Par paroļu drošību

26. aprīlis, 2018 pl. 11:50

Par paroļu drošību nekad nav par daudz teikts un atgādināts.

It īpaši pēdējā laikā lielu rezonansi arī LV interneta medijos ieguvis gotcha(punkts)pw saits, kurš ziņo par viņu rīcībā esošām daudziem miljardiem epasta kontu paroļu, ieskaitot arī lielu skaitu ļoti nopietnu LV privāto un valsts resursu.

Atrašanās šādā listē pati par sevi vēl neko nenozīmē. Tādas listes jau sen eksistē. Te piemēram viens raksts: https://www.cnet.com/how-to/find-out-if-your-passwords-been-hacked/

CERT uz 04.'18 svaigākais ziņojums par šo pašu tēmu - CERT.lv -- Nopublicētās paroles - atgādinājums ievērot labo praksi

Šādi automatizētas informācijas vākšanas/laušanas mehānismi pastāv jau desmitgadēm. Šobrīd šo informāciju aktīvi sāk izmantot sociālās inženierijas uzbrukumiem. Kā piemēram šis gotcha, ku lietotājs var ievadīt savu domēnu pārbaudot savu adrešu esamību tajā sarakstā. Tā rezultātā tiek fiksēts dzīvs domēns, lietotāja IP adrese, iekārta, lietotā valoda, vecums, nodarbošanās utttttt, jo lietotājs to visticamāk neko ļaunu nedomādas izdarīs no sava neaizsargātā interneta pārlūka, kur potenciāli viņam ir automātiskais pieraksts google, microsoft, FB vai kādos citos publiskajos kontos...

Šāds gotcha saits tiek izmantots vairākiem nolūkiem - gan augstākminētajam (lai saprastu aktuālos, dzīvos domēnus un epasta adreses), kurš par tiem interesējas, kā arī tur ir lērums ar linkiem, tai skaitā uz programmām, kurās var tikt iebūvēts tiešām jebkas. Iedomājieties, ja tikai katrs desmittūkstošais no tiem 1.5miljardiem (par kuriem viņi raksta, ka viņiem ir info) instalētu viņu programmas ar nezināmām iestrādātām lietām?

Maz saprotošā prese diemžēl tikai pacēla tā saita ienesīgumu...

Tad par tām parolēm..

Ja vien kompānijā nav noteikti stingrāki noteikumi, paroles maiņai gan iekštīkla, gan publiskos resursos ir obligāti jānotiek retākais reizi četros mēnešos un paroles garumam jābūt vismaz 8 simboli, ja tiek izmantoti lielie, mazie burti, cipari un citi klaviatūras simboli. Ja netiek izmantots kāds no iepriekšminētā, tad paroles garumam jāpieaug par katru neizmantoto veidu par trim simboliem. T.i. ja lietotājam visa parole ir tikai mazie burti, tad parolei būtu jābūt vismaz 17 simbolu garai un tad to vēl nevarētu nosaukt par drošu paroli.

te būs vēl papildus informācija kā var izdomāt sev sistēmu paroļu drošībai :

attēls izmantots no J.Šmita prezentācijas par lietotāju apmācību pamatojumu.

paroļu brutālās uzlaušanas ātruma demontrācija, lai nav kārdinājuma dzīvot ar vienkāršām parolēm:

astoņi simboli tikai mazie burti -

ieliekot tikai vienu ciparu:

ieliekot arī lielo burtu:

ieliekot arī speciālu simbolu:

Attēli izmantoti no https://www.betterbuys.com/estimating-password-cracking-times/