Par paroļu drošību
It īpaši pēdējā laikā lielu rezonansi arī LV interneta medijos ieguvis gotcha(punkts)pw saits, kurš ziņo par viņu rīcībā esošām daudziem miljardiem epasta kontu paroļu, ieskaitot arī lielu skaitu ļoti nopietnu LV privāto un valsts resursu.
Atrašanās šādā listē pati par sevi vēl neko nenozīmē. Tādas
listes jau sen eksistē. Te piemēram viens raksts: https://www.cnet.com/how-to/find-out-if-your-passwords-been-hacked/
CERT uz 04.'18 svaigākais ziņojums par šo pašu tēmu - CERT.lv -- Nopublicētās paroles - atgādinājums ievērot labo praksi
Šādi automatizētas informācijas
vākšanas/laušanas mehānismi pastāv jau desmitgadēm. Šobrīd šo informāciju
aktīvi sāk izmantot sociālās inženierijas uzbrukumiem. Kā piemēram šis
gotcha, ku lietotājs var ievadīt savu domēnu pārbaudot savu adrešu esamību tajā sarakstā. Tā rezultātā tiek fiksēts dzīvs domēns, lietotāja IP adrese, iekārta, lietotā valoda,
vecums, nodarbošanās utttttt, jo lietotājs to visticamāk neko ļaunu nedomādas izdarīs no sava neaizsargātā
interneta pārlūka, kur potenciāli viņam ir automātiskais pieraksts google,
microsoft, FB vai kādos citos publiskajos kontos...
Šāds gotcha saits tiek
izmantots vairākiem nolūkiem - gan augstākminētajam (lai saprastu aktuālos,
dzīvos domēnus un epasta adreses), kurš par tiem interesējas, kā arī tur ir
lērums ar linkiem, tai skaitā uz programmām, kurās var tikt iebūvēts tiešām jebkas.
Iedomājieties, ja tikai katrs desmittūkstošais no tiem 1.5miljardiem (par kuriem viņi
raksta, ka viņiem ir info) instalētu viņu programmas ar nezināmām iestrādātām
lietām?
Maz saprotošā prese diemžēl tikai pacēla tā saita ienesīgumu...
Tad par tām parolēm..
Ja vien kompānijā nav noteikti stingrāki noteikumi, paroles maiņai gan iekštīkla, gan publiskos resursos ir obligāti jānotiek retākais reizi četros mēnešos un paroles garumam jābūt vismaz 8 simboli, ja
tiek izmantoti lielie, mazie burti, cipari un citi klaviatūras simboli. Ja netiek
izmantots kāds no iepriekšminētā, tad paroles garumam jāpieaug par katru
neizmantoto veidu par trim simboliem. T.i. ja lietotājam visa parole ir tikai mazie
burti, tad parolei būtu jābūt vismaz 17
simbolu garai un tad to vēl nevarētu nosaukt par
drošu paroli.
attēls izmantots no J.Šmita prezentācijas par lietotāju apmācību pamatojumu.
paroļu brutālās uzlaušanas ātruma demontrācija, lai nav kārdinājuma dzīvot ar
vienkāršām parolēm:
astoņi simboli tikai
mazie burti -
ieliekot tikai vienu ciparu:
ieliekot arī lielo burtu:
ieliekot
arī speciālu simbolu:
Attēli izmantoti no https://www.betterbuys.com/estimating-password-cracking-times/