Uncategorized

360 милиона причина да унищожите всичките си пароли


Помните ли Myspace? Неотдавна хакер пусна за продажба в darkweb 360 милиона акаунта (потребителски имена и пароли). Това са акаунтите на истински хора, които в повечето случаи още ползват същите комбинации от имена и пароли за достъп до други сайтове.

И това се случи в същата седмица, в която чухме за хакери, кото пуснаха за продажба 117 милиона потребителски имена и пароли за LinkedIn. И още 65 милиона за Tumblr.

Спрете да четете сега и сменете паролите си. Сериозно, този поуст е важен, но не толкова, че да рискувате сигурността си онлайн, докато го прочетете.

Сменете паролата си за LinkedIn.

Ако някога сте имали Tumblr, сменете паролата си за Tumblr..

След това, ако сте ползвали някога MySpace, сменете паролата си за Myspace.

Сменете и паролите си за всички сайтове, в които е дори слабо вероятно (но все пак възможно) да сте използвали същите комбинации.

Добре дошли обратно. Мина време. О, това да не е нова прическа? Отива ви.

Сега, след като сменихте всички тези пароли, кажете ми колко сигурни бяха новите такива? Помните ли ги все още?

Ако използвате мениджър за пароли (password manager) като LastPass, супер! Той ще запомни вместо вас паролите ви. Дори ще генерира такива с “голяма ентропия”, при които Слънцето ще се превърне в супернова много преди някой да успее да ги разбие (50-символни комбинации от букви, цифри и специални символи).

Но какво, ако сте на мобилния си телефон? Или на чужд компютър и трябва да достъпите свой акаунт?

И нещо любопитно – ако сте пропуснали новината, ето я: LasPass беше хакнат относително скоро.

“There are two types of companies: those who have been hacked, and those who don’t yet know they have been hacked.” — John Chambers

Окей, не ползвате мениджър за пароли. Вместо това имате много сигурен алгоритъм за създаване на пароли. Всеки път ползвате специални символи, цифри и дори главни букви (искрени поздравления за което, знаем колко досадно е да се натиска клавиша shift, особено на мобилен телефон).

Но сега не можете да запомните тази парола.

Това е нормално.

Начинът от картината е супер. В Сахйет го ползваме понякога. С уловката, че не използваме истински думи (които присъстват в речници за скоростно кракване), а измисляме свои. Въпреки това не е лесно да се запомнят или напишат. Дори и да бяха реални фрази, а не съчинени, според Carnegie Mellon University, пак не биха улеснили живота ни много.

Окей, знаем, че комбинация цифри, символи и малки и главни букви е начинът да бъдем сигурни онлайн. Но тези пароли са толкова, толкова трудни за запаметяване. А записването им на листче, залепено за монитора, е ужасна идея, макар и често примамлива.

Макар и да има нещо още по-ужасно. Това е да използвате една и съща парола за различни сайтове. Защото това означава, че ако някой получи паролата ви за една услуга (което се случва твърде често, че да го пренебрегнете), ще получи паролите ви за… Е, за навсякъде.

Но тъй като създаването и помненето на пароли е толкова трудно, повече от половината потребители ползват една и съща парола за различни сайтове.

Забравих паролата си! 

88% от потребителите (и IT-специалистите също, не ни мислете за всепомнещи), са забравяли парола през последните няколко месеца и им се е налагало да търсят начин да я възстановят.

Ето както се случва, когато забравите парола:

  1. Влизате в сайта, търсите линка “Забравена патола” и вкарвате имейл адреса си.
  2. Влизате в мейла си и кликвате върху линка за ресетване на паролата, който сте получили.
  3. Линкът ви отвежда до страница, която ви дава възможност да зададете нова парола, която отговаря на изискванията за комплексност на съответната услуга.

Ако помислите за секунда, лесно ще разберете, че всички онлайн услуги ви дават възможност за вход без парола (“passwordless login”), просто не го наричат така.

Ако всеки, който има достъп до имейла ви може да влезе в акаунтите ви без да знае паролата ви, защо са ни нужни пароли? Какво ако, вместо непрекъснато да измисляме безумни пароли, да ги забравяме и да използваме “Lost password”, просто не се логваме без парола, възползвайки се от тази функционалност?

Ето какво се случва, когато сайт ползволява passwordless login:

  1. Влизате в сайта и предоставяте имейл адреса си.
  2. Отваряте писмото, което сте получили и кликвате върху линка в него. И готово! Вече сте в акаунта си.

Уау! Същото ниво на сигурност като това, което изисква парола, но без нуждата да прекарвате време в измисляне на такава. И без нуждата да обикаляте всичките си акаунти и да сменяте паролите им всеки път, когато голям уебсайт бъде хакнат и паролите от него изтекат в Интернет.

Още веднъж – хората, които могат да влязат в акаунтите ви са само онези, които имат достъп до личния ви имейл. Това по дефиниця би следвало да сте само вие. Нали?

Имейлът ви е скелетът на цифровия ви живот. Той е единственото място, което наистина трябва да е защитено със силна парола. И с добавена двустепенна аутентикация. А заради навлизащите биометрични технологии, скоро паролите ще станат излишни и там.

Тогава защо уеб-сайтовете все още изискват пароли?

Нямам идея. Честно. Може би от тях просто се очаква да изискват парола. Може би хората вярват, че е по-бързо да въведат паролата си, отколкото да кликнат на линк в имейла си (да знаете, не е).

Много уеб-сайтове ви държат логнати в акаунта ви (gmail, здравейте.), защото знаят, че ако ви log out-нат, вероятно няма да се сетите за паролата си и е възможно да не си направите труда да влизате отново, правейки услия да си я спомните или reset-нете. Помислете, кога беше последният път, когато Facebook ви попита за паролата ви?

Места като Free Code Camp вече ни отърваха от нуждата да пишем пароли. И не са единствените. Надяваме се повече уеб-разработчици да си дадат сметка, че идентифицирането с парола е в миналото.

2 571 946 208 (как се чете това число?!) пароли са изтекли към днешна дата. Между другото, можете да проверите тук дали вашата е сред тях.

 

 

След като сменихте всичките си пароли в началото на тази статия (направихте го, нали?), представете си колко по-хубаво място щеше да бъде Интернет, ако не ви се беше наложило да го правите. И ако нямаше да ви се наложи никога отново. И ако заради това акаунтите ви са не по-малко сигурни, а точно обратното.

 

About the author

Дамян Дешев

Предприемач, хакер, лектор и основател на Cyhat JSco.

Add Comment

Click here to post a comment