Easyhost Easyhost Easyhost Easyhost Easyhost

Password Rules: cum să alegi o parolă mai greu de atacat

În ultima lună, parola mea de la Instagram a fost spartă de 2 ori. Deși conțineau caractere uppercase, lowercase și diverse alte caractere speciale, ambele parole aveau doar opt caractere. În articolul ăsta discut despre diverse tehnici pe care le poți folosi, atât ca utilizator, cât și dacă ești o companie care trebuie să seteze parole pentru angajați sau pentru clienți.

Un scurt „De ce?” personalizat

În ultima lună, Instagram, Facebook, multe alte rețele sociale, cloud-uri, Playstation Network, nu mai spun de exchange-urile de criptomonezi, sunt atacate din ce în ce mai des și multe parole sunt furate. Eu am observat la nivel individual această creștere în numărul de atacuri raportate pe toate aplicațiile și platformele unde am cont.

La Facebook, Slack, Google Account, pe care le consider mai importante decât Instagramul unde îmi șterg profilul regulat, am o parola mult mai mare, de 27 de caractere. Și ea a fost atacată, însă inutil. La conturile unde îmi țin criptomonezile în exchange, am parole și mai mari, de 35 de caractere, Google Authenticator activat, plus master key-uri la cele care permit, master key-uri de mii de caractere la propriu.

Puterea de procesare a crescut enorm, mai ales cu atâtea plăci video perfomante capabile de calcule matematice pe piață. Criptări de 16 biți erau imposibil de spart ușor acum 10 ani, iar azi sunt deja considerate complet inutilizabile. Chiar trebuie să ne asigurăm că parolele pe care le folosim sunt cât mai greu de spart.

Guideline pentru companii

Dacă ești o companie care crează parole pentru clienții săi, pe un site de exemplu, politica de parole este crucială. Oamenii dacă pot își vor pune parole cât mai mici, și, deși cu CAPTCHA și parole mari orice client este puțin enervat, e mai bine să fie puțin deranjat la înregistrare decât să își piardă datele.

  • Durata de viață a unei parole

Dacă e vorba de un cont de companie sau un cont mai important, este o idee bună ca o dată la ceva timp utilizatorul să fie rugat să își schimbe parola pentru că este foarte veche. Asta atrage și niste neajunsuri, e posibil ca utilizatorul dacă schimbă parola lunar de exemplu, să uite complet ce ultimă parolă a pus.

A se folosi des doar în cazuri de conturi care conțin informații extrem de sensibile ale companiei. E preferabil ca timpul unei parole să fie cam un an, pentru că altfel utilizatorii vor alege variațiuni ale aceleiași parole numai din disperare și apoi sunt mai ușor de spart.

  • Lungimea unei parole și diversitatea caracterelor din ea

Cu cât parola este mai lungă, cu atât este mai greu de spart. Consider că peste 10 caractere este acceptabil, însă eu unul aș forța oamenii să pună parole de minim 20 de caractere. Problema cu 20 de caractere este că omului îi este de obicei greu să rețină parole mult mai mari de 10 caractere.

Diversitatea caracterelor este de asemenea importantă, pentru că o parolă numai lowercase de 10 caractere este cu mult mai slabă decât una de 8 cu caractere diferite. Plus că mulți algoritmi de hacking atacă exclusiv text lowercase folosind dicționarul. Acesta este motivul pentru care aproape la orice înregistrare ți se cere ca parola să conțină caractere lowercase, uppercase, numere și chiar simboluri ca obligativitate.

  • Stocare de parole

Stocarea de parole cu encripție bidirectională e foarte ușor de spart. Encripția ar trebui să fie unidirecțională, nu reversibilă. Sub nicio formă nu se stochează parole în clar, însă și opțiunea Reversible Encription e bine să fie dezactivată. Dacă userul uită parola, o poate schimba singur cu o cerere primită prin mail sau contactând adminul pentru un reset de parolă.

  • Audit pentru parole

Există posibilitatea memorării encriptărilor tuturor parolelor utilizatorilor, astfel încât anumite probleme pot fi semnalate de către algoritmi specializați. De exemplu Google și companiile mari au chiar Machine Learning pus la muncă să detecteze astfel de anomalii care pot prezenta risc de securitate.

Guideline pentru utilizator

Până la urmă, indiferent de cadrul setat de către companie, orice utilizator are responsabilitatea alegerii parolei lui. Majoritatea oamenilor vor să aleagă lucruri simple, însă cele simple sunt și mai ușor de spart. Am conceput o scurtă listă de reguli și de sfaturi din experiența mea proprie:

  • Nu spune nimănui parola sau detalii despre ea

Nu o da prin rețele sociale, nu o da prin SMS, pe Whatsapp, nu o spune la telefon, decât în caz de urgență, nu da detalii despre dimensiunea ei. Nu e paranoia, e siguranță. Cu cât parola e in mai multe locuri în afara minții tale, cu atât scad șansele.

Nici măcar în acest articol nu am spus numărul de caractere real din parola mea, care e mai mare. Consider că până și numărul de caractere dintr-o parolă e bine să fie secret, pentru că orice informație pe care un hacker o are în plus, îl ajută să își limiteze plaja de variante posibile și să spargă parola mai ușor.

  • Nu pune parola de înregistrare la porn pe platforme mai importante

Porn, torenți, Dumnezeu știe ce site obscur. Folosește acolo parole cât mai scurte eventual, în caz că nu ești interesat că vor fi sparte, însă sub nicio formă nu le folosi și la Facebook. Multe siteuri suspecte doar îți colectează parola când te înregistrezi și o vând mai departe în baze de date.

  • Nu folosi cuvinte cu sens

Dacă ai parola sub 100 de caractere, nici nu te gândi să folosești citatul tău preferat, cuvinte care au sens pentru tine, gen zi de nastere, pentru că astea sunt primele pe care un hacker le încearcă, mai ales dacă ești vorbitor de limba engleză. Noi cu româna stăm mai bine, însă tot e de preferat să nu fie cuvinte cu sens.

  • Nu scrie parola pe foaie

Încearcă să o ții minte. În niciun caz nu o pune în fișiere pe computerul tău unde orice virus poate citi în caz că te virusezi. Nici foaia nu e atat de sigură, o poti pierde sau cineva o poate vedea de câte ori o citești de pe foaie. Încearcă să o ții minte pe cât posibil.

  • Evită detalii personale sau ale companiei

Dacă lucrezi la Easyhost, nu pune parola Easyhost44. Mulțumim.

Folosește acronime inventate de tine, dar fără sens.

De exemplu, „Îmi place mult la Easy Host”. IpmlEH, și adaugi un număr de la pantofi. 42. Amazing!

În loc de concluzie

În loc de concluzie, voi mai genera niște parole. Recomand să nu folosiți niciuna dintre ele. J

Apă, lapte și roboți, scris asa, cu niște extra caractere, ar trebui să fie în regulă:

“!ApaLaptesiRbtzi-“

A început cea mai urâtă vreme din București azi pe 19 noiembrie, sigur, tot destul de wow, deși fără simboluri:

“AicmuvdBap19n”

Ultimul exemplu e cu o tehnică personală a mea pentru parole mari, mai exact sonetul 100 a lui Shakespeare, integral. Verifici că este peste tot pe internet în aceeași formă, astfel încât oricând îți trebuie parolă și oriunde, poți da un google search și găsești întregul sonet, la virgulă. Și uite că am dat și o poezie.

„Where art thou, Muse, that thou forget’st so long

To speak of that which gives thee all thy might?

Spend’st thou thy fury on some worthless song,

Darkening thy power to lend base subjects light?

Return, forgetful Muse, and straight redeem

In gentle numbers time so idly spent;

Sing to the ear that doth thy lays esteem

And gives thy pen both skill and argument.

Rise, resty Muse, my love’s sweet face survey,

If Time have any wrinkle graven there;

If any, be a satire to decay,

And make Time’s spoils despised every where.

Give my love fame faster than Time wastes life;

So thou prevent’st his scythe and crooked knife.”

De ce este îngrijorătoare lipsa unui certificat SSL

Până la sfârșitul anului trecut, Google a marcat toate siteurile care nu dețin certificate SSL ca fiind “not secure”. Lipsa acestui certificat deja antrenează mai multe efecte pentru branduri și companii, inclusiv o mică scădere în SEO.

Ce este un certificat SSL

Certificatul SSL (Secure Sockets Layer), atestă encriptarea conexiunii între server și client. SSL este în esență un protocol de securitate cu certificare asociată. Această conexiune criptată asigură datele transmise cât și integralitatea lor. Existența unui certificat SSL pe un site asigură deci utilizatorul că datele transmise de el sunt în siguranță.

În cazul nostru, clientul este un browser web. Însă un client poate fi și un client de mail, Outlook de exemplu. Prin utilizarea SSL, date sensibile sunt transmise în siguranță:

  • Date de identificare personală
  • Username și parole
  • Date legate de plăți cu cardul

Dacă site-ul tău folosește inputuri de text de la ușeri, și nu deții certificat SSL, utilizatorul primește un warning de not secure. În Chrome asta arată ca în poza de mai jos.

Ce efecte antrenează pentru o firmă

Orice companie își dorește clienții mulțumiți și asigurați că datele lor sunt în siguranță. Pe teritoriul UE, odată cu intrarea GDPR, problema siguranței și anonimității datelor, cât și a controlului utilizatorului asupra datelor lui a devenit central pentru orice business, iar amenzile de neconformitate sunt usturătoare.

Un certificat SSL aduce mai multe beneficii unei companii:

  • Protecția brandului

Dacă există o breșă de Securitate, o companie sau un brand poate pierde enorm. Scandalul Facebook-Cambridge Analytica a scăzut acțiunile Facebook la bursă considerabil.

Companiile care nu sunt listate la bursă au oricum de suferit prin pierdere de imagine în piață dacă o breșă de securitate are loc.

  • Protecția datelor utilizatorului

Pagubele făcute de breșe de securitate se ridică la câteva triliarde de dolari anual. Nicio companie care se chinuie din greu să își păstreze clienți nu dorește să îi piardă, și nici ca vreun terț să folosească datele colectate de ei.

Datele pierdute, pe lângă că pot antrena amenzi pentru companie, pot ajunge și la competiție, care poate rula big data inclusiv pe datele companiei tale.

  • Site-ul tău primește un green flag

Da, arată bine un site pe care intri și vezi green light, îți da senzația de siguranță și vei petrece mai mult timp pe el, ăsta fiind și scopul oricărui site, utilizatorii să rămână pe el. Plus că acel green flag e cool.

  • Google Page Rankings

Momentan beneficiul în ranking este mic, însă orice boost în ranking și search results poate oricând însemna un client în plus. Fiind vorba de un trend de securizare a datelor la cât mai multe companii, e posibil ca, în timp, Google să decidă ca acest boost să fie din ce în ce mai mare.

Concluzie

Un certificat SSL nu este deloc greu de generat și de instalat. Există o multitudine de certificări SSL făcute de diverși provideri de certificate din care poți alege.

Un certificat SSL aduce extrem de multe beneficii cu consum de resurse de timp mici și de zero altfel de resurse, eventual o sumă modică în funcție de unde decideți să achiziționați certificatul, însăexistă și variante free.

Este, deci, un pas ușor de făcut și care antrenează efecte pozitive de lungă durată pentru compania sau brandul tău.

Îți poți emite singur certificat SSL din contul my.easyhost.com sau poți apela la echipa noastră tehnică pt ajutor https://ro.easyhost.com/suport/interventii-la-cerere

ICANN schimbă luna viitoare cheia root DNSSEC în vederea îmbunătățirii securității în spațiul DNS

ICANN, autoritatea mondială de gestionare și alocare a adreselor de tip Internet Protocol (IP) și a Internet Assigned Numbers Authority (IANA) se pregătește să realizeze luna viitoare o schimbare a cheilor criptografice KSK care protejează serviciul Domain Name System (DNS). Aceasta este prima schimbare de o asemenea amploare realizată de organizație din 2010 încoace, anul în care instituția a fost și înființată.

Săptămâna trecută consiliul ICANN a votat schimbarea și data la care aceasta va avea loc, 11 Octombrie 2018, după discuții și consultări între instituție și partenerii săi care se defășoară de mai bine de un an.

Continue Reading

Domenii web

Domenii web expirate – ținta preferată a hackerilor

Începând cu anul acesta, regimul de înregistrare a domeniilor .ro a fost schimbat astfel încât acestea se reînnoiesc anual. Primele domenii .ro au început să expire din această vară, de la 30 august 2018, odată cu finalizarea perioadei de grație alocate de către ROTLD. Proprietarii și administratorii web au început să primească încă de atunci notificări de reînnoire de la registrarii lor. În prezent, aproximativ 1,500 de domenii .ro sunt expirate sau preluate de reselleri în speranța revânzării acestora în cadrul licitațiilor de domenii.

Un volum destul de mare de domenii .ro este așadar în curs de eliberare de către cei care nu își mai doresc reînnoirea lor. Poate preferă să nu reia un proiect din trecut pe vechea adresă web. Poate au rebranduit numele business-ului și nu mai au nevoie de adresa orginală. Sau poate au făcut trecerea între timp pe alt TLD (top level domain). Continue Reading

wordpress update

De ce este important să faci constant update la WordPress?

Cel mai popular CMS la nivel mondial, WordPress, e ales cu precădere de către cei care doresc o variantă cu setup și mentenanță ușoară pentru site-ul personal sau al business-ului. Mulți fac însă greșeala de a presupune că WordPress este o soluție pe care o instalezi și apoi uiți de ea. În realitate, utilizatorii de WordPress trebuie să aibă în vedere mentenanța și upgrade-ul periodic al site-ului lor, altfel se expun multor probleme.

WordPress este o soluție de tip open-source, ceea ce înseamnă că oricine dorește poate obține acces la codul sursă pentru a-l studia, inclusiv persoane rău intenționate sau hackeri. Site-urile WordPress care funcționează pe versiuni mai vechi sunt cele mai predispuse de a fi luate în vizor de către hackeri, întrucât acestea nu beneficiază de îmbunătățirile aduse de versiunile noi.

Pentru a asigura integritatea datelor și performanța WP-ul tău, ideal ar fi să ai setat lunar un program de update a platformei folosite. Continue Reading

Vulnerabilitati WordPress

Noi plugin-uri descoperite că afectează securitatea site-urilor WordPress

Noi vulnerabilități au fost identificate recent in ecosistemul WordPress, generate de erori dintr-o serie de pluginuri ecommerce marca Multidots. 10 pluginuri realizate de acest producător au fost descoperite la finalul iunie 2018 ca având vulnerabilități de securitate, afectând un număr de aproximativ 20,000 de site-uri Woocomerce care le foloseau.

Problema a fost descoperită și semnalată de către cei de la ThreatPress, ale căror analize au concluzionat că pluginurile Multidots erau afectate de cross-site scripting (XSS), cross-site request forgery (CSFR) și vulnerabilități de tip SQL injection. Aceste vulnerabilități puteau fi exploatate pentru obținerea controlului asupra site-urilor afectate, pentru executarea de remote shells, plantarea de keyloggere, uploadarea de mineri cripto pe site sau, în caz extrem, obținerea informațiilor financiare ale clienților, stocate în site-urile de ecommerce. Detalii tehnice și proof-of-concept-ul pentru aceste vulnerabilități au fost publicate pe site-ul ThreatPress.

Continue Reading