facebook
Home » Pwned?! 3 pași ca să te asiguri că emailul și parola ta sunt din nou în siguranță

Pwned?! 3 pași ca să te asiguri că emailul și parola ta sunt din nou în siguranță

by Adrian Murzac | 26 Feb 2019 | Blog

Trei pași ca să te asiguri că emailul & parola ta sunt din nou în siguranță

Sumar

Anul trecut a fost martorul unui număr impresionant de spargeri de baze de date. Devine din ce în ce mai clar că trebuie să ne învățăm să respectăm niște reguli de igienă digitală: modul în care generăm parole, modalități și unelte care ne pot ajuta să verificăm tăria parolelor, modul în care le schimbăm după o perioadă de timp, modul în care verificăm sursele care ne pot informa dacă avem conturi & parole compromise etc. În acest articol discutăm cât se poate de concret despre parole bune și parole proaste. Îți arătăm și câteva metode excelente de a genera parole puternice care să fie și ușor de ținut minte.

Pasul 1: Să începem cu… sfârșitul: Ia-ți 5 minute și verifică acum dacă ai conturi sparte

Începem cu sfârșitul, ca să zicem așa, pentru că… TL;DR. Sau poate ești grăbit.

Cum vreau să mă țin de promisiunea din titlu, încep prin a-ți spune de la început cum poți să îți verifici că email-ul și parola ta sunt (încă) sigure. Sau, dacă ar fi să fiu mai exact, că nu există dovezi (în diverse baze de date, forumuri, website-uri obscure de pe deep web etc.) că ar fi fost compromise.

Mergi pe https://haveibeenpwned.com/ . Arată așa:

Pagina principală a site-uliu HIBP, unde poți verifica dacă email-ul tău apare ca fiind compromis.

Introdu în căsuța de căutare unul din conturile tale de email și dă-i o căutare.

Nu știi ce înseamnă pwned? Ca să nu ne întrerupem, iată varianta scurtă: e un termen provenit probabil din argoul internetului, cu sensul de “te-am luat” sau “te-am aranjat”.

Dacă ești curios, mai jos ai niște explicații cu privire la originea și semnificația termenului.

Dacă nu ești curios în legătură cu originea termenului pwn / pwnd /pwnt, sari direct mai jos.

Paranteză: sensul & originea termenului pwned / pwnd / pwnt

Teoria provenienței în contextul șahului

Conform acestei teorii, originea termenului poate fi atribuită predilecției campionului mondial de șah (1927-1935, 1937-1946) de origine rusă Alexandr Alekhine de a utiliza pionii (în engleză “pawn”). Conform teoriei, înaintea unui meci cu Max Euwe, Alekhine, fiind băut, i-ar fi spus cum are de gând să îl bată – “I will pawn to your knight”.

Teoria proximătății pe tastatura QWERTY

Probabil cea mai simplă explicație oferită: pe tastatura QWERTY (aia pe care scrii și tu, da; dar să știi că există și alte aranjamente) literele p și o sunt învecinate și, în grabă, “own” poate fi scris greșit “pwn”. Briciul lui Ockham face restul…

Teoria provenienței din epoca “phone hacking”

Primii hackeri și-au folocalizat atenția asupra manipulării sistemelor telefonice. Mulți termeni din acea perioadă sunt formați prin înlocuirea literei “f” sau alăturarea literelor “ph” sau ”p” în fața unui alt cuvânt: phreaking, phishing etc. Ergo, pwned = phone owned.

Teoria provenienței din gaming / leetspeak

Leetspeak (1337speak) este o modalitate mai specială de a comunica (ține cont că apare la începuturile erei internet) în care literele sunt înlocuite cu cifre similare ca formă sau similare fonetic: 1 în loc de L, 3 în loc de E, 13 în loc de B, 5 în loc de S etc. Conform teoriei, termenul se referă la acțiunea de a obține privilegii de root / administrator.  Pwned = acces neautorizat cu drepturi de administrator de sistem.

Motorul de căutare încorporat în pagină verifică tot felul de baze de date sparte cunoscute în lumea securității cibernetice. Dacă vrei să știi mai mult, citește FAQ-ul site-ului HIBP; e un bun punct de plecare.

Spre exemplu, noi am verificat emailurile care țin de domeniul nostru, i.e. efect.ro. Rezultatul este de un verde relaxant și, deci, acest email NU apare pe niciuna din listele cunoscute. Arată așa:

Conform HIBP, acest email @efect.ro nu apare pe listele cunoscute de emailuri sparte.

Te sfătuiesc să verifici toate conturile tale de email.

Spre exemplu, unul dintre email-urile mele personale apare ca fiind compromis pe trei site-uri. Fiind un cont mai vechi pe Yahoo, nici nu e de mirare.

Exemplu de email compromis pe 3 site-uri, conform HIBP

<Pauză, în care ar fi bine să îți verifici conturile tale>

Gata? Ți-ai verificat emailurile? Ai vreunul cu probleme?

Dacă da, nu uita să mergi mai jos pe pagina HIBP, unde vei găsi informații în plus legate de sursa din care au fost “extrase” datele despre contul tău. Vei vedea ceva de genul acesta:

HIBP îți arată sursele din care au fost “extrase” datele despre contul tău.

Spre exemplu, în cazul meu, sursa originară este probabil serviciul de music streaming Last.fm unde mi-am făcut cont mai demult. Mi-au fost compromise adresa de email, numele cu care m-am înregistrat și parola.

Dacă deja ți-ai verificat conturile și ai descoperit conturi compromise poți merge direct la secțiunea despre ce ar fi bine să faci chiar acum.

Care sunt șansele ca tu să ai conturi compromise?

Te gândești la ceva de genul: „Nu mă afectează” sau “Nu îmi pasă prea mult”?
Ei, secțiunea asta este pentru tine! Ca să vezi de ce te afectează și de ce ar trebui să îți pese!

Știu, nu e domeniul tău de expertiză, dar este aproape imposibil să nu fi auzit de hackeri și furt de date. Poate te gândești la spart baze de date de la NASA, CIA, sau ce-o mai fi prin filme.

Uită!

Gândește-te la cineva care ar vrea să pună mâna pe adresa ta de email (fie personală, fie de business) și parola ta de la acel cont (sau conturi).

Cum face hacker-ul?

Șansele să te atace pe tine, direct, sunt minime. Nu că ai fi o țintă foarte dificilă, dar nu ar fi deloc eficient. Dacă e un tip inteligent (sau tipă inteligentă) își dă seama repede că i se merită mult mai mult să depună eforturi (ilegale) să pună mâna pe o bază de date care conține jdemii de intrări de date.

Proporțional, efortul este mult mai mic. Uneori, este chiar ridicol de mic. Și asta pentru că website-ul acela unde asculți muzică online personalizată, sau pizzeria aia de la care comanzi online, sau joculețele alea la care a fost musai să te înregistrezi ca să poți afișa scorul epic pe care l-ai atins etc., nu depun eforturi prea mari ca să securizeze datele tale.

Dar, evident, ție nu ți se poate întâmpla.

Doar că, până în prezent, site-ul CyberRiskAnalytics estimează că au fost expuse nu mai puțin de 24,6 mlrd de date individuale.

Este grav când are loc o spargere a unei baze de date. Totuși, și în acest caz mai ai o șansă ca securitatea datelor tale să nu fie compromisă.

Dacă baza de date (în care apar și datele tale) să fie criptată, se numește că ai noroc. Specialiștii numesc asta “secure breach”, deoarece, cel mai probabil, datele furate nu vor putea fi valorificate. Noroc destul de chior, dacă ții cont de faptul că doar ~ 4% din bazele de date sparte sunt criptate. Deci, nu te baza pe asta.

Să revenim la anul 2018:

  • Facebook a admis că datele a vreo 90 de milioane de utilizatori au fost expuse.
  • În luna iunie, WIRED scria scandalul Exactis: Vinny Troia, un expert în domeniul securității cibernetice, a descoperit că ~ 340 de milioane de conturi au fost expuse grație neglijenței acestei companii de marketing din Florida.
  • Alte ~150 de milioane de conturi ale clienților UnderArmour au fost expuse în luna martie.
  • Am aflat în luna mai că un “bug” în stocarea identităților utilizatorilor Twitter ar fi compromis conturile a ~330 de milioane de utilizatori.

Și tot așa.

Dacă tragem linie după primele șase luni ale anului 2018, avem documentată compromiterea a 4.5 miliarde de date individuale. Atenție, din ce știm doar!

Te-am pus pe gânduri? Eu zic să te duci totuși să verifici conturile tale pe HIPB.

Pasul 2: Ce să faci dacă ai un cont de email compromis? Schimbă parola acum, dar fă-o inteligent!

Ok, în situația în care ai un cont de email compromis, este evident că va trebui să îți schimbi parola (și/sau întrebarea de verificare, dacă e cazul).

Dar mai stai doar un minut!

Când schimbi parola trebuie să o faci – sper că ești de acord, nu? – „cu cap”.

Schimbă parola, dar nu o recicla!

În primul rând, dacă vrei să schimbi parola, nu o recicla!

Dacă știi deja ce înseamnă reciclarea parolelor și nu ai nevoie de muncă de convingere cu privire la răul cosmic care derivă din această practică, sari direct aici.

Ce este “reciclarea parolelor”?

Pe scurt, re-utilizarea unei parole mai vechi.

Credeai cumva că ești singura persoană care are dificultăți în a ține minte o listă de parole? Nu, nu ești.

Cercetătorii în domeniul securității de la LogMeIn au efectuat un sondaj de opinie pe un lot de circa 2000 de persoane din SUA, UE și Australia vizavi de securitatea informațională. Aruncă un ochi peste rezultate și gândește-te dacă te surprind:

  • Circa 91% dintre cei intervievați erau conștienți de riscurile serioase la care se expun prin reciclarea parolelor.
  • Cu toate că știu la ce se expun, 59% dintre aceștia continuă să utilizeze aceeași parolă pentru toate conturile!
  • 47% din participanții la acest studiu spun că, atunci când își stabilesc parolele, nu fac diferență între conturile personale și conturile ce țin de serviciu sau afaceri.
  • 62% recunosc că folosesc aceeași parolă atât pentru conturile personale și pentru conturile de serviciu sau afaceri.

Cireașa de pe tort e că utilizatorii recunosc că folosesc parola unică pe perioade îndelungate de timp și că nu ar schimba-o dacă nu ar fi forțați de proceduri, administratori de sistem, sau ca urmare a unor evenimente care indică faptul că parola nu mai este sigură.

De ce reciclăm parolele? Ne e teamă că le uităm!

Pe șleau: reciclăm parole pentru că ne este frică că le vom uita.

Conform aceluiași studiu, 61% din cei intervievați spun că fac asta pentru că le este teamă că le vor uita.

Dacă e ceva de mirare în această cifră, este că prea puțini recunosc că au dificultăți la acest capitol. Sau, poate că au un singur cont de mail?!

Explicația mult mai probabilă pentru lipsa de stres pentru ceilalți 39%, zic eu, este că:

1) folosesc o parolă unică

2) reciclează parolele, dacă chiar sunt forțați de împrejurări.

De ce este riscantă reciclarea parolelor, mai ales pentru conturile de serviciu / afaceri?

Mă lași?! E un amărât de cont “de unică folosință”. Să-l țină hacker-ii sănătoși!”

Ești adult și vaccinat (presupun) și, în timpul tău liber, poți face ce vrei. Se presupune că știi și îți asumi riscurile la care te expui (chiar dacă, în practică, majoritatea au doar o vagă idee) atunci când te abonezi la newsletter-e, jocuri, muzică etc.

Ce se întâmplă dacă folosești aceeași parolă și în activitatea ta profesională?

Hai să luăm cazul meu: eu am vrut doar să ascult muzică, dar pentru că cei de la Last.fm și nu m-am gândit că cei de la Last.fm vor ajunge să aibă baza lor de date spartă. La un moment dat nici nu mai foloseam serviciul lor și am cam uitat de el. Ei, eu lucrez în marketing și am zeci de conturi.

Imaginează-ți, deci, că la locul meu de muncă aș fi folosit acea parolă cu care mă autentificam pe Last.fm, pentru că, nu-i așa, e mai simplu de ținut minte. Pentru contul de email de serviciu, pentru conturile de social media, pentru conturile de Google Analytics, Tag Manager, Search Console, cPanel, WordPress, Facebook, Twitter, Mailchimp etc. Toate ar fi fost potențial compromise.

Acesta este riscul – major, să știi! – la care îți expui compania ta atunci când folosești aceeași parolă și pentru conturile de email de serviciu. Dacă ar ști șeful tău la ce risc îl expui, ce crezi că ar face? Iar dacă faci asta și tu ești șeful, dă-mi voie să îți spun că problema e sistemică și îți bați singur cuie în talpă…

Ok, deci vrei (sau, trebuie) să îți schimbi parola. Totuși, înainte să o schimbi, îți recomand să mai faci ceva.

Înainte să îți schimbi parola, verifică dacă nu este deja cunoscută

În al doilea rând, verifică nu cumva noua parolă este deja listată în bazele de date care conțin parole sparte sau cunoscute.
O poți face tot HIBP, pe pagina Pwned Passwords. Arată așa:

HIBP îți arată dacă parola tastată de tine apare în listele de date personale compromise.

Spre exemplu, în imaginea de mai sus am introdus parola “qsefthuko;[\”. Pare o parolă mișto, nu? 12 caractere, conține litere și semne de punctuație.
Ei, dar vreau să observi că e foarte bine cunoscută hackerilor.

Știi de ce? De fapt, nu e ceva secret: foarte mulți utilizatori re-descoperă, spre marea lor satisfacție, metoda “genială” de a genera parole puternice prin metoda mersului în zigzag pe tastatură (vezi imaginea de mai jos).

Metodă pseudo-inteligentă de a genera o parolă.

Deci las-o baltă!

Nu este o metodă genială. Și nici nu este o parolă bună. Chiar dacă folosești metoda în altă direcție / cu alt punct de pornire etc. Și chiar dacă o introduci în HIBP și îți spune că e ok. Pentru că metoda este cunoscută și ușor identificabilă.

Important: HIBP nu îți arată că parola ta sau contul tău este sigur, ci doar că apare sau nu apare în niște liste de conturi și parole sparte / cunoscute. Care, apropo, sunt doar acele liste care au ajuns să fie făcute publice într-o formă sau alta.

Cum verifici că ai generat o parolă greu de spart prin metoda brute force?

HowSecureIsMyPassword.net estimează parola mea formată din 11 litere&cifre ca fiind slabă; 1 lună pentru a o sparge prin metoda brute force

O parolă puternică este dificil de spart. Ce înseamnă acest lucru?

Un mod de a vizualiza tăria unei parole, este de a calcula cât timp i-ar lua unui computer să încerce toate variantele până ajunge să îți identifice parola.

Spre exemplu, mergi pe HowSecureIsMyPassword. Dacă introduci o parolă în fereastra lor de căutare, vei căpăta o estimare a timpului necesar spargerii parolei prin metoda brute force.

Eu am introdus o parolă de 11 caractere, formată din cifre și litere: „1q2w3e4r5t6”. La fel ca în exemplul de mai sus, este formată prin metoda mersului în zigzag. Rezultatul poate fi văzut în imaginea de mai sus.

Dacă adaug un singur caracter și ajung la 12 caractere, parola este estimată ca fiind de tărie medie.

HowSecureIsMyPassword.net estimează parola mea formată din 12 litere&cifre ca fiind de tărie medie; 55 de ani pentru a o sparge prin metoda brute force.

Pentru a avea o parolă tare, ai nevoie de litere, cifre, semne de punctuație, caractere mari & mici. Am introdus o astfel de parolă formată din 11 caractere și estimarea a crescut la jumătate din vârsta estimată a planetei noastre.

HowSecureIsMyPassword.net estimează parola mea formată din 11 litere, cifre, punctuație ca fiind de tărie medie; 2 mlrd de ani pentru a o sparge prin metoda brute force.

Atenție, toate aceste estimări sunt făcute strict din punct de vedere al numărului de variante pe care trebuie să le verifice un computer bun. Estimarea poate fi redusa foarte mult dacă s-ar utiliza un computer mai bun. Sau, alternativ, dacă am avea o bază de date cu parole cunoscute și parola noastră ar fi listată în acea bază de date.

Exemplul meu de mai sus, cel cu parola „1q2w3e4r5t6” arată ca o parolă bună nu se reduce la numărul de caractere și la includerea unor numere. Pentru că ne temem că le vom uita, căutam metode de generare a parolelor care să ne permită “reconstruirea” lor. Evitați tentația.

Dacă vrei să scapi de această tentație (sau dacă ai pe cineva apropiat care are nevoie de intervenție), citește secțiunea de mai jos.

Dacă vrei câteva sfaturi practice legate cum poți întări parola ta, plus câteva dintre cele mai populare metode de generare a parolelor, sari direct la următoarea secțiune.

[Bonus!] Metoda simplă care te “imunizează” împotriva tentației de a genera parole proaste

Metodă simplă și rapidă de “imunizare” împotriva tentației de a pune parole slabe

Metoda nu este, evident, garantată 100%. Totuși, din experiența mea, în majoritatea cazurilor are efect. Cu o condiție: procedura trebuie reînnoită la fel ca la un vaccin antigripal.

Te asigur că e foarte simplu și (din nou) durează doar câteva minute. Tot ce trebuie să faci este să citești. Și poate să încerci să ghicești cam cum au gândit creatorii acestor parole.

Ce parole, mă întrebi? Topul parolelor idioate ale anului 2018, compilat anual de către cei de la SplashData, din care vă arăt doar primele 25:

 

Top # Parola “genială” Comentariu
1 123456 campion multiplu de câțiva ani
2 password campion multiplu, aparent, eternul loc secund
3 123456789 avansează de pe locul 6; va detrona campionii?!
4 12345678 fostul loc trei; o stea apusă?
5 12345 tenacitate fenomenală, rămâne pe aceeași poziție!
6 111111 apare subit în 2018; un pretendent neașteptat
7 1234567 Avazează de pe locul 8; fiind cu 7, e legitim, nu?
8 sunshine nou-venit 2018
9 qwerty cade de pe #4; totuși, un clasic în viață
10 iloveyou neschimbat de anul trecut; narcisism sau masochism?
11 princess nou-venit 2018; posibil, se înmulțesc casele regale…
12 admin cade de pe #11; o altă legendă care persistă…
13 welcome cade de pe #12; nu există dubii, asta e masochism!
14 666666 nou! cine ar putea sparge parola această creativă?! 
15 abc123 neschimbat; să fie numărul preșcolarilor constant?
16 football cade spectaculor 7 poziții; nu există explicații cunoscute…
17 123123 neschimbat; micuță, dar aprigă parola asta!
18 monkey în cădere de pe #13; nici tu nu ai vrea să stai pe #13…
19 654321 nou-nouț! o inversiune magnifică!
20 !@#$%^&amp;* NOU! bulină roșie pentru inspirație
21 charlie nou; aproape sigur, o apariție meteorică…
22 aa123456 nou; o incursiune periculosă în alfabet
23 donald nou; politica, bat-o vina!
24 password1 nou; o incursiune în lumea cifrelor?
25 qwerty123 nou; un văr de-a lu’ qwerty, îl știi?

Top 25 parole proaste ale anului 2018 | via SplashData

 

Eu mă opresc la top #25 parole idioate, dar, pentru imunizare mai temeinică vă recomand să parcurgeți întreaga listă, inclusiv 50-100.

P.S. Păcat că nu există o inițiativă de acest gen în Ro, nu?

Pasul 3: 5±2 ingrediente clasice ale unei parole puternice: metoda clasică, recapitulată

5 ingrediente clasice de care trebuie să ții cont dacă vrei să creezi o parolă bună

Frecvent ni se spune să ne creăm parole. De cele mai multe ori, cererea de a a-ți crea un cont & parolă sunt însoțite de câteva indicații prețioase referitoare la tăria parolei.

Care sunt ingredientele unei parole bune?

  1. lungimea sau numărul total de caractere;
  2. numărul majusculelor (litere mari);
  3. numărul minusculelor (litere mici);
  4. numărul cifrelor (e.g. 1234…);
  5. numărul simbolurilor & caracterelor speciale (e.g. !@#$%…).

Cele cinci ingrediente menționate mai sus sunt acceptate de toată lumea. La acestea se mai adaugă două cerințe care încep să fie acceptate din ce în ce mai mult:

  1. numărul de caractere care se repetă să fie minim (i.e. ideal, niciun caracter care să se repete)
  2. numărul consecutiv de caractere de un anumite tip să fie minim (i.e. ideal, litera să fie urmată de cifră sau de un simbol, etc.)

În esență, deci, contează numărul total al caracterelor și varietatea lor.

Top platforme online: recomandările actuale pentru o parolă minim viabilă

Eu mă iau după marii jucători online: câte caractere recomandă atâtea pun!

Hai să examinăm cerințele impuse la crearea parolelor pe către platformele marilor jucători în domeniul online pentru a vedea care este consensul cu privire la ce constituie o parolă minim viabilă.

După cum poți observa în tabelul de mai jos, recomandările sunt undeva între 6-8 caractere și majoritatea cer includerea cifrelor & majusculelor & simbolurilor.

Platformă

Cerințe minimale pentru parolă

Google

8 caractere (litere & numere & simboluri)

Facebook

6 caractere (numere & litere & semne de punctuație)

Amazon

6 caractere

Twitter

6 caractere

Linkdin

6 caractere

Ebay

6 caractere (1 cifră & 1 simbol)

Reddit

6 caractere

WordPress

6 caractere (sau parolă generată automat – 15 caractere)

StackOverflow

8 caractere (litere & cifre)

Microsoft

8 caractere (majuscule & minuscule & cifre & simboluri)

Comparație între cerințele minimale pentru crearea de parole pe principalele platforme online (februarie 2019).

Experții în domeniul securității: diferența între o parolă minim viabilă și o parolă bună

Dacă jucătorii mari nu cer mai mult, de ce m-aș chinui eu cu parole mai lungi și mai complexe?

Nu uita: ce vezi mai sus sunt cerințele minimale!

Mai mult, de-a lungul timpului se poate observa o tendință evidentă ca recomandările referitoare la numărul de caractere & varietatea acestora să crească.

Jucătorii pomeniți mai sus trebuie să țină în echilibru două tendințe contradictorii: pe de o parte, vor să maximizeze numărul utilizatorilor care le folosesc serviciile, iar pe de altă parte, vor să mențină securitatea conturilor la un nivel acceptabil. Motiv pentru care nu insistă atât de mult ca utilizatorii să utilizeze parole puternice.

Majoritatea experților în domeniul securității susțin, în schimb, că aceste cerințe sunt depășite și că o parolă viabilă trebuie să fie semnificativ mai complexă decât cerințele minime prezentate în tabelul de mai sus:

  • Numărul total de caractere recomandat: minim 12-15
  • Obligatorie includerea literelor mari & mici
  • Obligatorie includerea simbolurilor
  • Obligatorie includerea cifrelor

O strategie simplă ar fi, spre exemplu, să examinăm top 5 rezultate Google pentru fraza cheie “password generator”, să deschidem aceste pagini și să vedem care sunt recomandările paginilor de top pentru generarea unei parole bune.

Top 5 rezultate în motorul de căutare Google pentru fraza ”password generator”.

Primul rezultat din lista noastră – https://passwordsgenerator.net/  – este ilustrativ. Ne sugerează din start o parolă de 16 caractere care să conțină simboluri, cifre, litere mari & mici și să excludă caractere care se aseamănă.

Pagina de top afișată la căutarea unei generator de parole pe Google: exemplu de parolă recomandată de 16 caractere (cu simboluri & numere & litere mari și mici).

Te întrebi cumva: “Cum să țin minte așa ceva?!”.  Și eu mă întreb, nu ești singur.

Chiar dacă acest generator de parole ne oferă inclusiv o metodă de memorizare (vezi mai sus în imagine), eu personal nu sunt deloc sigur că o voi putea folosi cu succes… Mai mult, chiar dacă – să zicem! – aș depune acest efort, aș mai avea nevoie de încă nu știu câte parole din astea!

Deci, ce mă fac?

Soluții sugerate sunt destule: începând de la – surpriză? – carnețelul de parole, la instalarea de aplicații de gestionare a parolelor, la utilizarea de metode alternative de autentificare.

Update: În timp ce finalizam acest post, echipa ISE (companie de consultanță în domeniul securității cibernetice) publica o analiză foarte interesantă a modului în care aplicațiile de gestionare a parolelor eșuează în protecția parolei primare (master password), făcând posibilă extragerea acestea de către o persoană neautorizată.

Evident, asta nu înseamnă că aceste aplicații de gestionare trebuie demonizate sau ignorate, ci doar că există limite ale securității oferite de acestea de care trebuie să fii informat și să ții cont.

Înainte de a da a lehamite din mână, lasă-mă să îți arăt câteva metode de generare a parolelor care te ajută să creezi parole tari dar și (relativ vorbind!) ușor de memorizat. Nu durează mult!

Extra: Patru metode alternative de a crea parole greu de spart, dar (relativ) ușor de ținut minte

Patru metode de a genera parole greu de spart & ușor de memorat

Problema generării de parole tari nu este nouă. De-a lungul timpului criteriile după care o parolă este evaluată ca fiind puternică s-au înăsprit treptat, iar acest lucru a ajuns să intre în conflict cu capacitatea noastră de a memora aceste parole, de a le genera în mod regulat și de a le gestiona.

Am discutat mai sus despre metoda clasică de a genera parole tari și nu vreau să mai revin. Mai jos vreau să îți arăt câteva metode alternative de generare a parolelor. Vei observa că elementul comun pentru toate aceste metode este că încearcă să țină cont de elementul uman, i.e. modul în care memorăm.

Metoda 1: Metoda passphrase

Ce este un passphrase? Simplu spus, o propoziție / frază utilizată pe post de parolă.

Sesam, deschide-te!” – este un celebru exemplu de passphrase 😀

Cum în vremurile străvechi (anii ’90) majoritatea (toate?) sistemelor nu acceptau spațiile și/sau semnele de punctuație în cadrul parolelor, parolele erau formate dintr-un singur cuvânt. În engleză fiind, deci, password. Și lumea s-a obișnuit așa mult timp: parola=cuvânt

Personal, am dat de ideea de passphrase întâmplător, fiind fan vechi al site-ului de benzi desenate xkcd. com.  

Din ce îmi pot da seama, prin 2011(?) Randall Munroe (autorul benzilor desenate) de  publica un comix întitulat “Password Strength” în care argumenta adoptarea unei alternative mai simple, adică metoda passphrase (fraza-parolă).

“Tăria Parolelor” - unul dintre cele mai cunoscute comics-uri publicate pe xkcd.com.

După cum se poate vedea din imaginea de mai sus, Munroe propunea alegerea a patru cuvinte aleatorii pentru care utilizatorul să-și construiască o imagine mintală coerentă care să îl ajute să o memoreze.

Fiind obișnuit cu parolele de un cuvânt, ideea mi s-a părut fenomenală. Din păcate, pe atunci, nu o putea aplica peste tot, așa că am rămas tot la numitorul comun al parolei-cuvânt.

Ulterior am aflat că utilizarea pe scară largă a “dicționarelor” (i.e. liste de parole cunoscute și/sau cuvintelor dintr-o limbă, etc), face ca această metodă să fie riscantă. Evaluatoarele de parole care se bazează pe calculul permutațiilor posibile (e.g. howsecureismypassword.net) îți vor spune că da, ai o parolă puternică sau foarte puternică, chiar dacă acest lucru nu este adevărat.

Metoda 2: Metoda Passphrase bazată pe Person Action Object (POA)

În 2013 Jeremiah Blocki publică în arxiv.org un articol intitulat “Naturally Rehearsing Passwords” în care folosește metoda mnemonică descrisă de Joshua Foer în cartea sa “Memoria inteligentă: arta și știința de a-ți aminti totul”.

Metoda se bazează pe combinarea a trei elemente: Persoană + Obiect + Acțiune și funcționează așa (exemplul descris în articolul lui Blocki):

  1. Imaginează-ți o persoană care îți este cunoscută: Bill Gates
  2. Imaginează-ți un loc aleatoriu, dar interesant pentru tine: un câmp de baseball.
  3. Imaginează-ți un obiect aleatoriu: o bicicletă
  4. Imaginează-ți o acțiune aleagorie: a înghiți.
  5. Combină-le: „Bill Gates înghite o bicicletă pe un câmp de baseball
  6. În baza combinației tale, poți crea o serie de parole prin alăturarea cuvintelor: e.g. “Gatesîngbicibase”

Avantajul metodei este că poți genera o familie întreagă de parole ținând minte doar o singură imagine ( e destul de greu să uiți imaginea mintală cu Gates înghițind o bicicletă pe un câmp de baseball!).

Dezavantajul, în schimb este că metoda nu este chiar atât de simplă. În plus, poți confunda între ei membrii unei familli de parole.

Ceea ce mă împinge către metoda mea preferată: metoda lui Schneier.

Metoda 3: Metoda Schneier

Prin 2008, expertul în securitate  Bruce Schneier publica pe blogul său (și, de asemenea,  în The Guardian, unde și în prezent) un articol – “Parolele nu sunt perimate, dar modul în care noi ni le alegem este”.

Articolul a ajuns foarte citat de-a lungul anilor, pentru că propunea o metodă nouă (pe atunci) de a genera parole. În ce constă metoda? În esență, transformarea unei fraze memorabile într-o parolă:

  1. Alege o frază memorabilă. Spre exemplu: “În 98, vecinul de la 4 cânta Andrii Popa când se pilea”. Ideal este ca fraza ta să conțină 1-2 numere și măcar un semn de punctuație.
  2. Ia prima literă din fiecare cuvânt, semnele de punctuație și cifrele (notate cu roșu): “În 98, vecinul de la 4 cânta Andrii Popa când se pilea”; rezultă, din start, o parolă puternică de 14 caractere: Î98,vdl4cAPcsp
  3. Dacă fraza ta este prea simplă, o poți asezona și cu alte semne de punctuație și/sau numere.

Avantajul metodei propuse de Schneier este că parolele generate nu sunt greu de reținut, chiar dacă se pot genera parole foarte puternice.

Cât de puternică este parola pe care am generat-o mai sus?

Ca să exemplific, voi utiliza evaluatorul excelent* propus de Passwordmeter.com.

Notă: Passwordmeter.com ar putea fi unul dintre cei mai buni evaluatori de parole pe care l-am găsit; ironia face că site-ul nu este securizat, din păcate.
Exemplu de evaluare a tăriei unei parole generate prin metoda Schneier pe www.passwordmeter.com

După cum se poate vedea în imaginea de mai sus, parola este evaluată ca fiind puternică.

Evident, ar putea fi și mai puternică dacă am elimina caracterele care se repetă, literele majuscule sau minuscule consecutive, dar cred că putem fi de acord cu toții că e foarte bună și așa.

P.S.: Noi, românii avem un avantaj serios, apropo. Pentru că, nu-i așa?, noi avem caractere speciale (ăîâșț), includerea cărora mărește considerabil numărul de permutații posibile. În concluzie: nu uitați să le folosiți!

Metoda 4: Metoda Landesman

Am dat peste această metodă îmbunătățire a metodei lui Bruce Schneier în timp ce scriam / mă documentam despre parole. Dai peste tot felul de articole; multe din ele sunt, pur și simplu, repetiții pe aceeași temă. Ei, Landesman mi s-a părut că aduce ceva în plus și am decis să adaug metoda ei pe listă.

  1. Landesman pornește de la metoda descrisă mai sus: utilizarea unei fraze (memorabile pentru utilizator) de circa 8 cuvinte din care acesta să extragă prima literă.
  2. Landesman recomandă apoi să substitui anumite litere cu cifre și/sau simboluri (e.g. i cu 1 sau bară verticală/pipe |, a înlocuit cu & etc).
    Eu nu recomand să faci asta, ci mai degrabă să ai deja cifre și câteva simboluri în fraza de la care pornești. Argumentul meu? Dacă tot vorbim despre avantajul de a porni de la o frază memorabilă pentru tine, de ce să adaugi încă un strat de complexitate prin aceste substituții?Oricum, cum spuneam, ești adult și vaccinat(ă) și decizia de a-ți complica viața îți aparține.

    Nimic nou până aici. Următorul pas este elementul inovativ și util introdus de Landesman: inserarea de grupuri de trei caractere atât pentru categoria, cât și pentru platforma pentru care a fost creată parola. Iată cum:

  3. Adaugă un grup de trei litere care să reprezinte categoria de utilizare pentru parola mea: email sau streaming sau mediile sociale, etc.
    Spre exemplu, dacă aș porni de la parola generată mai sus – Î98,vdl4cAPcsp – și aș vrea să o folosesc pentru un cont de email, aș adăuga ceva de genul – em/. Rezultatul final fiind – Î98,vdl4cAPcspem/
  4. Ultimul pas recomandat de Landesman este să adaugi un grup de trei litere care să reprezinte platforma pentru care a fost creată parola.
    Să presupunem că vreau să folosesc parola nou generată pentru un cont de email pe Gmail. Continuând cu parola de mai sus, aș adăuga ceva de genul – g0g. Pentru a obține în final: Î98,vdl4cAPcspem/g0g.
  5. Poți lua această parolă generată și să îi adaugi noi “extensii” pentru toate (sau o parte din) platformele tale. Rădăcina parolei este ușor de reconstituit pentru tine, la fel și extensia. Cel mult la 6 luni poți schimba rădăcina parolei, dar poți folosi aceleași extensii.

Eu mai adaug două comentarii:

  • Dacă ți se pare că parola este prea lungă, poți reduce lungimea frazei cu care pornești, la una care are doar 8 cuvinte, așa cum și recomandă Landesman. Eu am pornit în exemplul meu de la o frază de 12 cuvinte pentru că am exemplificat metoda lui Schneier.
  • Personal mi se pare (în majoritatea cazurilor) redundantă separația pe care o face Landesman între Categorie de utilizare și Platformă. La fel de bine ai putea să encodezi doar platforma ca să mai reduci din efort.

Concluzii

Este important să menții o igienă bună a parolelor tale. Cu ajutorul site-urilor de tipul HIBP poți verifica dacă ai conturi compromise și, în cazul în care răspunsul este pozitivi, să le schimbi cât poți de repede.

Atenție, totuși, la reciclarea parolelor și la modul în care generezi parole. Alege parole bune pentru a evita consecințele pot fi foarte neplăcute. Pentru a putea aprecia mai obiectiv tăria parolei generate, verifică-o cu ajutorul resurselor & uneltelor online; poți porni de la cele recomandate de noi.

Generarea de parole, schimbarea lor periodică poate fi un chin și o sarcină dificilă, motiv pentru care am listat câteva metode care îți pot face viața mult mai ușoară.