Am scris deja despre necesitatea de a avea parole puternice și am dat și câteva informații despre cum trebuie utilizate și păstrate parolele. Este vorba despre post-ul “Parole, parole, parole“, pe care ar trebui să-l (re)citești înainte de a continua.
Evenimente curente m-au făcut însă să revin un pic asupra subiectului. Este vorba despre compromiterea bazei de date cu parole a Gawker media. Mai exact, hackerii au obținut acces la parolele conturilor (pentru comment-uri) de pe siturile Lifehacker, Gizmodo, Gawker, Jezebel, io9, Jalopnik, Kotaku, Deadspin și Fleshbot. Este vorba despre milioane de conturi – ceea ce include adrese de mail, usernames și parole criptate.
Pentru utilizatorii care au respectat regulile elementare pentru alegerea unei parole (lungime mai mare de 8 caractere, amestecarea literelor mari cu cifre și simboluri speciale, fără cuvinte din dicționar), compromiterea bazei de date nu ar trebui să fie o problemă. Hackerii ar avea nevoie de putere de calcul extrem de mare pentru a putea să facă “brute force” pe parolele criptate.
Cum însă în zilele noastre puterea de calcul este ieftină și există botnet-uri care pot executa sarcini distribuite pe zeci de mii de calculatoare infectate, niciodată nu poți fi suficient de prudent (sau paranoic, dacă vrei).
Se știe că refolosirea aceleiași parole la mai multe conturi este un risc. Chiar și o parolă extrem de bună poate fi compromisă în anumite situații (keylogger-e, camere de supraveghere, ochi ageri peste umăr). Odată compromis un cont, primul lucru pe care îl va încerca un atacator va fi să se logheze pe alte conturi uzuale (Google, Yahoo, Facebook, Twitter) folosind aceleași informații (username, parolă și adresă de email).
Cum însă fiecare dintre noi folosim zilnic poate mai mult de 10 situri, reținerea parolelor, mai ales dacă sunt “bune”, devine o provocare. Cei mai mulți aleg să folosească o singură parolă, ușor de reținut (deci destul de slabă), pentru majoritatea conturilor pe care le dețin.
Eu cred că există o altă variantă, care asigură atât o securitate foarte bună, fără a stresa la maxim memoria, ușor de implementat și folosit.
Este vorba despre o aplicație software numită KeePass Password Safe, care este de fapt o interfață grafica ușor de folosit peste o bază de date criptată puternic. În această bază de date se pot stoca toate parolele de la orice fel de serviciu online (și nu doar online). Baza de date este, la rândul ei, protejată de o parolă (folosită ca cheie de decriptare). Atâta timp cât parola “master” este în siguranță, un atacator nu poate să acceseze parolele stocate în baza de date, chiar dacă fură fizic fișierul.
Aplicația KeePass are versiuni pentru toate sistemele de operare majore de desktop și smartphone-uri. Eu folosesc KeePassX pe desktop-ul cu Linux și KeePassDroid pe telefon. Pentru că sunt un pic mai comod, baza de date o țin stocată într-un director care este sincronizat între cele două dispozitive folosind Dropbox (Ubuntu One este o altă opțiune foarte bună pentru sincronizarea online).
Desigur, pentru cei care nu au încredere în serviciile de sincronizare online, se poate folosi orice metodă de sharing sau de copiere a bazei de date, care este, în definitiv, un simplu fișier.
Avantajele utilizării KeePass sunt evidente:
- parolele sunt stocate într-un singur loc
- protecția bazei de date este foarte bună, fiind folosite metode de criptare foarte puternice
- aplicația este foarte simplu de folosit, existând chiar și o opțiune de “Copy password to clipboard” pentru copy-paste rapid.
- poți să folosești parole extrem de lungi și de complexe, unice pentru fiecare site sau serviciu folosit.
- trebuie să ții minte o singură parolă.
Acest din urmă avantaj este, în același timp, și dezavantajul major:
- există un “single point of failure” – dacă parola bazei de date este compromisă, iar atacatorul reușește să fure și fișierul, absolut toate parolele îți sunt compromise.
Punând în balanță aceste avantaje și dezavantaje, consider că este suficient de sigură utilizarea unei parole care nu este introdusă online, ci într-o aplicație pe calculator. Este destul de greu pentru un atacator să obțină simultan și parola și fișierul. Sau judecând invers, dacă cineva a obținut și parola și fișierul, probabil că sistemul de pe care lucrezi este compromis și oricum ți-a aflat toate parolele folosind un banal keylogger.
În concluzie, recomand utilizarea KeePass Password Safe pentru stocarea parolelor, și recomand utilizarea de parole foarte puternice, generate aleator, unice pentru fiecare serviciu în parte.
Tu cum îți stochezi parolele? Le ții minte? Le ai notate pe hârtie? Sau folosești un program ca cel de mai sus? Scrie într-un comentariu!
Image credit: Anonymous Account.
No related posts.
[...] După evenimentele din ultima săptămână, în care baza de date Gawker, ce conținea toate parolele utilizatorilor, a fost furată, m-am gândit să scriu câte ceva despre o soluție ușor de folosit pentru a stoca și a utiliza multe parole extrem de complexe. Află acum cum îți stochezi parolele în siguranță! [...]