În ultima lună, parola mea de la Instagram a fost spartă de 2 ori. Deși conțineau caractere uppercase, lowercase și diverse alte caractere speciale, ambele parole aveau doar opt caractere. În articolul ăsta discut despre diverse tehnici pe care le poți folosi, atât ca utilizator, cât și dacă ești o companie care trebuie să seteze parole pentru angajați sau pentru clienți.
Un scurt „De ce?” personalizat
În ultima lună, Instagram, Facebook, multe alte rețele sociale, cloud-uri, Playstation Network, nu mai spun de exchange-urile de criptomonezi, sunt atacate din ce în ce mai des și multe parole sunt furate. Eu am observat la nivel individual această creștere în numărul de atacuri raportate pe toate aplicațiile și platformele unde am cont.
La Facebook, Slack, Google Account, pe care le consider mai importante decât Instagramul unde îmi șterg profilul regulat, am o parola mult mai mare, de 27 de caractere. Și ea a fost atacată, însă inutil. La conturile unde îmi țin criptomonezile în exchange, am parole și mai mari, de 35 de caractere, Google Authenticator activat, plus master key-uri la cele care permit, master key-uri de mii de caractere la propriu.
Puterea de procesare a crescut enorm, mai ales cu atâtea plăci video perfomante capabile de calcule matematice pe piață. Criptări de 16 biți erau imposibil de spart ușor acum 10 ani, iar azi sunt deja considerate complet inutilizabile. Chiar trebuie să ne asigurăm că parolele pe care le folosim sunt cât mai greu de spart.
Guideline pentru companii
Dacă ești o companie care crează parole pentru clienții săi, pe un site de exemplu, politica de parole este crucială. Oamenii dacă pot își vor pune parole cât mai mici, și, deși cu CAPTCHA și parole mari orice client este puțin enervat, e mai bine să fie puțin deranjat la înregistrare decât să își piardă datele.
-
Durata de viață a unei parole
Dacă e vorba de un cont de companie sau un cont mai important, este o idee bună ca o dată la ceva timp utilizatorul să fie rugat să își schimbe parola pentru că este foarte veche. Asta atrage și niste neajunsuri, e posibil ca utilizatorul dacă schimbă parola lunar de exemplu, să uite complet ce ultimă parolă a pus.
A se folosi des doar în cazuri de conturi care conțin informații extrem de sensibile ale companiei. E preferabil ca timpul unei parole să fie cam un an, pentru că altfel utilizatorii vor alege variațiuni ale aceleiași parole numai din disperare și apoi sunt mai ușor de spart.
-
Lungimea unei parole și diversitatea caracterelor din ea
Cu cât parola este mai lungă, cu atât este mai greu de spart. Consider că peste 10 caractere este acceptabil, însă eu unul aș forța oamenii să pună parole de minim 20 de caractere. Problema cu 20 de caractere este că omului îi este de obicei greu să rețină parole mult mai mari de 10 caractere.
Diversitatea caracterelor este de asemenea importantă, pentru că o parolă numai lowercase de 10 caractere este cu mult mai slabă decât una de 8 cu caractere diferite. Plus că mulți algoritmi de hacking atacă exclusiv text lowercase folosind dicționarul. Acesta este motivul pentru care aproape la orice înregistrare ți se cere ca parola să conțină caractere lowercase, uppercase, numere și chiar simboluri ca obligativitate.
-
Stocare de parole
Stocarea de parole cu encripție bidirectională e foarte ușor de spart. Encripția ar trebui să fie unidirecțională, nu reversibilă. Sub nicio formă nu se stochează parole în clar, însă și opțiunea Reversible Encription e bine să fie dezactivată. Dacă userul uită parola, o poate schimba singur cu o cerere primită prin mail sau contactând adminul pentru un reset de parolă.
-
Audit pentru parole
Există posibilitatea memorării encriptărilor tuturor parolelor utilizatorilor, astfel încât anumite probleme pot fi semnalate de către algoritmi specializați. De exemplu Google și companiile mari au chiar Machine Learning pus la muncă să detecteze astfel de anomalii care pot prezenta risc de securitate.
Guideline pentru utilizator
Până la urmă, indiferent de cadrul setat de către companie, orice utilizator are responsabilitatea alegerii parolei lui. Majoritatea oamenilor vor să aleagă lucruri simple, însă cele simple sunt și mai ușor de spart. Am conceput o scurtă listă de reguli și de sfaturi din experiența mea proprie:
-
Nu spune nimănui parola sau detalii despre ea
Nu o da prin rețele sociale, nu o da prin SMS, pe Whatsapp, nu o spune la telefon, decât în caz de urgență, nu da detalii despre dimensiunea ei. Nu e paranoia, e siguranță. Cu cât parola e in mai multe locuri în afara minții tale, cu atât scad șansele.
Nici măcar în acest articol nu am spus numărul de caractere real din parola mea, care e mai mare. Consider că până și numărul de caractere dintr-o parolă e bine să fie secret, pentru că orice informație pe care un hacker o are în plus, îl ajută să își limiteze plaja de variante posibile și să spargă parola mai ușor.
-
Nu pune parola de înregistrare la porn pe platforme mai importante
Porn, torenți, Dumnezeu știe ce site obscur. Folosește acolo parole cât mai scurte eventual, în caz că nu ești interesat că vor fi sparte, însă sub nicio formă nu le folosi și la Facebook. Multe siteuri suspecte doar îți colectează parola când te înregistrezi și o vând mai departe în baze de date.
-
Nu folosi cuvinte cu sens
Dacă ai parola sub 100 de caractere, nici nu te gândi să folosești citatul tău preferat, cuvinte care au sens pentru tine, gen zi de nastere, pentru că astea sunt primele pe care un hacker le încearcă, mai ales dacă ești vorbitor de limba engleză. Noi cu româna stăm mai bine, însă tot e de preferat să nu fie cuvinte cu sens.
-
Nu scrie parola pe foaie
Încearcă să o ții minte. În niciun caz nu o pune în fișiere pe computerul tău unde orice virus poate citi în caz că te virusezi. Nici foaia nu e atat de sigură, o poti pierde sau cineva o poate vedea de câte ori o citești de pe foaie. Încearcă să o ții minte pe cât posibil.
-
Evită detalii personale sau ale companiei
Dacă lucrezi la Easyhost, nu pune parola Easyhost44. Mulțumim.
Folosește acronime inventate de tine, dar fără sens.
De exemplu, „Îmi place mult la Easy Host”. IpmlEH, și adaugi un număr de la pantofi. 42. Amazing!
În loc de concluzie
În loc de concluzie, voi mai genera niște parole. Recomand să nu folosiți niciuna dintre ele. J
Apă, lapte și roboți, scris asa, cu niște extra caractere, ar trebui să fie în regulă:
“!ApaLaptesiRbtzi-“
A început cea mai urâtă vreme din București azi pe 19 noiembrie, sigur, tot destul de wow, deși fără simboluri:
“AicmuvdBap19n”
Ultimul exemplu e cu o tehnică personală a mea pentru parole mari, mai exact sonetul 100 a lui Shakespeare, integral. Verifici că este peste tot pe internet în aceeași formă, astfel încât oricând îți trebuie parolă și oriunde, poți da un google search și găsești întregul sonet, la virgulă. Și uite că am dat și o poezie.
„Where art thou, Muse, that thou forget’st so long
To speak of that which gives thee all thy might?
Spend’st thou thy fury on some worthless song,
Darkening thy power to lend base subjects light?
Return, forgetful Muse, and straight redeem
In gentle numbers time so idly spent;
Sing to the ear that doth thy lays esteem
And gives thy pen both skill and argument.
Rise, resty Muse, my love’s sweet face survey,
If Time have any wrinkle graven there;
If any, be a satire to decay,
And make Time’s spoils despised every where.
Give my love fame faster than Time wastes life;
So thou prevent’st his scythe and crooked knife.”