Parole, parole, parole

Nu, nu este vorba despre melodia interpretată de Dalida și Alain Delon (deși, trebuie să destăinui că cel puțin jumătate din echipa NOVIT ascultă melodia săptămânal sau mai des; cealaltă jumătate!). Este vorba despre șirurile de caractere pe care le folosești pentru a ți se permite accesul la diferite sisteme, servicii și resurse.

De fapt, ce am afirmat este eronat. Voi rectifica: parolele nu au doar rolul de a-ți permite accesul ție, utilizatorul de drept, ci și de a interzice accesul persoanelor neautorizate. În definitv, să nu uităm că nu-i nici o tragedie dacă nu ți se permite ție accesul (responsabilul IT va rezolva problema), dar poate fi foarte grav dacă sistemul ar permite accesul oricui.

Înainte de a continua post-ul, o mică notă personală: văd mult prea multe cazuri în care administratori de rețea sau de sistem, oameni cu foarte multe cunoștințe tehnice, specialiști în securitate și oameni cu capul pe umeri, foarte conștienți de importanța muncii lor și a datelor pe care le au în grijă, pur și simplu nu-și bat capul să explice utilizatorilor ce rol are o parolă, ce se poate întâmpla dacă altcineva utilizează sistemul în scop malițios, și mai ales cum se alege și se păstrează o parolă bună.

Despre aceste două aspecte voi vorbi în continuare.

Alegerea corectă a parolelor este primul pas în securizarea sistemelor și resurselor. Iată câteva reguli care trebuie explicate utilizatorilor și urmate strict:

• lungimea parolei trebuie să fie de cel puțin 8 caractere. Ținând cont de puterea de procesare care este disponibilă acum, este simplu ca o organizație sau chiar persoană să aibă resurse pentru a încerca toate parolele de mai puțin de 8 caractere. Nu m-ar mira ca în curând și 8 caractere să fie prea puțin. Personal, recomand 10 caractere sau mai mult.
• folosește litere mari, numere și simboluri speciale. Se recomandă de obicei cel puțin o literă mare, o cifră și alte simboluri, de exemplu punctuație. Evident, nu strică dacă se folosesc mai multe – cu cât mai variate, cu atât mai bine.
• nu se folosesc cuvinte din dicționar. Primele lucruri pe care le va încerca un hacker va fi verificarea tuturor cuvintelor din dicționar. Pentru a păstra totuși parola ușor de reținut, se pot folosi cuvinte sau fraze, dacă sunt modificate sau conțin greșeli intenționate. Este ceva comun să se înlocuiască anumite litere cu cifre, de exemplu i cu 1.
• nu se folosește același șir ca username-ul. Niciodată! Chiar dacă username-ul în sine este greu de ghicit, niciodată username-ul și parola nu trebuie să fie identice.
• nu se folosesc informații personale. Chiar dacă numele cățelului sau data căsătoriei nu sunt ușor de ghicit, pot fi totuși aflate de cineva care “sapă” suficient de bine.

În concluzie, parola perfectă este un șir aleator de mai multe de 8 caractere, litere mici, mari, cifre și simboluri. De exemplu: tk6#Lt-Q2d (10 caractere) (dragi hackeri, nu e parola mea, nu vă obosiți ). Un alt exemplu, mai ușor de reținut: Wh3r3 arRre Y0u @12PM?! (inclusiv spațiile; nici asta nu este parola mea, evident).

Dar alegerea unei parole este doar primul pas. Cel de-al doilea pas (și, în cele mai multe cazuri, cel mai important) este felul în care parolele sunt utilizate și păstrate. Iată niște reguli pe care este bine să le respecți:

• parolele nu se comunică nimănui, nici măcar cuiva care pare a fi responsabilul IT. De cele mai multe ori, acesta are posibilitatea să acceseze datele fără a avea nevoie de parolă.
• nu se folosește aceeași parolă pentru mai multe conturi diferite, oricât de comod ar fi și chiar dacă este dificil să ții minte 5-6-10 parole diferite. Va trebui să faci un efort.
• parolele nu se scriu în nici un loc vizibil (post-it pe monitor îmi vine acum în minte). Dacă parolele sunt foarte multe și foarte complexe, există soluții dedicate pentru stocarea lor – este de preferat să alegi o soluție care rulează pe un dispozitiv mobil (de exemplu pe smartphone) și care nu poate fi accesată prin Internet. Avantaj dacă poți să folosești un sistem cu identificare biometrică (amprentă, scanarea retinei, identificarea feței sau a vocii…), suplimentar față de “master password” sau cartelă.
• atunci când introduci parole, ai grijă să nu fii observat sau înregistrat. Dacă să te uiți peste umăr este simplu, cu înregistrarea e mai complicat. Încearcă să nu introduci parole atunci când utilizezi sisteme străine și nu te loga pe nici un cont dacă suspectezi că pe sistem sunt instalate key-logger-e (nici dacă este vorba despre sistemul tău).
• parolele ar trebui să fie schimbate după un anumit timp (de obicei 90 de zile). Nu sunt întru-totul de acord cu această recomandare și personal nu-mi schimb parolele decât dacă mă forțează cineva. Schimbatul parolei nu te protejează dacă nu respecți restul de reguli, iar dacă respecți restul de reguli nu ai nevoie să schimbi parolele . Așa că menționez această regulă, dar aplicarea ei este facultativă în cazul în care restul regulilor sunt respectate cu strictețe.

Acestea fiind spuse, repet faptul că utilizatorii trebuie educați în legătură cu regulile de mai sus! O singură parolă compromisă poate să facă tot sistemul tău de securitate să se prăbușească precum un castel din cărți de joc. Și vei pierde mult mai mult decât cele 5 minute necesare să-i explici utilizatorului regulile de mai sus și pentru a verifica aplicarea lor.

Tu cum îți alegi parolele? Scrie mai jos un comentariu!

Iar dacă ai nevoie de ajutor pentru infrastructura IT, contactează-ne!

Image credit: Dennis Crowley.

No related posts.