Pakelkite rankas, kurių prisijungimo slaptažodžiai nuo įvairių pašto dėžučių, blog:ų bei pažinčių profilių susideda bent iš 10 simbolių bei sudaro ne vien mažąsias raides, vardus, pavadinimus, ir gimimo metus/datą (nuoširdžiai tikiuosi, kad tarp mano blogą skaitančių žmonių tokių yra dauguma).
Kitiems siūlau nuosekliai perskaityti šį straipsnį apie slaptažodžių kūrimą.
Priešistorė
Įvairiose registracijose (pastaruoju metu labai retose) yra patariama sugalvoti “sunkiai atspėjamą slaptažodį”, tačiau nė vienoje (na gerai, vienoje, kurią paminėsiu vėliau) nesiūloma kaip tai galima būtų padaryti. Tada vartotojai beveik visada įveda šabloninius slaptažodžius. Žemiau pateikiu jums populiariausius šablonus:
- qwerty
- asdf
- zxcv
- {vardas}123
- 123123
- 123456
- {vardas}{gimimo-metai/data}
Taip pat gali būti begale kitų pavadinimų, vardų ar skaitmenų sekų, kurie tiesiogiai (ar nelabai) susiję su pačiu slaptažodžio savininku. Ir manau nereikia minėti tokių slaptažodžių kaip “admin” ar “root”. Tai ne slaptažodžiai. Tai kvietimas blogiečiams užeiti ten, kur jūs to nenorite.
Kur slypi nesaugumas?
Kaip programuotojas galiu pasakyti, kad 90% visų slaptažodžių duomenų bazėse yra saugojami užhešuoti md5 algoritmu (bent Lietuvoje). Kiti 10 procentų pasiskirsto sekančiai (su trumpu paaiškinimu):
- md5 + druska – šioks toks originalaus slaptažodžio užnuodijimas druska duomenų bazėje įtakoja visiškai kitokį galutinį hešą;
- sha1 – saugus hešavimo algoritmas gražinantis 40, o ne 32 (kaip md5) baitų ilgio kontrolinę sumą;
- sha1 + druska – užnuodytas saugus hešavimo algoritmas;
- nehešuotas/nekoduotas slaptažodis – no comments
- savas rašytas hešavimo/kodavimo algoritmas – labai lengva sumaišyti su ankstesniu, kaip išsiaiškinti – kol kas nežinau;
Iš karto: kam neaišku, kas yra hešas, einate čia. Iš ten turėtumėte sužinoti kas yra md5, sha1 ir kaip apskritai veikia visi hešavimo mechanizmai bei kur jie yra panaudojami.
Tęsiant temą: dėl populiaraus md5 hešavimo algoritmo yra sudarinėjamos md5 reikšmių lentelės, kuriomis dažnai remiasi žodyninės atakos, jau turinti hešų duomenų bazę ar sąrašą. Ką tuom noriu pasakyti? Negalvokite, kad jūsų slaptažodis yra saugus (nors ir lengvas) vien dėl to, kad jo niekam nesakote. Prisimenu php.lt istoriją. Buvo nušvilpta visa duomenų bazė su md5 hešuotais slaptažodžiais. Vėliau to paties php.lt forume buvo paskelbta apie 80 vartotojų slaptažodžiai, kurie buvo paprasti iki negalėjimo (žiūrėti aukščiau pateiktus šablonus).
Patarimas 1: patogumas
Prisipažinsiu – ne kartą žiūrėdavau kažkam per petį, kai žmogus rinkdavo slaptažodį nuo pašto dėžutės prisijungimo. Spėju natūralus smalsumas. Jeigu žmogaus spausdinimo įgūdžiai nėra žudikiški (mol. killer skillz) be vargo galėdavau perskaityti jo slaptažodį ir nužiūrėti prisijungimo vartotojo vardą. Taigi einame prie išvados: gal jūsų spausdinimo įgūdžiai ir nėra gėri, tačiau prie slaptažodžio efektyvumo prisideda ir jo surinkimo greitis. Nesvarbu ar jus tebi svetimos akys ar ne. Manau, kad šis jūsų trūkumas dings su laiku. Tiesiog reikia daug rašyti bei kuo greičiau pramokti tai daryti “aklaja sistema”.
Vis viena yra “jeigu”. Jeigu vartotojo slaptažodis yra paprastas žodis (vardas, pavadinimas, etc.) tai net gi geri spausdinimo įgūdžiai jo nepadės apsaugoti slaptažodžio nuo svetimo žvilgsnio (taip pat prisiminkite, kad nors ir greitai renkamas slaptažodis yra saugomas neabsoliučiai saugioje darbo stotyje). Taigi – reikia ne tik greitai surinkti slaptažodį, tačiau pasistengti, kad jame vyrautų kuo atsitiktinesnės raidės, skaitmenys ar ženklai.
Savaime suprantama, klaviatūroje net iš eilės einančios raidės yra pakankamai atsitiktinės ir jas visas surinkinėjant iš eilės nelabai sudarysi kokį rišlų žodį, tačiau kaip tai atrodys iš šono? Tai bus paprasčiausias perbraukimas pirštais per klaviatūros eilutę. Ką daryti? Žvelkite kitu kampu (literally) rankas laikydami toje pačijoe padėtyje. Ką matote? q, aw, zse, xdr, cft, vgy, … thn, yjm, uk, il, p, etc. Taigi naudodami po vieną ar dvi raides iš kiekvienos kombinacijos (taip pat keisdami kombinacijas kairei bei dešinei rankoms), susikurkite ne ilgesnį negu 8 simbolių slaptažodį. Tarkime fcmjkdcf. Pabandykite jį kelis kartus surinkti klaviatūra rašydami atsitiktinį tekstą (belekokę keverzonę notepad programoje) ir pamatysite, kad nors šis raidžių kratinys atrodo pakankamai randominis jis labai greitai ir patogiai susirenka. Jeigu esate labiau įgudęs “spausdintojas”, galite pajungti skaitmenis arba, retkarčiais nuspausdami [Shift] klvaišą, simbolius ir/ar didžiąsias raides. Tačiau čia dar ne viskas!
Patarimas 2: progresyvumas
Nebūtina iš karto kurti 25 simbolių slaptažodį, kurį vėliau būtų didelė galimybė pamiršti ar sumaišyti tam tikrus simbolius vietomis. Mano pirmasis pagal pirmąjį patarimą sudarytas slaptažodis buvo vos 9 simbolių. Tačiau jis buvo pakankamai atsitiktinis bei greitai surenkamas. Po mėnesio (kai galėjau jį surinkti apversta klaviatūra ir/arba kojų pirštais), kas dvi savaites prie šio slaptažodžio “lipdydavau” po papildomas 4 raides (po dvi kiekvienai rankai). Po kurio laiko turėjau 29 simbolių ilgumo atsitiktinių raidžių greitai surenkamą slaptažodį, kurį suvedinėjant nickserv autentifikacijos metu nereikėdavo jaudintis, kad jį gali pamatyti ar juo labiau įsiminti šalia esantis pašalinis žmogus. Būdavo net gi linksma, kai žmogus iš nustebimo paklausdavo “koks pas tave slaptažodis?!?!”, o aš jam be jokių užuolankų atsakydavau: “*****************************” (taip taip, jis vis dar naudojamas kaikur ,)
Tai kaip?
Šiam kartui tiek. Kaip visada – būtų įdomu sužinoti jūsų slaptažodžių kūrimo technikas.
jokios technikos nėra :D tiesiog turiu pora frazių. kartais naujomis nereikšmingomis registracijomis papildau skaičiais. Thats it. Nematau reikalo kažko itin subtiliai afigeno darytis ;)
http://www.pctools.com/guides/password/
ssh prisijungimams naudoju raktus kurie yra mano usb stike. raktas dubliuojamas su pc i sifruota diska. slaptazodzius generuoju programa, nemazesnius nei 30 simboliu ir saugau juos specialioje programoje kuri velgi yra usb. tokiu ilgu slaptazodziu atsiminti nematau prasmes, kadangi reikia keisti juos bent kas 3 menesius,,
Geras straipsnis
slaptazodziu sukirimui galima naudoti simple technika – imi du zodzius ir juos paraidziui sumaisai. Pvz: lova ir gele – psw gaunasi lgoevlae. Sunku atspeti lengva atsiminti :)
Na, pas mane iš pirmo žvilgsnio slaptažodis atrodo beveik kaip atsitiktinis, o iš tiesų yra tam tikra sistema — viena dalis slaptažodžio yra pastovi, kurioje yra mažosios, didžiosios raidės ir keli skaičiai, o likusi dalis — priklausoma nuo tarnybos ir sudaryta pagal tam tikrą sistemą.
o koks tavo paswordas, Eimantai?
localhoste guli failiukas, generuojantis nurodyto ilgio slaptažodžius, tai jį ir naudoju. Pats nesunkiai įsimenu dažniau naudojamus 8-10 simbolių randominius slaptažodžius su skaičiais, simboliais ir mažosiomis/didžiosiomis raidėmis. Simbolių kratinį paprasčiausiai įsimenu kaip vientisą žodį. Tai man paprasčiau nei įsiminti paraidžiui ;-)
Bukoptimistas: aš kaip tik stengiuosi išvengti bet kokių pradinių terminių iš kurių galima išrutulioti kokius nors slaptažodžius.
asyd: įsivaizduok, kad ką tik pakeitęs slaptažodžius pameti savo usb stick:ą arba jį kas nors pavogia…
kran: man tavo spaminiai komentarai po truputį pradeda atsibosti.
Kukai, Dariau: paskaitykit komentarą optimistui ,)
Andriau: jeigu pasakyčiau savo slaptažodį, turėčiau tave nužudyti ,)
Pawka: man kitų programųgeneruojami slaptažodžiai yra persunkiai įsimenami. Geriau pačiam sugeneruoti ir vėliau naudoti ,)
[...] susitikimo laikas automatiškai pateko į kalendorių. Patogu. • Eimantas sugalvojo, kad sudėtingus slaptažodžius reikia įsiminti ne galva, o rankomis. Po ilgų treniruočių. Man taip netyčia gavosi su kortelės PIN. Jei bankomate kitaip [...]
Pusės nesupratau, bet jaučiu, kad įkvėpiau šiai temai ;)
Dovile, neišsiduok, kad aš žinau visus tavo slaptažodžius ,)
Savaitgalį visus pakeisiu. Į qwerty123 – tokios opcijos neįtraukei į sąrašą.
Pavėluotai prisiruošiau komentarą parašyti.
Silpnoji auginamo slaptažodžio dalis – nors jis yra ir stiprus bei sunkiai nusnifinamas akimis, tačiau pagal tavo metodiką jam užauginti reikia 10 savaičių. Vienam slaptažodžiui. O po tiek laiko jį būtų visai ir gražu pakeisti. Be to žymiai blogiau yra vienas stiprus slaptažodis naudojamas irc, paštui, blogui ir prisijungimui prie rimtų resursų (tarkime serverių) nei krūvelė silpnesnių. Slaptažodis išgliaudomas ne tik laužiant hash’ą ar nužiūrint – kiekvieną kartą kai naudoji protokolą be ssl’o bet kas tinkle gali jį pamatyti. Tas pats galioja kai slaptažodis įvedamas nepatikimai tarnybai. Šiuo atveju jo sudėtingumas neturi jokių privalumų.
Manau kad turėtų būti naudojamų slaptažodžių tam tikri saugumo lygiai, t.y. jei tą patį slaptažodį naudoji keliose vietose tai tos vietos turėtų būti panašaus svarbumo ir su panašiomis saugumo garantijomis.
jago, geriau vėliau negu niekada ,) o dėl slaptažodžių auginimo, tai čia pagal kiekvieno vartotojo galimybes. galima ir kasdien pridėti po kelis simbolius. Taip pat nebūtina jo auginant iš karto naudoti. Panaudoji 10, užsiaugini, pradedi naudoti 20. Tada keitimas neturėtų būti toks skausmingas.
O as va naudoju maza sistemele, kurios pasekoje gaunasi 9-15 skaitmenu slaptazodziai, kuriuos paciam asmeniskai lengva prisiminti ne kiek pagal seka, o kiek skaiciu klaviaturoje daromus judesius.