Inače prema preporukama, za svaki account imam drugačiji password. OK, poneki je ostao kao duplić no ti za sada nisu ukradeni, probijeni, haknuti ili kako se to već kaže.
Zanima me kako vi „pamtite“, pišete, čuvate, skrivate… vaše dragocjene passworde? Kako se password mora kreirati da bi ga što teže ukrali?
Vaš vjerni čitatelj,
Mihael
Pozdrav Mihaele,
Drago nam je čuti da ste uspjeli riješiti problem. Passwordi se ne bi smjeli moći zapamtiti jer lako pamtljivi passwordi nisu dobri.
Uzmimo na primjer kao lako pamtljivi password poznati citat s jedne Linux distribucije: "The quieter you become, the more you are able to hear".
Iako password zadovoljava najčešće smjernice za kreiranje koje navode da lozinke moraju biti duže od 8 znakova, imati barem jedno malo i jedno veliko slovo te jedan specijalni znak, password se može pronaći u online rječniku te će ga softver za probijanje passworda lako razbiti uz pomoć rječnika.
Sjetite li se slovo i zamijeniti brojem 1 te slovo a zamijeniti znakom @ i tako redom raditi najčešće supstitucije e=3, b=8, nećete znatno otežati zadatak računalu.
Password koji ste kreirali najčešće se u bazu zapisuje enkodiran nekim od algoritama. Jedan od starijih algoritama je MD5 koji će bilo koji password pretvoriti u niz od 32 heksadecimalna znaka. Naš primjer u MD5 obliku izgledao bi ovako: 55b798061b8a2e1e7e7b22d805f3fecb.
Ukoliko je korišten MD5 algoritam koji je password zapisao u 128-bita, softver za probijanje ima sada manje posla jer umjesto da mora pogoditi niz od 53 znaka, koliko ima naš citat, sada mora pogoditi niz od 32 znaka, no i broj znakova mu je ograničen na 16. To je sada lakše „pogoditi“ nego izvorni password zbog broja znakova.
Mogli bi sada proširiti odgovor s pojmovima „salt“ te „rainbow tables“ no kako ne bismo previše komplicirali, a želite se dodatno informirati preporučamo vam da to "izguglate".
Danas se koriste mehanizmi koji password mogu zapisati u 1024 ili rijetko 2048-bita, dok sve ispod toga može biti relativno lagano probijeno. Kažemo relativno lagano, jer to ovisi o snazi računala te nekim drugim čimbenicima, no vratimo se malo na naše „gaming“ passworde. Realno, ti servisi neće koristiti zadnji krik tehnologije za pohranu vaših passworda pa će prije takav password biti zapisan u 128-bita nego u 2048-bita.
Kako bi netko uopće pokušao probiti vaš password, mora imati neke informacije o vama koje je skupio s društvenih mreža ili izvora koje ima. Jedan od vrijednih izvora o navikama korisnika i njihovih passworda je web stranica https://haveibeenpwned.com/PwnedWebsites na kojoj možete pronaći popis Internet stranica koje su nekada bile probijene. Na prva 2 mjesta su 000webhost i 126, pa recimo da ste na ta dva servisa imali accounte, sada napadači imaju podatke o vašem passwordu. Ako je jedan password iznosio „pero1“, a drugi „p3r02“ (prema preporukama zamijeni slovo „e“ sa brojem 3 te slovo „o“ sa brojem 0), napadači će softveru prvo reći da pokuša s passwordima koji u sebi sadrže riječ „pero“, a tada nadodaje brojeve ili specijalne znakove na kraj te time pokuša otključati vaš Steam ili Facebook account.
Nemojte samo misliti da ste sigurni ako niste imali 000webhost account, jer sjetite se da je Sony pretrpio veliki napad 2011. godine. Stoga na kraju ispada da niste sigurni i da nema sigurnog passworda, pa slobodno koristite bilo koji password (a da nije baš „Mihael“, „1234“ ili „Mihael1234“) ukoliko na tom servisu postoji mehanizam duple autentifikacije uz pomoć mobitela (SMS poruke) ili slanja koda na gmail, odnosno nekog drugog načina duple autentifikacije. S obzirom da Google ima duplu autenfikaciju putem SMS-a, slobodno je počnite koristiti ukoliko to već ne činite, a tada generiranje i pohranu jakih i nepamtljivih passworda možete prepustiti njihovom servisu ugrađenom u Google Chrome browser, jer password „Mihael1234“ bio je korišten (i probijen) barem jednom prema informacijama sa https://haveibeenpwned.com/Passwords stranice.
Ista stranica promovira servis 1Password za pohranu vaših passworda, što nije jako loš izbor, no trebate imati na umu, da kada probiju servis na kojem pohranjujete vaše passworde, imate isti problem kao da ste izgubili rokovnik s vašim zapisanim passwordima.
A kada naslov ovoga pisma ukucate u Google, dobijete zanimljive tekstove kako su probijeni upravo ti servisi za pohranu vaših passworda.
Možete li prepoznati uzorak otljučavanja na ovom ekranu mobitela? A govorili su kako je sigurniji od pina!