Kāds ir drošākais paroļu veids?
Pēdējā laikā notikušie lietotāju datu zādzības gadījumi no vairākiem vortāliem, liek aizdomāties par to, kādas jāizvēlas paroles, lai justos droši. Gan jau visi būsiet dzirdējuši par to, ka izvēloties kādu jaunu paroli, to jāveido pēc iespējas sarežģītāku un neatmināmāku. Tātad, jāizmanto lielos un mazos burtus, kā arī vēlams skaitļus un dažādus simbolus. Šāda pamācība nav aplama. Ja izmantosiet sarežģītu paroli, tad diez vai kāds to atminēs vai ar netīšām atklās ar automatizētiem paroļu pārbaudes rīkiem.
Kur tad ir problēma? Ilustrēšu piemēru. Margots (par godu šodienas jubilāriem) ir izdomājis sarežģītu paroli: bai2Gi# Viņš par šo paroli jūtas droši, tāpēc izmanto to vairākos resursos. Kādam no šiem resursiem tiek nozagta datu bāze un ļaundari tiek pie paroles. Tā var būt vai nu šifrētā veidā vai nešifrētā. Ja šifrētā, tad vēl īpaši jāuztraucas nav. Savukārt, ja nešifrētā, tad pirmais ko jādara – jānomaina visur savas paroles. Problēma ir tajā, ka mēs nekad nevaram būt īsti droši par to kādā veidā paroles tiek uzglabātas (šifrētas vai nešifrētas). Ja Margots būtu izvēlējies vienkāršu paroli, piemēram, “saulīte”, tad viņš būtu apdraudēts pat abās situācijās. Jo arī paroles aizšifrēšana nelīdzēs pret to, lai tiktu pie vārda “saulīte” (protams, ir cerības gadījumā, ja parole tiek šifrēta kādā nestandarta veidā vai ar nezināmu salt, bet cik bieži tas notiek?). Pēc tam, kad Margotam nācās visur paroles nomainīt viņš nolēma, ka turpmāk būs gudrāks un neizmantos vairākos resursos vienu un to pašu paroli. Bet te nu viņš atkal saskārās ar problēmu. Bija grūti atcerēties kurā resursā parole ir: bai2Gi# un kurā : !ka10KZ. Margots ir neizprašanā – ko darīt, lai justos daudz maz droši savā paroļu izvēlē.
Manā skatījumā ir vairāki varianti.
Pirmais variants. Iemācāmies pāris sarežģītas paroles no galvas. Tās izmantojam resursiem, kuriem jāpiekļūst bieži un no dažādām vietām. Piemēram, epastam. Savukārt pārējiem resursiem (forumiem utt.) izmantojam tādas paroles, kuras pat neatceramies, bet zinām, ka tās ir unikālas. Atcerēšanās funkciju uzticam Web pārlūkam vai kādai speciālai programmai. Šādā veidā būsim nodrošinājušies ar sarežģītām parolēm, turklāt unikālām.
Otrais variants. Izmantot un aģitēt par OpenID ieviešanu daudzajos resursos. Parole neglabāsies pie neskaitāmo forumu uzturētājiem, bet kādā centralizētā vietā, kurai diez vai skriptu bērneļi tiks klāt. Protams, viena parole tomēr ir jāatcerās un ja kāds kaut kādā veidā to uzzina, tad nav īpaši labi, lai neteiktu vairāk.
Trešais variants. Šis ir kas līdzīgs OpenID, tikai vēl drošāks. Būtu labi, ja līdzīga sistēma, kā OpenID izmantotu vēl kodu kalkulatorus (idejiski tādus kādus izsniedz bankas). Līdz ar to, lai autorizētos vienā centralizētā vietā, katru reizi tiktu izmantots unikāls kods. Šķiet, ka nekā drošāka pagaidām nav. Protams, šāds pasākums varētu sanākt visai dārgs, bet varbūt ir vērts maksāt par saldu nakts miegu?
Varbūt ir vēl kāds variants?
2008-06-05 18:35
Kāpēc izmantojot OpenID būtu jāatceras parole? Drošībai viņu pietiktu izvēlēties pietiekami garu un pierakstīt drošā vietā.
Un ikdienā izmantot OpenID piedāvāto iespēju, autorizēties ar sertifikātu.
2008-06-05 18:48
Vēl var uzmaukt uz sava servera kādu no OpenID provaidera php skriptiem, un atļaut pieslēgties tikai no dažām IP adresēm (savām).
2008-06-05 18:51
http://keepass.info/
2008-06-05 21:06
visdrošāk ir izmantot daudzas daudzas parolītes un tās visas sarakstīt uz lapeles un glabāt zeķē vai zem spilvena
ronis66 raksta par..Baltic Beach Party 2008
2008-06-05 22:30
Es pieturos pie pirmā varianta. Reāli man ir kādas 4-5 paroles (pamatā passphrase), atkarībā no uzticamības resursam un nepieciešamās drošības. Mājas datorā izmantoju 4 simbolu paroli, jo tam no ārpuses nevar piekļūt, rūterī jau ir padsmit simboli, neskatoties uz to, ka piekļūt var tikai no iekšējā tīkla, e-pastiem arī padsmit simboli, forumos arī pa padsmit simboliem, taču tuvāk divdesmit. Forumā, kur man ir admin status, parole pārsniedz 30 simbolus.
Sarežģītākā ir resursa uzticamības un nepieciešamās drošības novērtēšana. Katram pašam vajag izvērtēt uzticamību resursam. Sākumā būs pagrūti, taču ar laiku noteikti piešaujas.
Par OpenID un reģistrācijas formā jau laiku atpakaļ rakstīja Mārcis. Vajag OpenID un kādam šis pasākums ir jāiekustina.
Anda ieteiktais risinājums ir praktiski tas pats, kas paroļu glabāšana naudas makā uz papīra gabala. Pamanīsies kāds nozagt tavu naudas maku, nozags arī lapiņu uz kuras ir tavas paroles.
2008-06-06 01:17
aizmirsi piebilst vēl vienu fīču - regulāri mainīt paroles tam,kas ir svarīgs. ja arī kāds bibis nozog foruma datubāzi, ar to paroli viņš varēs tikai izdrukāt un dirsu noslaucīt, jo citur jau būs cita parole ut.t.
2008-06-06 12:34
Var ģenerēt katram resursam savu paroli - galvā!
http://www.draugiem.lv = draX5%me.LV
http://www.endijs.com = endX5%js.LV
http://www.gmail.com = gmaiX5%li.COM
No galvas jāatceras tikai princips, pēc kāda ģenerēt paroli - domēna pirmie trīs burti + “X5%” + domēna pēdējie divi burti apgrieztā secībā + ar lieliem burtiem .COM/.LV/.CO.UK atkarībā no domēna.
Rezultātā katrai weblapai iegūstam unikālu paroli.
2008-06-06 12:41
Jā - ar parolēm kas ir veidotas pēc kāda konkrēta algoritma pārveidojot resursa nosaukumu var nodrošināties, ka paroles būs unikālas un samērā sarežģītas. Bet kas notiks gadījumā, ja paroļu zaglis iegūs kādas 2-3 tavas paroles? Principu vairs nebūs grūti saprast un tad atkal jāmaina visas paroles… :)
2008-06-07 01:54
Bet 2-3 paroles šim būs grūtāk dabūt tīrā veidā, nekā vienu, kas der vairākās vietās :)
Man pat vairāki algoritmi ir dažādām vietām - un izmantojamo algoritmu arī nosaku pēc kāda “likuma”. Kaut vai ar kuru alfabēta burtu sākas www adrese - cits algoritms. Cilvēks-parastais laikam teiktu, ka es esmu paranoisks :D
2008-06-07 10:48
Nu 2-3 paroles nav grūti dabūt, ja ņemam vērā to, cik daudz dažādus DB dumpus varēja redzēt inetā (boot, datuve, hackers, mozaika utt.).
Bet nu jā - ja ir vairāki algoritmi, tad nav tik traki :)