Parolele azi

Parolele azi

Adobe hackDuminică 6 octombrie Adobe m-a anunțat că mă aflu printre „fericiții” 2,9 milioane de clienți la care li s-au furat ID-urile și parolele (criptate, e drept) într-un atac informatic asupra serverelor Adobe (atac recunoscut public pe 3 octombrie). O parte din mesajul lor sună așa:

„Am descoperit recent că un atacator a intrat ilegal în rețeaua noastră și a obținut probabil acces la ID-ul și parola dumneavoastră Adobe criptată. Momentan nu avem niciun indiciu că ar fi avut loc activități neautorizate în contul dvs. Pentru a evita accesul neautorizat la contul dvs., v-am resetat parola. Vizitați www.adobe.com/go/passwordreset_ro pentru a crea o parolă nouă. Vă recomandăm să vă schimbați parola și pe orice alt site web unde utilizați același ID de utilizator sau aceeași parolă. În plus, fiți vigilenți în privința oricărei încercări de înșelăciune prin e-mail sau telefon care vă solicită informațiile personale.” [sursa Adobe].

Neplăcut – Adobe este o companie foarte importantă, de încredere și cu mare nivel de securitate. Parola era deci una importantă și toată după-amiaza de duminică mi-am petrecut-o revizuindu-mi parole. Așa am descoperit că recomandările privind siguranța parolelor au evoluat mult în ultimii ani și că marile companii de încredere – gen: Amazon, Apple, Google, eBay, Microsoft, PayPal, Yahoo etc. – recomandă și chiar obligă la standarde înalte în alegerea parolelor.

Apoi, dacă tot mi-am petrecut atâtea ore cu parolele, am zis să scriu un bilet de blog în care să explic cum se aleg și gestionează parolele azi. Am tot întârziat până azi, când Yahoo, care tocmai a trecut definitiv, de pe 14 octombrie, la criptarea SSL (Secure Socket Layer) [SSL pe Wikipedia] a serviciului de email [blog oficial Yahoo], m-a obligat pur și simplu să-mi schimb parola, cu una teoretic la cele mai înainte standarde de securitate, pentru că au descoperit o „activitate suspectă” pe serviciile mele la ei. Așa că am zis să scriu. Nu după capul meu, ci după recomandările celor mari: Apple, GoogleYahoo.

Introducere

În zilele noastre cu parolele nu e de joacă. Ele pot să dea acces la o bună parte din viața privată a persoanei (email, rețele sociale etc.), la informații profesionale și, nu în ultimul rând, la buzunarul omului, prin serviciile financiar-bancare online (online banking, PayPal etc.). Yahoo vrea să fie haios și adevărat în același timp când spune că parola e ca periuța de dinți: o alegi cu grijă să fie cât mai bună și nu o împărtășești cu nimeni!

Diferite nivele

Mai întâi de toate, înainte de o alege o parolă, analizați bine ce fel de parolă aveți nevoie pentru un anumit site. Clasați siturile pe nivele de risc și de seriozitate, pentru că ciber-criminalii atacă mai întâi siturile cu securitate scăzută ca să folosească eventual acele informații pentru a ataca situri și servicii mai securizate, precum băncile (sursă: Microsoft).

Pentru situri cu risc redus pentru utilizator în caz de atac, cum ar fi un site de știri on-line (la care dați cât mai puține informații posibile), puteți utiliza o parolă ușor de amintit; aceeași parolă o puteți folosi pe alte situri sau servicii cu risc scăzut (sursă: Apple).

Pentru siturile cu informații sensibile, cum ar fi parola de administrator de sistem sau un cont bancar online, dar și emailuri și rețele sociale, folosiți parole unice și greu de ghicit, câte o parolă pentru fiecare zonă separată, și nu-o reutilizați în altă parte. În acest fel, în cazul în care o parolă este compromisă, alte zone sensibile nu vor fi afectate (sursă: Apple).

Relații între situri și servicii

Aproape toate siturile de „servicii” – cum ar fi Apple, Amazon, Adobe, eBay etc. –, dar și rețelele sociale (Facebook, Twitter etc.) necesită un email. Dar și serviciile de email necesită azi adesea un alt email. Nu puneți niciodată aceeași parolă la cele două emailuri, și nici aceeași parolă ca la email la serviciul care folosește acel email. Astfel, dacă vreodată un serviciu e compromis, cel care este legat cu el rămâne în siguranță și poate fi folosit pentru recupera serviciul compromis.

Emailul (sau emailurile) prin care se face recuperarea parolelor sau a accesului la servicii eventual compromise – pe care să îl considerați ca un bunker de refugiu în caz de atac –, trebuie să aibă o parolă foarte solidă și cu siguranță unică.

În rezumat minimal:

  • Două emailuri – două parole.
  • Facebook folosește email-nr-1 – parola de Facebook diferă de parola de la email-nr-1.
  • Emailul de recuperare – parolă foarte solidă și unică.

Nu așa

Înainte de a spune ce trebuie să conțină o parolă bună, trebuie neapărat să spunem ce NU trebuie să conțină o parolă bună:

  • Nu trebuie să conțină date de naștere familiale sau alte date ușor de ghicit.
  • Nu trebuie să conțină numere de telefon ușor de ghicit.
  • Nu trebuie să conțină nume din familie (nici ale câinilor și pisicilor din familie).
  • Nu trebuie să conțină nici un fel alte informații personale ușor de obținut azi (numărul sau tipul mașinii, numele angajatorului, al școlii, al străzii, al orașului, etc.).
  • Nu trebuie să conțină serii comune de numere sau litere (12345, 7777, abcdef, FFFFF etc.).
  • Nu trebuie să conțină cuvinte din dicționar, din nicio limbă (fără numai dacă sunt modificate – vezi mai jos).

Cum să-mi creez o parolă bună

În sfârșit, am ajuns la una din ultimele etape: cum să-mi creez parola. O parolă care se poate și memoriza.

Azi o parolă trebuie să aibă cel puțin 8 caractere și caractere variate: litere mici și mari, cifre, semne de punctuație și simboluri.

Toate cele patru articole serioase pe care le folosesc în acest articol (Apple, Google, Microsoft, Yahoo) recomandă ca să ne creăm parolele pornind de la scurte propoziții familiare nouă, urmând mai multe etape de consolidare a securității, după cum urmează:

  • Etapa 1: Caută o propoziție familiară, de exemplu: „Lapte acru și bătut se numește atribut”. De acord, e cam lungă totuși, dar poți lua „Lapte acru și bătut”.
  • Etapa 2: Elimină spațiile dintre cuvinte (și diacriticele). Rezultă: „Lapteacrusibatut”.
  • Etapa 3: Introdu niște greșeli sau alterări intenționate, gen: „LaptakruzibaTTut”.
  • Etapa 4: Introdu cifre și, semne de punctuație și simboluri, gen: „L@ptakruz1baTTu!5721”

Poate nu veți face chiar așa, dar acesta e principiul pentru o parolă bună, tare, complexă.

Recomandări finale

Desigur, nu trebuie să vadă nimeni ce scrieți pe tastatură când introduceți undeva parola.

Nu vă scrieți parolele pe post-it sau hârtuițe care zac cine știe pe unde.

Nu trimiteți parolele pe chat (gen: Yahoo!Messenger) și pe email și, în general, nu le împărtășiți electronic cu nimeni (nici măcar daca aveți antiviruși).

Schimbați parolele regulat, la 3-6 luni spun recomandările (știu, știu, e o bătaie de cap…).

Dacă folosiți generatoare de parole, să fie sigure. De pildă, online folosiți Norton sau PCTools.

Niciun serviciu serios nu vă cere, niciodată, datele prin email. Un astfel de email este în mod sigur fraudulos.

Nu dați click pe niciun link înainte de a survola cursorul acel link pentru a vedea unde duce și că acel site vă este cunoscut.

Să fiți sănătoși și voioși !

Iulian Nistea

Acest articol a fost publicat în Programe, softuri, software și etichetat cu , , , , , , , , , , . Salvează legătura permanentă.

2 răspunsuri la Parolele azi

  1. ibz spune:

    Eu folosesc LastPass. Generez o parola aleatoare de 14 caractere (incluzand majuscule, minuscule, cifre si caractere speciale) pentru fiecare login. Tot ce trebuie sa retin e parola de la LastPass, care e o fraza destul de lunga…

    Mai mult, la majoritatea loginurilor folosesc diferite adrese de email – deci practic fiecare login are emailul lui si parola lui. Decat in cazurile in care absolut nu ma intereseaza loginul respectiv si nu ma obosesc …

    Despre LastPass s-a vorbit pe larg la Security Now: http://www.youtube.com/watch?v=r9Q_anb7pwg&t=52m45s

    • pr_iulian spune:

      Mulțumesc, Ionuț. Da, și eu folosesc un manager de parole, și anume RoboForm, și încurajez pe toți cei care au mai multe parole de ținut minte să folosească, fie LastPass, fie RoboForm.

Lasă un răspuns pentru pr_iulian Anulează răspunsul