera G si in parola puneti caracterul de sus din stanga tastei, in cazul nostru T. Apoi alegi cifra din stanga lui T si ai obtinut 5.
Pana acum parola arata: t5
2. Alegi litera M si in parola bagi caracterul din stanga sus J si cifra din stanga lui J, adica 7.
Parola arata acum: t5j7
3. La fel si pentru A
Parola arata acum: t5j7q1
4. Pentru I care nu are nicio litera in stanga sus poti alege sa lasi chiar I sau sa bagi de 2 ori cifra din stanga sus.
Parola poate arata acum: t5j7q1i8 sau t5j7q188
5. Pentru L alegem: i8
La sfarsit parola pentru gmail arata: t5j7q1i8i8 sau t5j7q188i8 in functie de algoritmul ales.
Aveti parola pt fiecare site in parte