Kāds ir drošākais paroļu veids?

Pēdējā laikā notikušie lietotāju datu zādzības gadījumi no vairākiem vortāliem, liek aizdomāties par to, kādas jāizvēlas paroles, lai justos droši. Gan jau visi būsiet dzirdējuši par to, ka izvēloties kādu jaunu paroli, to jāveido pēc iespējas sarežģītāku un neatmināmāku. Tātad, jāizmanto lielos un mazos burtus, kā arī vēlams skaitļus un dažādus simbolus. Šāda pamācība nav aplama. Ja izmantosiet sarežģītu paroli, tad diez vai kāds to atminēs vai ar netīšām atklās ar automatizētiem paroļu pārbaudes rīkiem.

Kur tad ir problēma? Ilustrēšu piemēru. Margots (par godu šodienas jubilāriem) ir izdomājis sarežģītu paroli: bai2Gi# Viņš par šo paroli jūtas droši, tāpēc izmanto to vairākos resursos. Kādam no šiem resursiem tiek nozagta datu bāze un ļaundari tiek pie paroles. Tā var būt vai nu šifrētā veidā vai nešifrētā. Ja šifrētā, tad vēl īpaši jāuztraucas nav. Savukārt, ja nešifrētā, tad pirmais ko jādara – jānomaina visur savas paroles. Problēma ir tajā, ka mēs nekad nevaram būt īsti droši par to kādā veidā paroles tiek uzglabātas (šifrētas vai nešifrētas). Ja Margots būtu izvēlējies vienkāršu paroli, piemēram, “saulīte”, tad viņš būtu apdraudēts pat abās situācijās. Jo arī paroles aizšifrēšana nelīdzēs pret to, lai tiktu pie vārda “saulīte” (protams, ir cerības gadījumā, ja parole tiek šifrēta kādā nestandarta veidā vai ar nezināmu salt, bet cik bieži tas notiek?). Pēc tam, kad Margotam nācās visur paroles nomainīt viņš nolēma, ka turpmāk būs gudrāks un neizmantos vairākos resursos vienu un to pašu paroli. Bet te nu viņš atkal saskārās ar problēmu. Bija grūti atcerēties kurā resursā parole ir: bai2Gi# un kurā : !ka10KZ. Margots ir neizprašanā – ko darīt, lai justos daudz maz droši savā paroļu izvēlē.

Manā skatījumā ir vairāki varianti.

Pirmais variants. Iemācāmies pāris sarežģītas paroles no galvas. Tās izmantojam resursiem, kuriem jāpiekļūst bieži un no dažādām vietām. Piemēram, epastam. Savukārt pārējiem resursiem (forumiem utt.) izmantojam tādas paroles, kuras pat neatceramies, bet zinām, ka tās ir unikālas. Atcerēšanās funkciju uzticam Web pārlūkam vai kādai speciālai programmai. Šādā veidā būsim nodrošinājušies ar sarežģītām parolēm, turklāt unikālām.

Otrais variants. Izmantot un aģitēt par OpenID ieviešanu daudzajos resursos. Parole neglabāsies pie neskaitāmo forumu uzturētājiem, bet kādā centralizētā vietā, kurai diez vai skriptu bērneļi tiks klāt. Protams, viena parole tomēr ir jāatcerās un ja kāds kaut kādā veidā to uzzina, tad nav īpaši labi, lai neteiktu vairāk.

Trešais variants. Šis ir kas līdzīgs OpenID, tikai vēl drošāks. Būtu labi, ja līdzīga sistēma, kā OpenID izmantotu vēl kodu kalkulatorus (idejiski tādus kādus izsniedz bankas). Līdz ar to, lai autorizētos vienā centralizētā vietā, katru reizi tiktu izmantots unikāls kods. Šķiet, ka nekā drošāka pagaidām nav. Protams, šāds pasākums varētu sanākt visai dārgs, bet varbūt ir vērts maksāt par saldu nakts miegu?

Varbūt ir vēl kāds variants?

Citi raksti par šo tēmu

• Nav citu rakstu par šo tēmu.

Pēdējā laikā notikušie lietotāju datu zādzības gadījumi no vairākiem vortāliem, liek aizdomāties par to, kādas jāizvēlas paroles, lai justos droši. Gan jau visi būsiet dzirdējuši par to, ka izvēloties kādu jaunu paroli, to jāveido pēc iespējas sarežģītāku un neatmināmāku. Tātad, jāizmanto lielos un mazos burtus, kā arī vēlams skaitļus un dažādus simbolus. Šāda pamācība nav aplama. Ja izmantosiet sarežģītu paroli, tad diez vai kāds to atminēs vai ar netīšām atklās ar automatizētiem paroļu pārbaudes rīkiem. Kur tad ir problēma? Ilustrēšu piemēru. Margots (par godu šodienas jubilāriem) ir izdomājis sarežģītu paroli: bai2Gi# Viņš par šo paroli jūtas droši, tāpēc izmanto to vairākos resursos. Kādam no šiem resursiem tiek nozagta datu bāze un ļaundari tiek pie paroles. Tā var būt vai nu šifrētā veidā vai nešifrētā. Ja šifrētā, tad vēl īpaši jāuztraucas nav. Savukārt, ja nešifrētā, tad pirmais ko jādara – jānomaina visur savas paroles. Problēma ir tajā, ka mēs nekad nevaram būt īsti droši par to kādā veidā paroles tiek uzglabātas (šifrētas vai nešifrētas). Ja Margots būtu izvēlējies vienkāršu paroli, piemēram, “saulīte”, tad viņš būtu apdraudēts pat abās situācijās. Jo arī paroles aizšifrēšana nelīdzēs pret to, lai tiktu pie vārda “saulīte” (protams, ir cerības gadījumā, ja parole tiek šifrēta kādā nestandarta veidā vai ar nezināmu salt, bet cik bieži tas notiek?). Pēc tam, kad Margotam nācās visur paroles nomainīt viņš nolēma, ka turpmāk būs gudrāks un neizmantos vairākos resursos vienu un to pašu paroli. Bet te nu viņš atkal saskārās ar problēmu. Bija grūti atcerēties kurā resursā parole ir: bai2Gi# un kurā : !ka10KZ. Margots ir neizprašanā – ko darīt, lai justos daudz maz droši savā paroļu izvēlē. Manā skatījumā ir vairāki varianti. Pirmais variants. Iemācāmies pāris sarežģītas paroles no galvas. Tās izmantojam resursiem, kuriem jāpiekļūst bieži un no dažādām vietām. Piemēram, epastam. Savukārt pārējiem resursiem (forumiem utt.) izmantojam tādas paroles, kuras pat neatceramies, bet zinām, ka tās ir unikālas. Atcerēšanās funkciju uzticam Web pārlūkam vai kādai speciālai programmai. Šādā veidā būsim nodrošinājušies ar sarežģītām parolēm, turklāt unikālām. Otrais variants. Izmantot un aģitēt par OpenID ieviešanu daudzajos resursos. Parole neglabāsies pie neskaitāmo forumu uzturētājiem, bet kādā centralizētā vietā, kurai diez vai skriptu bērneļi tiks klāt. Protams, viena parole tomēr ir jāatcerās un ja kāds kaut kādā veidā to uzzina, tad nav īpaši labi, lai neteiktu vairāk. Trešais variants. Šis ir kas līdzīgs OpenID, tikai vēl drošāks. Būtu labi, ja līdzīga sistēma, kā OpenID izmantotu vēl kodu kalkulatorus (idejiski tādus kādus izsniedz bankas). Līdz ar to, lai autorizētos vienā centralizētā vietā, katru reizi tiktu izmantots unikāls kods. Šķiet, ka nekā drošāka pagaidām nav. Protams, šāds pasākums varētu sanākt visai dārgs, bet varbūt ir vērts maksāt par saldu nakts miegu? Varbūt ir vēl kāds variants?