Избиране на сигурна парола
В днешно време е съвсем нормално да имате регистрации в повече от десет сайта в интернет. Избирането на добра парола за всеки от тях и запомнянето им не е лесна работа за повечето хора.
За да можем да кажем коя парола е сигурна трябва да видим, как най-често се разбиват паролите. Има основно няколко начина за:
Налучкване на парола
След като са разбрали вашето протребителско име за някой сайт. Кракерите опитват да налучкат паролата ви, като най-често ползват един от следните методи:
1. Често срещани пароли. Използват се статистики за най-често ползваните пароли: думи като: sex, admin, password, левски, парола, test, god, …, както и последователност от клавиатурни клавиши, като 123456 или qwerty. Ще пробват също дали потребителското име съвпада с паролата.
2. Речникова атака. Множество опити, като се пробват, като пароли думи от речника или имена. Затова вашата парола НЕ трябва да бъде смислена дума от речника или име на човек, животно или местност!
3. Груба сила (bruteforce). Множество опити, като се сглобяват всевъзможни комбинации от букви и цифри. За дългите пароли се изисква време и процесорна мощ. Затова вашата парола НЕ трябва да бъде кратка.
Добрата новина тук е, че много сайтове имат защита от множество последователни неуспешни опити, като по този начин затрудняват налучкването на паролата допълнително.
Често срещани грешки при избор на парола
Доста глуповато е паролата ви да съвпада с потребителското име. Много сайтове не разрешават това от съображения за сигурност. В други дори е забранено в паролата да се съдържа потребителското име. Например ако името е gan не може да имате парола gan123.
Примери за често срещани силно лоши пароли са:
– последователни цифри или букви: 12345, 654321 или abcd
– съседни клавиши: qwerty или asdzxc
– еднакви букви или цифри: aaaaaa или 666666
– вашата дата на раждане или вашето ЕГН
– всякакви комбинации от горните с добавяне на специален символ като ! или @
Това да ползвате само една парола за всеки сайт, в който се регистрирате е много лош и опасен навик. За съжаление се практикува от 90% от потребителите. Колкото и да е сложна паролата ви, винаги има вероятност някой да я налучка. Тогава той получава достъп до всичките ви профили във всичките ви сайтове и пощи.
Освен горните методи за налучкване на парола има и няколко начина за:
Открадване на парола
Тук са изброени най-често срещаните, като се започне от най-вероятните към по-малко вероятните.
1. SQL injection – поради лошо написан софтуер на сайта, в който сте регистрирани, сравнително лесно кракер може да получи паролите в md5 кодиран хеш. Например думата „password“ в md5 хеширане изглежда така: 5f4dcc3b5aa765d61d8327deb882cf99. След това използвайки специален софтуер кракера се опитва от md5 хеша да получи изходната парола в чист вид. Колкото по-кратка е паролата и колкото по-еднообразни символи съдържа, толкова по-бързо ще бъде разбита. Тревожното е, че ако вашата парола съдържа само няколко малки латински букви и цифри, и ако е 8 или по-малко символа, тогава за сравнително кратко време паролата ще бъде разбита. Сайтът ganmax.com прави сканиране на сайтове за подобен тип уязвимост и помага на собствениците на сайтове да ги защитят.
2. Вирус – заразявате си компютъра с вирус (keylogger), който изпраща всичко което напишете от клавиатурата на мейла на собственика на вируса.
3. Рибка – (фишинг) може да попаднете на „фалшив сайт“ – вие си мислите, че се намирате на сайта X, но той само много прилича на сайта X, а е сайта Y на кракера Z 🙂 Така при попълване на паролата в този сайт, тя попада в ръцете на кракера Z. Същият номер може да се използва не само при логване или регистрация, а и като получите писмо от сайта Y, който се представя за сайта X.
4. Подслушване – друг сравнително лесен начин за получаване на паролата е с „подслушване“ на мрежата – хора от вашата WiFi мрежа с минимални хакерски познания могат да прихванат парола ви.
5. Измама – някой се свързва с вас чрез мейл или чрез Skype и се представя за администратор на любимия ви сайт X, казва ви някаква лъжа например: „Ще правим преместване на базата данни на сайта на друг сървър и затова се свързваме с всичките си потребители. Всеки който иска да си запази профила ще трябва да ни изпрати паролата си…“.
6. Лош админ – някой недобросъвестен администратор на сайт, в който имате регистрация може да ви открадне паролата, защото тя се изпраща към сайта в чист вид и той може да я запише преди тя да се хешира в базата данни. Това важи дори за сайтове, които ползват https:// протокол. След това остава само да пробва вашия логин в най-известните сайтове за пощи… Не можете да се защите от това по никакъв начин. Трябва да имате доверие в сайта и екипа, който го поддържа.
Това са най-често ползваните техники, а има и други. 😉
Силна парола
Колкото по-дълга и по-сложна е паролата толкова по добре. Не трябва да бъде смислена дума, а произволни символи, които са малки и големи букви, числа и специални символи. И всички тези символи да са добре разбъркани, така че да няма две съседни числа или букви. Пример: g3R#8f!G
Когато създавате вашата сигурна парола, може да ползвате генератор на сигурни пароли.
Ако това ви се струва прекалено сложно може да пробвате някоя от следните:
Идеи за измисляне на сигурна парола
Идея 1: Вземете ваш любим цитат от книга, стихотворение и дори ода. Например „Три дена как младите дружини прохода бранят. Горските долини трепетно повтарят на боя ревът“. Вземаме първите букви от всяка дума: „ТдкмдпбГдтпнбр“ – доста добра парола. Ако добавите и удивителна между двете изречения и любимата цифра в края – става почти непробиваема. Пример: „Тдкмдпб!Гдтпнбр7“.
Идея 2: Друг много хитър начин за избиране на парола е да напишете паролата при включена клавиатура на латиница, но като гледате буквите на кирилица. Например пишете:
майко3мила но понеже е включена латиница излиза: ;dxuf3;r.d
Заб. Единственият недостатък на този метод е, че ако седнете на компютър, който няма клавиатура с букви на кирилица, няма да може лесно да напишете паролата си, освен ако не ползвате виртуална клавиатура на екрана.
Идея 3: Най-добре е да ползвате система за формиране на парола измислена от вас, като задължително паролата се различава на всеки сайт с няколко символа. Ето една примерна система, в която паролата се получава от секретна дума и първите два символа от името на сайта, в който се регистрирате. Например вашата секретна дума е: g3R#8f!G
При регистриране в www.dir.bg паролата се получава като добавите първата буква от домейна отпред, а втората буква отзад на секретната дума. И така се получава паролата dg3R#8f!Gi
При регистриране в http://cenbg.com паролата ще бъде: cg3R#8f!Ge
По този начин дори да ви видят паролата за един сайт тя няма да важи за друг сайт, а ще помните само едно нещо – вашата секретна дума и как се образува паролата.
Заб. www. не е част от домейна, защото www е поддомейн. На сайта www.dir.bg домейна е само dir.bg.
Идея 4: Използвате дума от речника, но написана на латиница, членувана и като замествате някои символи, които визуално си приличат. Буквата O прилича на цифрата нула. Буквата A прилича на цифрата 4. Цифрата 1 прилича на буквата I. Цифрата 3 прилича на буквата E и т.н. Например думата „vodoprovodchika“ може да се направят следните замествания: o=0 (буквата o се замества с нула); i=1; a=4. Така получаваме: „v0d0pr0v0dch1k4“.
Идея 5: Ползвайте дума от речника както е в предходната идея, но нарочно напишете думата грешно: например vedoprvodchika, която след същите замествания ще стане: „v3d0pr0v0dch1k4“.
Идея 6: Използвайте клавиша [Shift] на някои от символите. Тази идея може и се препоръчва да се комбинира с всяка от останалите идеи. Например паролата abcd1234 е в пъти по-слаба от паролата aBcd1@34, при втората парола е бил натиснат клавиша Shift при написване на буквата b и цифрата 2. Първата парола се разбива за минути, втората може да не бъде разбита в продължение на дни. Ползването на поне един специален символ като ! @ # $ % и др. е много важно!
Идея 7: При писане на паролата рисувате фигура с клавишите на клавиатурата. Пример: 1qazxcvfr432 – това е квадрат (по-точно ромб), който започва от горния ляв ъгъл, слиза надолу после надясно, нагоре и накрая наляво. По този начин не е достатъчно сигурна паролата, затова се препоръчва натискане на клавиша [Shift] на някоя от страните на квадрата. Например: !QAZxcVFR$32 – същата фигура, но с натиснат Shift на отвесните стени, дава много по-сигурна парола. Задължително измислете своя фигура – тази е елементарна! 😉
Заб. Подобно на Идея 2 може да има затруднения, ако не ползвате стандартна клавиатура, а например клавиатура на таблет или смартфон.
Идея 8: Използвайте OpenID в сайтовете, които го поддържат. Откакто Google станаха доставчик на OpenID, все повече сайтове в това число и сайта ganbox.com за SEO услуги и оптимизиране на сайт, предлагат възможност за логване с OpenID. Този метод е много хитър и сигурен и приветстваме всеки сайт, който го поддържа. При този метод, като започнете логване в сайта X, браузъра автоматично се прехвърля към страница на Google, там се логвате с вашия Google акаунт. Например с имейл и парола за Gmail.com. След което браузърът ви връща в сайта X и там вече сте логнати. По този начин имате една парола за много сайтове и не се налага да измисляте нова парола за всеки сайт, който предлага OpenID логване. Повече информация в статията Логване в сайт с OpenID през Google
Идея 9: Динамична парола. Променяйте паролата си всеки месец. Мислите, че тази идея е за параноици и маниаци на тема сигурност? Не е така, защото пак е лесно да се създаде лесно запомняща се динамична парола – към някоя от горните идеи прибавяте следното: в началото на паролата слагате числото на месеца – 1 за януари, 2 за февруари и т.н. Или поставяте в началото 13 минус цифрата на текущия месец = 12 за януари, 11 за февруари, … до 1 за декември.
Пазете вашата парола!
Ако запаметявате паролите в браузъра, това трябва да бъде само на личния ви домашен компютър и то при положение, че компютъра се ползва само от вас. Запаметяването на паролите в браузъра работи така – при посещение на сайт със запаметена парола, като влезете в логин формата и започнете да пишете потребителското си име, се отваря падащ списък и при избор на потребителското име, паролата се попълва автоматично. Всичко това е много удобно, но лесно може някой, който седне на този компютър, да се представи за вас. Ако е възможно компютъра да се ползва от друг човек е силно препоръчително да инсталирате в браузъра си Password Manager плъгин, който защитава всички запаметени пароли с една обща парола. Да точно така – това е парола за достъп до запаметените пароли. Същото се отнася и ако ползвате личен преносим компютър – той може да бъде изгубен и трябва да има заключване на паролите.
При излизане от сайт, винаги натискайте линка Изход (или Logout), защото всеки, който седне на вашия компютър след вас, ще може лесно да промени паролата ви за този сайт, докато сесията е активна или да се представи за вас.
И накрая най-важното златно правило:
Никога и никъде не записвайте вашата парола на лист или още по-лошо във файл, и в никакъв случай не я казвайте на който и да е! Не трябва да казвате вашата парола дори и на администратор на сайт, служител на банка или длъжностно лице! Най-вече не трябва да казвате вашите пароли на приятел, роднина или на половинката 😉
Заб. Всички пароли в този пример са измислени специално за примера и не се ползват никъде другаде. Вие също не използвайте точно тези пароли, а измислете свои собствени, защото всеки може да прочете тази статия!
Автор: Георги Стефанов
Консултант по интернет сигурност в GanMax.com
Брой прочитания на тази страница: 47602
Благодаря за изчерпателната информация.
Определено смятам да се възползвам от нея, следващият път, когато водя презентация на тематика Сигурност. И най-малкото ще насоча присъстващите в залата към този ресурс, да го прочетат обстойно.
Поздрави на екипа ви!
Забележителна информация. Чудя се ,толкова ли са напреднали всички, че никой не се прежали да похвали тия,които ни отварят очите!Имам изписана тетрадка с имейли и пароли докато се натъкна на тази статия и сега всичко ще изгоря или може би е по-добре да издам като паметник на неопитността.Макар,че няма какво да крия- всичко е ясно.
Бях скептичен и се двоумях ,дали да коментирам,като знам колко екстременти се леят по форумите и колко незадоволени страсти и въжделения се изповядват от неидентифицирани „субекти“, но срещнах смислена публикация и не се стърпях да ви похваля!
Благодарности за добрите думи! Радваме се, че сме били полезни 🙂 Вижте също новата публикация Как да разпознаваме измамнически онлайн магазини?