Parole sigure. Poate că „ingineria simplă este inginerie bună”

Parole sigure. Poate că „ingineria simplă este inginerie bună”

746
Vassilios Manoussos, MSc,PGC,BSc,AAS Digital Forensics & E-Crime Consultant, Strathclyde Forensics Associate Lecturer, Edinburgh Napier University National Adviser (Online Safety of children and vulnerable adults), Roshni (Scottish Charity)
Vassilios Manoussos, MSc,PGC,BSc,AAS
Digital Forensics & E-Crime Consultant,
Strathclyde Forensics
Associate Lecturer, Edinburgh Napier University
National Adviser (Online Safety of children and
vulnerable adults), Roshni (Scottish Charity)

BIO
Vassilios Manoussos, MSc,PGC,BSc,AAS Digital Forensics & E-Crime Consultant, Strathclyde Forensics Associate Lecturer, Edinburgh Napier University National Adviser (Online Safety of children and vulnerable adults), Roshni (Scottish Charity)

Vassilios Manoussos este un specialist digital forensics. El s-a născut în Patra, Grecia și locuiește în UK de 14 ani. Are o experiență de peste 27 de ani în companii ca: IBM, Abbey National și HM Civil Service. Are o experiență de 7 ani în Digital Forensics și a condus investigații și a realizat rapoarte despre infracțiuni și cazuri civile, de familie și de angajare/recrutare, inclusiv în cazul lui Artur Boruc –vezi- News of the World, cazul Mecca Bing Jackpot, și cazuri de infracțiuni implicând crime violente și pornografie infantilă. Este co-fondator al Digital Forensics Society în UK, și este un speaker frecvent la universitățile scoțiene.

Vassilios Manoussos este proprietarul Strathclyde Forensics, una dintre cele mai respectate firme de consultanță în domeniul Digital Forensics din Scoția și din Nordul Angliei. Este asociat la The Cyber Academy și în prezent lucrează la mai multe proiecte cu Napier University (Edinburgh, Scoția).

CERTIFICĂRI:
Domnul Manoussos deține certificările: MSc Forensic Informatics (Strathclyde University), PG Certificate in Business (Sunderland University), BSc Business și o Associate in Applied Science (AAS) de la American College of Greece. Deține certificări în Computer Forensics, White Collar Crime și Cyber Ethics, de la FEMA/DHS. În prezent studiază pentru o certificare BSc Forensic Psychology (Open University) și va începe în curând LLB English Law (University of London). Mr. Manoussos poate fi contactat la: vassilis@strathclydeforensics.co.uk sau prin Linkedin.
Când învățam pentru licență, unul dintre profesorii preferați avea două mantre: «ingineria simplă este inginerie bună» și «ingineria veche este inginerie bună». Avea dreptate, cel puțin în cazul celei dintâi.

Lumea continuă să mă întrebe cum să-și securizeze parolele, cum să evite neajunsurile și cum să-i împiedice pe alţii să le ghicească parolele (inginerie socială). (vedeţi și articolul meu: Cum să hack-uiești conturile prietenilor și ale celor din familie).

Adevărul este că soluţiile pot fi uneori mai simple decât par. În primul rând, bunul simţ ar trebui să primeze.

FAPT: Indiferent cât de bună este parola pe care aţi ales-o, dacă nu aveţi antivirus și firewall pe calculatorul vostru, va fi furată. Costă mai nimic și este incredibil că indivizii și chiar și micile companii nu se gândesc cât de important este să nu le ai.

FAPT: dacă vă folosiţi numele sau numele câinelui pe care îl aveţi etc. cineva vă va ghici cu ușurinţă parola. Cei care doresc să obţină parola voastră pot merge la pagina de logare în email, să tasteze adresa voastră de email, să dea click pe «Forgot password» și să folosească întrebările de securitate pentru a vă ghici parola.

FAPT: Reamintirea unei parole scurte este ușoară.

FAPT: Reamintirea unei parole din 32 de caractere nu este ușoară. Sau este?

Există un proces denumit hashing prin care se calculează o valoare pentru un șir de caractere, sau un fișier, sau chiar pentru un disc întreg. Valoarea de hash este la fel de unică ca o amprentă. Chiar dacă și valorile de hash pot fi decriptate (de ex. să validezi o valoare de hash dintr-un tabel pre-existent), este imposibil să reproduci sursa unui hash.

Metoda de hashing MD5 este una dintre cele mai vechi, și în ciuda faptului că este discutabilă utilizarea sa în anumite aplicaţii, rămâne un instrument simplu și exact. Există multe generatoare online MD5. Dacă îl alegeţi pe oricare dintre acestea și introduceţi același șir de litere sau cuvinte, codul de 32 de cifre rezultat trebuie să fie același.

Deci cum puteţi utiliza un astfel de instrument pentru a obţine o parolă sigură? Și cât de sigură poate fi acea parolă? Repet, vorbim despre o ameninţare de inginerie socială și de phishing mai degrabă decât despre un atac în care este folosită forţa brută.

Dificultatea de a obţine acea parolă hash este direct legată de cuvintele pe care le-aţi folosit ca să o obţineţi. O mică variaţie în sursă va duce la hash-uri total diferite. Să luăm numele meu ca exemplu:

Vassilis va întoarce 325fc57f275cd8a61d88800c1c52e541 în timp ce vassilis va întoarce 1534aac0fd311f42ba96a9a280c4253e

Ei bine, cât de sigură este o parolă din 32 de cifre? Să aruncăm o privire. Am utilizat verificatorul de parole my1login.com. Verificatoarele de parolă nu sunt un instrument absolut, dar unul potrivit vă va da o bună apreciere asupra stării pe care aţi ales-o.

Adăugarea unei singure majuscule crește timpul necesar pentru spargerea parolei de circa 6 ori. Acum urmează partea interesantă. Scriind același cuvânt în greacă (utilizând un alfabet ne-latin) face lucrurile și mai complicate pentru spărgătorii de parole. Pentru același cuvânt într-o limbă diferită, de la 41 de minute am ajuns la 25 de zile.

Și în final hash-ul MD5 al numelui meu (vassilis fără majusculă). Acesta ajunge la 13,000,000,000,000,000,000,000 de ani. Ei bine, aceasta este o parolă sigură.
Vă puteți reaminti parola?

Doar puţini oameni de pe planetă își pot aminti un șir alfanumeric ca acesta, așa că fie trebuie să-l scrieţi undeva, fie va trebui să-l generaţi de fiecare dată când aveţi nevoie de el. Acest lucru nu ar trebui să fie o problemă. Dacă îl folosiţi ca parolă pentru logare online, înseamnă că vă aflaţi pe un calculator conectat la Internet. Vizitaţi un site care generează MD5 (sau SHA1 sau SHA-256) și generaţi-vă parola de fiecare dată. Va fi mai ușor să vă amintiţi «Am visat o mierlă» decât fea40a4cd0ce4e-6aa9d7dfec73a236de.

Cine ar trebui să folosească această metodă

Această metodă este de departe mai sigură decât să utilizaţi numele pisicii sau data de aniversare a căsătoriei ca parolă. Organizaţiile mari ar trebui să aibă alte metode mai sofisticate care să asigure accesul la infrastructura IT. Dar persoanele particulare care doresc să se asigure că nu le va citi nimeni email-urile o pot folosi ca un punct de plecare bun spre un comportament digital mai conștient.

Ce să nu faceți
 Nu folosiţi browser-ul obișnuit aunci când vizitaţi un generator MD5. Utilizaţi modul «incognito» astfel încât alţi utilizatori care folosesc același calculator să nu știe ce faceţi.
 O valoare hash este la fel de sigură ca și sursa ei. Dacă folosiţi cuvinte ca password și 123456 valoarea hash va fi ghicită ușor.
 Nu spuneţi altor persoane cum vă stabiliţi parolele!