Pe scurt despre parole sigure

Parolele dvs. au 16 caractere și includ cifre și semne de punctuație? Utilizați câte o parolă diferită pentru fiecare cont online, conform recomandărilor experților de securitate IT?
Pe scurt despre parole sigure

În cazul în care nu respectați aceste condiții, să știți că nu sunteți singurii – majoritatea oamenilor care utilizează internetul, nu folosesc parole sigure. Pe de altă parte, pentru oamenii obișnuiți riscul îl reprezintă partajarea datelor personale cu terțe părți, însă pentru avocați riscurile sunt mult mai mari.

Jan Drozd este specialist în securitate IT și lucrează la SingleCase, asigurându-se că toate funcționalitățile de securitate funcționează așa cum au fost proiectate. Împreună cu el am creat o lista de recomandări care odată implementate pot reduce drastic riscul de a pierde contrulul asupra conturilor dvs. online.

Plecând de la recomandările de reguli ideale făcute de Jan, am căutat principiul de bază al fiecărei recomandări și am detaliat-o pe înțelesul tuturor. La finalul articolului vă vom recomanda un sistem de management al parolelor aplicabil avocaților și nu numai.

1) Cum trebuie să arate o parolă sigură

untitled-1Jan: “Lungimea recomandată pentru parole este de 32 de caractere, conține litere mari și litere mici, cifre și semne de punctuație.”

Luând în considerare volumul mare de informații de care ne lovim zilnic, nu pare verosimilă memorarea unei parole de 32 de caractere. Gândiți-vă la următoarele: avem nevoie de maxim 9 încercări pentru ghicirea unei parole de o cifră (de la 1 la 9). Dacă mai adăugăm o cifră, avem nevoie de 99 de încercări. Cu cât adăugăm mai multe cifre, litere și semne de punctuație, șansele ca parolă noastră să fie ghicită se reduc considerabil.

2) Cum să construim o parolă sigură

untitled-1Jan: “Parola nu trebuie să fie un singur cuvânt din dicționar, nu trebuie să conțină numele sau porecla utilizatorului sau membrilor familiei, numele firmei, zile de naștere sau alte informații ce pot fi cunoscute de terți. Cu cât o parolă are mai puțină logică cu atât este mai puțin probabil să fie dedusă.”

Deși am clarificat că o parolă de 32 de caractere este aproape imposibil de reținut, aceasta reprezintă o apărare bună împotrivă unui atac cibernetic denumit “brute force” (forță brută). Această tehnică este utilizată de hackeri astfel: aceștia utilizează un software care introduce automat cuvinte și combinații foarte frecvent întâlnite. Analizând baze de date ale unor astfel de soft-uri putem să vedem o probabilitate foarte mare de apariție a cuvântului “parola” (sau “password”). Pe locul doi este “123456”. În prima sută de variante găsim prenume, combinații de numere precum “121212”, câteva cuvinte frecvent utilizate în limbă română, etc. Aceste soft-uri încearcă automat astfel de cuvinte sau combinații simple de cifre pentru că au șansele cele mai mari de reușită.

Hackerii maximizează potențialul de success al acestor soft-uri care folosesc tehnică “brute force” introducând câteva cuvinte cheie pe bază informațiilor publice existențe pe internet (ex: pe rețele de socializare, în registre publice accesibile online, etc.). Astfel, dacă se dorește accesarea unui cont deținut de un Bogdan născut în 1981, o parolă de tipul “bogdanel81” nu va fi aproape deloc sigură.

3) Câte parole să folosesc

untitled-1


Jan:
“Trebuie utilizate parole diferite pentru fiecare cont online.”

 

Probabil că este deja clar că urmărirea întocmai a recomandărilor făcute de Jan ar fi un demers foarte dificil pentru utilizatorul de rând. Memorarea unori multitudini de parole de 32 de caractere nefiind o variantă fezabilă în mod obișnuit, dar vă vom detalia mai jos o variantă alternativă utilizând un “password manager”.

Totuși, această recomandare vine în urmă unei situații foarte periculoase: pierderea mai multor conturi online sau poate chiar a întregii identități online a utilizatorului.

În această situație există 2 scenarii. Primul scenariu se bazează pe utilizarea unei singure parole. Un hacker fură o lista de parole de la un serviciu online la care aveți cont și care nu și-a securizat corespunzător sistemul, apoi încearcă aceeași parolă sau variații ale acestei parole și în alte servicii online. Al doilea scenariu se bazează pierderea conturilor în lanț sau domino. Astfel, dacă un hacker ajunge să aibă acces la contul dvs. de email, fie o să găsească date de acces pentru alte conturi prin emailurile dvs., fie va solicita de la servicii terțe online resetarea parolei care de cele mai multe ori este confirmată tot prin email.

 

Cum sunt furate parolele?

Este necesar să clarificăm faptul că dacă hackerii fură o bază de date de parole de la un serviciu, acest lucru nu înseamnă în mod obligatoriu că hackerii au acces la parolele stocate în acea bază de date. Serviciile online care au politici minime de securitate nu vor putea accesa această bază de date, comunicarea securizată și criptată cu această fiind făcută direct de către utilizator prin parola pe care o deține. Nu toate paginile de pe internet unde utilizatorii își pot face conturi își criptează bazele de date și deși criptarea poate să limiteze activitatea hackerilor, unele servicii încă folosesc o metodă de criptare veche denumită MD5, metodă ce poate fi ușor descifrata.

În practică, acest lucru înseamnă ca parolele criptate ajung în așa numitele “rainbow tables”. Acestea sunt baze de date de parole criptate care sunt vândute și cumpărate de hackeri între ei. Parolele utilizate frecvent, așa cum am arătat într-un punct precedent, sunt foarte periculoase în această situație, dar chiar și parolele corect construite pot fi vulnerabile dacă a fost folosită într-un serviciu care nu a securizat parolele și poate fi găsită de către hackeri. Pentru a elimină acest risc, noi la SingleCase folosim și recomandăm tuturor să folosească o tehnică denumită “salting”-adăugare de “sare”, în acest caz “sarea” fiind un set de caractere unice serviciului care folosește aceasta metodă.


4) Cum pot fi urmate aceste recomandări?

untitled-1Jan: “Stiu că este aproape imposibil să reții 20 de parole diferite, fiecare cu lungimea de 32 de caractere. Ce pot recomanda este să nu vă salvați niciodată parolele în browser, acesta având vulnerabilitățile proprii și să utilizați un manager de parole (“password manager”), ideal fiind unul care nu salvează date în browser.”

Pe piață există o multitudine de soluții de management de parole (“password management”). În cazul în care doriți să utilizați o astfel de soluție, noi recomandăm una dintre: KeePass, LastPass sau 1Password

În cazul în care nu doriți să utilizați un manager de parole, va putem sumariza recomandările de mai sus în câțiva pași simpli plecând de la împărțirea pe 3 categorii de importanță a serviciilor online:

1. Datele cele mai sensibile: internet banking, SingleCase sau alt sistem de management online care permite și accesul la fișiere, email, Facebook. Aici este importantă utilizarea unei singure parole complexe pentru fiecare serviciu. Dacă este posibil, activați verificarea în 2 etape (fie utilizând un token pentru generare de cod, fie primind un cod pe telefon prin SMS).

2. Al doilea tip de parole sunt pentru serviciile pe care le utilizați dar nu sunt vitale pentru activitatea de zi cu zi: LinkedIn, Twitter, Instagram, forumuri, etc. Aici vă puteți gândi la asocieri de cuvinte care au sens în legătură cu serviciul respectiv online: pentru Instagram “aicisunt@multepoze”, pentru LinkedIn “curriculumvitae$online”, etc.

3. A treia categorie este reprezentată de servicii a căror securitate nu vă afectează. De cele mai multe ori acestea sunt fie concursuri, tombole sau jocuri unde vi se cer date pentru crearea unui utilizator, dar probabil că veți utiliza doar de câteva ori acel serviciu online. Este surprinzător cât de mulți oameni se înregistrează cu adresă lor principală de email și folosesc aceeași parola ca cea de la email. Pentru astfel de situații puteți utiliza o singură parolă care să nu aibă nicio legătură cu parolele de la punctele de mai sus.

 

De asemenea, nu recomandăm scrierea parolelor și stocarea notiței respective undeva accesibil, cum ar fi pe monitor. La fel, evitați utilizarea așa numitelor întrebări de securitate; aflarea informațiilor care ar răspunde la acestea întrebări poate fi de multe ori mult mai ușoară decât ghicirea unei parole proaste.

În concluzie

  • Nu utilizați aceeași parolă peste tot.
  • Creați parole robuste (lungi și complexe).
  • Dacă nu utilizați un serviciu de management de parole, atunci măcar împărțiți serviciile în funcție de importanța lor și utilizați parole corespunzătoare pentru ele.Utilizați verificare în 2 pași dar evitați întrebările de securitate.

Děkujeme

Lasă un răspuns

Stefan Dumitru

SingleCase Romania
Ștefan este expertul SingleCase în România. Dacă vreți să aflați noutăți despre avocatură în cloud sau ce înseamna un birou digital - el este persoana cu care trebuie să vorbiți.

Categorii

Încercați SingleCase

Încercați SingleCase

Beneficiază de 30 de zile gratuite

Cum se îmbină avocatura și tehnologia în America

O treime din avocații americani utilizează servicii în cloud. Ce le recomandă baroul lor?

Citește mai mult

Vladimír Lazecký: cele mai comune 7 probleme de securitate din birou

Cum percepe un expert în domeniul securității informatice cele mai slabe puncte în securitatea firmelor de avocatură?

Citește mai mult

Freemail nu face parte din practica avocatului modern, scăpați de el

Unii și-au păstrat din liceu același număr de mobil, alții același e-mail. Dacă pentru client nu contează ce număr de mobil are avocatul, nu același lucru se poate spune despre aspectul adresei de e-mail. Un avocat cu adresa de genul shmekerul1214@email.ro nu inspiră prea multă încredere.

Citește mai mult

Prin folosirea acestui site sunteți de acord cu utilizarea de cookies pentru analiza traficului, conținut personalizat și de publicitate. Mai mult

Děkujeme