Предполагам, че всеки знае, че е хубаво да се ползват “силни” пароли, че не е хубаво, да се ползва една и съща парола навсякъде, че ЕГН-то или част от него не е силна парола, че името на домашния любимец също не е и т.н.
Прадполагам, че и всеки, ако се е замислил върху собствените си пароли, е стигнал до следните заключения:
- Паролите ми не са достатъчно сигурни;
- Ползвам една и съща парола на няколко места (в добрия случай ползвам няколко пароли);
- Не мога да запомня “&lkKfd#$^fsd$S234d#”, още повече няколко такива пароли!
- и т.н.
Хората са измислили не малко генератори на “хубави” пароли, но някой трябва да ги помни. Хората са измислили и не малко програми за сигурно съхранение на вече изгенерираните пароли, но дали ще са ни достъпни навсякъде? Хората са направили и не малко on-line съхранители на пароли, но дали пък не злоупотребяват?
Все хубави решения, но и вярни въпроси. Паранията понякога е хубаво нещо 
.
А как, по демоните, да спим спокойно?
Ами няма начин!
Всъщност се шегувам.
Реално погледното, по никакъв начин не можеш да се защитиш напълно! Стига някой да има невероятното желание и невероятните средства, и невероятното време и познания, винаги може да пробие всяка защита.
Дори и да ползвате 100 символна парола, съдържаща малки и големи букви, числа и “сепциални символи”, то някой може да пробие уеб или DB сървъра и пак да се докопа до информацията ви. Или пък ще впрегне 100 000 машини да въртят пароли и пак ще уцели.
УЖАС! И сега как да спя?
Спокойно! За повечето хора, които четат това, никой няма да хвърли толкова време и средства! А ако все пак има някой, който да е застрашен от такава атака и чете това – пич, ако разчиташ на мен, да ти кажа, как да се пазиш, много лошо 
!.
Пфу! А защо трябваше да прочета всичко това, вместо да си спя спокойно?
Ами защото на мен не ми се спи .
Шегичка, де. Повечето от изписаното е, защото не ми се спи. Но все пак е вярно. Това, което интересува обикновения потребител е:
- Много сайтове са “пробити”. Особено сайтове за запознанства, abv и т.н.;
- Има сайтове, които съхраняват паролите ви в чист вид. Ако цъкнете на линка “Забравена парола” и те ви изпратят вашата парола, то със сигурност я “пазят” в чист или поне в лесно достъпен вид!;
- Благодарение на така наречените “Рейнбоу таблици”, слабите пароли са лесно разкриваеми;
- Ако ползваме кратки пароли (под 8, 9 символа), то те полежат и на атака по метода на грубата сила, т.е. извъртат се всички възможни комбинации от символи, докато не се нацели вярната;
- Ако паролата е съставена от думи, например “TypataMiParola” или “AzObichamZagorka”, то тя подлежи на речникова атака;
- Понякога не е нужно да знаят паролата ти, за да влезнат вместо теб в даден сайт! Стига им хеш-а на паролата ти! (бях написал и как, но предпочитам тези, които не знаят как, да не научават!)
Та, доста врели, некипели надрънках (по-скоро написах)! Това или част от това, всеки го знае. Ето и едно леко и сравнително сигурно решение:
Използването на генератори на пароли, базирани на сайта или системата, за която се отнасят и една или повече базови (Master) пароли, както и евентуално различни допълнителни опции за генерирането на паролата.
Каква е идеята? На базата на името сайта (или системата) и допълнителните опции и базовата парола се генерира друга, съдържаща разнообразен набор от символи (големи и малки букви, числа и “специални знаци”). По този начин във всеки различен сайт вие ще имате различна парола, която в същото време ще е достатъчно силна. В същото време вие ще помните една или няколко базови пароли, което няма да натоварва паметта ви излишно и ще сведе възможността, да забравите паролата си за epay, до минимална. (Не е лошо все пак, да сте си настроили правилно email-ите за изпращане на нова временна парола или линк за целта, в случай, че забравите настройките за генериране на паролата (случвало ми се е)).
За да е по-лесно, хората са написали и разширения за Firefox (сигурно има и за други браузъри, но аз съм си фен на Firefox-а). Двете разширения, които си заслужават са (може и да има и други, които си заслужават, но от тестваните от мен до сега, са тези):
И двете имат опции за дължината на паролата. И двете имат странички за генериране на паролата, дори и да нямате инсталирано съответното разширение. Самите странички съдържат JavaScript, който се изпълнява на браузъра ви, което ви гарантира, че паролите ви няма да заминат към някой лош човек (е, стига да няма key logger на компютъра, на който ги пускате).
Лично моя избор е “Password Hasher”. “PasswordMaker” дава повече опции за избор на начин на генериране на паролата, но не винаги разпознава полетата за пароли (например не разпознава полето за парола на началната страница на abv.bg), което ми създава леки неудобства, а и повечето опции не винаги са предимство – по-лесно се забравят .
Колко по-сигурни сме обаче? Да прегледаме пак рисковете, които тегнат над нас:
Много сайтове са “пробити”. Особено сайтове за запознанства, abv и т.н.;
Чудесно! Или не съвсем де, но все пак, имайки ни паролата от abv, не могат да проникнат в gmail, например. Там паролата е тотално различна.
Има сайтове, които съхраняват паролите ви в чист вид. Ако цъкнете на линка “Забравена парола” и те ви изпратят вашата парола, то със сигурност я “пазят” в чист или поне в лесно достъпен вид!;
Пак същия случай!
Благодарение на така наречените “Рейнбоу таблици”, слабите пароли са лесно разкриваеми;
Тук може би е най-якото. Паролите ни вече не са слаби! Вероятността една такава парола да присъства в “Рейнбоу таблица” е минимална.
Ако ползваме кратки пароли (под 8, 9 символа), то те полежат и на атака по метода на грубата сила, т.е. извъртат се всички възможни комбинации от символи, докато не се нацели вярната;
И тук е яко. Можете да зададете, да се генерира достатъчно дълга парола (до 26 символа при “Password Hasher” и теоретично неограничен при “PasswordMaker”), така че грубата сила да стане прекалено времеемка (милиони години), за да се използва.
Ако паролата е съставена от думи, например “TypataMiParola” или “AzObichamZagorka”, то тя подлежи на речникова атака;
И тук. Паролите са тотално разбъркана комбинация от допустимите символи, което тотално ги отдалечава от думите в речниците за речникова атака.
Понякога не е нужно да знаят паролата ти, за да влезнат вместо теб в даден сайт! Стига им хеш-а на паролата ти!
Е, за този казус решение за сега не съм измислил, а и не знам дали някой въобще е измислил. В общи линии важи същото и като с първия проблем. Ще могат да проникнат само в същия сайт, от който е открадната паролата. Най-сигурно – ако информацията е особено чувствителна, не ползвайте тази опция на сайтовете!
Eто и как изглежда една парола, генерирана за моя блог с базова парола “1234″, ползвайки “Password Hasher” и да кажем 10 символа:
WUpq1!UMpW
А така изглежда с “PasswordMaker”:
~qI~?#DLnj
Аналогично, но за abv.bg:
Password Hasher:
ig0z9!+UWu
PasswordMaker:
qIv;NpM*Hy
Както се вижда, паролите са доста идиотски, трудно запомними, но пък силни .
Та, това беше! Ако ви се е доспало от 1110-те думи до тук, то лека нощ. Вече можете да спите спокойно! Ако някой наистина можещ батко иска да ви прочете пощата, то спасение няма, заради което и да будувате, няма да ви помогне, но поне няма всяко новоизлюпило се “хакерче” да ви прави на луди.
Лека нощ!
Поздрави Ему
П.П. Забравих да спомена. НЕ ИЗПОЛЗВАЙТЕ ТЕЗИ РАЗШИРЕНИЯ НА МЕСТА, КЪДЕТО НЯМАТЕ БРАУЗЪР, като login за Windows-а, например!
?)
.
