Autentificarea cu parole este în lumea digitală cea mai veche şi mai simplă metodă de protecţie a datelor care nu sunt publice. Metoda este departe de a fi sigură, dar creează un prim şi necesar nivel de protecţie. Primim pentru aplicaţie un nume de identificare şi creăm o parolă şi accesul ne este asigurat. Este simplu, dar doar la prima vedere.

Parolele trebuie memorate şi nu ne place să o facem, ba chiar suntem deranjaţi! Mai ales când sunt multe parole de memorat într-o lume în care aplicaţiile informatice se înmulţesc exponenţial.

Tendinţa este atunci să folosim parole scurte sau aceeaşi parolă la mai multe aplicaţii. Un obicei ale cărui consecinţe dezastruoase le simţi doar când un hacker ţi-a furat identitatea şi îţi provoacă pagube materiale, nu numai digitale. De exemplu, îţi clonează cardul şi îţi goleşte contul bancar. Sau îţi blochează datele şi îţi cere bani pentru deblocare (ransomware). Posibilitate reală, deoarece şi în viaţa reală identitatea unei persoane poate fi fals asumată, dar în lumea digitală falsa identitate este simplu de asumat şi mai greu de descoperit.

De ce este nevoie de parole complicate?
 

O parolă aflată de către o terţă persoană îi permite acesteia să-şi asume identitatea digitală a posesorului parolei şi să acţioneze în numele lui. Poate să-i acceseze datele şi să facă operaţii în numele acestuia. Aflarea parolei este probabil prima preocupare a infractorilor informatici.

Parolele, ni se cere, trebuie să fie lungi. La baza solicitării sunt calcule aritmetice simple. Cea mai la îndemână metodă de „spargere” a unei parole este încercarea tuturor variantelor posibile, ceea ce cu calculatoare electronice nu este complicat.

Metoda se mai numeşte „forţa brută” şi are succes la parole foarte scurte. Să vedem şi de ce. Alfabetul latin, fără literele cu semne speciale caracteristice unei limbi, are 26 litere. Se mai pot folosi pentru parolă cele 10 cifre. La o parolă de 4 caractere rezultă aproximativ 1,7 milioane de variante. Adăugând 10 caractere speciale aflate pe toate tastaturile ajungem la circa 9,8 miliarde variante. Dacă folosim şi literele mari şi cele mici, atingem 27 de miliarde, valoare care pare mare, dar este un fleac pentru calculatoare nu foarte puternice.

Compromisul acceptat de multe aplicaţii este de aceea o parolă de minim 6 caractere. La 6 caractere, cu folosirea de litere mici şi mari, cifre şi semne speciale, se pot genera circa 140 de miliarde de parole diferite. Un volum apreciat ca acceptabil pentru timpul şi costul spargerii unei parole prin forţă brută. Numai că forţa brută este folosită rareori. Oamenii fac greşeli elementare în alegerea parolelor făcând viaţa hackerilor mult mai uşoară şi spargerea parolelor mult mai puţin complicată.

Alegerea parolei
 

Parola cea mai sigură este aceea pe care infractorul o poate determina cât mai puţin probabil. De exemplu

3V;B!?U;$%G!J_qR

Dar cine poate ţine minte o astfel de parolă? Şi chiar dacă şi-o notează într-o agendă, acţiune total nerecomandabilă, cât durează să o introduci la tastatură, mai ales la dispozitivele mobile? Şi cu câte erori posibile.

Din miliardele de variante se aleg atunci unele simplu de reţinut de către persoana în cauză. Cel mai simplu de reţinut este numele persoanei. Din identificator hackerul vede să zicem că persoana se numeşte ”Vasile” şi parola are 6 caractere. Am ales numele meu pentru a nu supăra pe nimeni. Hackerul încearcă ”Vasile”, ”vasile”, ”VASILE” şi din 3 încercări are şansa de 90% de a afla parola. În restul de 10% includ variante mai sofisticate ca ”VaSiLe” care însă sunt parole sparte după 10-70 încercări. Dacă parola are 7 caractere hackerul presupune că ultimul caracter este o cifră, deci numai de 10 ori încercări în plus.

Spargerea parolelor este simplificată de faptul că foarte mulţi oameni aleg din comoditate parole simple. Conform studiilor firmei Symantec primele 10 parole cele mai utilizate vreodată în lume sunt:

123456, password, 12345678, 1234, pussy, 12345, dragon, qwerty, 696969, mustang

Hackerii încearcă, având la dispoziţie calculatoare electronice, sute de parole cunoscute cum sunt cele de mai sus sau variante ale lor. Sunt inventariate şi folosite variante cunoscute ale parolelor comune. De exemplu câteva variante pentru password sunt:

p4sSw0rd, PaSsWoRd, PASSword, pa$$w0rd, p@sSw0rd, p@Ssw0rd, Pa55w0rd, Pa55word, pa$$word, PASSWORD, p455word, p455wOrd, passwOrd, p@sswOrd, p@$$word.

Cititorul interesat poate găsi uşor pe Internet sute de parole proaste care nu trebuie folosite. Este deja informaţie publică recomandarea de a nu folosi în parole:

  • numele sau prenumele utilizatorului în orice formă;
  • informaţie uşor de obţinut despre utilizator (data naşterii, codul numeric personal, adresa de domiciliu, numere de telefon, numele soţului/soţiei, numele copiilor, numărul de înregistrare sau marca autoturismului etc.);
  • abrevieri des folosite şi cuvinte des folosite cum ar fi cele de mai sus şi 000000, admin, abcdef,
  • nume de actori preferaţi, melodii, mărci de autoturisme etc.;
  • identificatorul de nume în niciun fel, nici inversat, nici cu litere mari sau mici, nici cu prefix sau sufix.

Se recomandă în schimb ca parolele să fie:

  • o combinaţie de cifre, litere şi semne de punctuaţie admise cât mai greu de legat de persoana respectivă;
  • mai lungi de 6 sau 8 caractere, funcţie de aplicaţie; să conţină un amestec de litere mari şi mici, cifre şi semne de punctuaţie;
  • ceva uşor de reamintit numai de către persoana respectivă;
  • diferite pentru diverse aplicaţii;
  • schimbate periodic(unele aplicaţii solicită imperios acest lucru);  
  • păstrate confidenţial, în nici un caz să nu fie tipărite în clar pe foi de hârtie aflate în apropierea terminalului;
  • să nu poată fi sparte de programe informatice în intervale rezonabile de timp;
  • să nu conţină un algoritm care odată ghicit compromite toate parolele ca de exemplu substituţia simplă de litere gen A cu B, B cu C, C cu D, etc.
     

Vă amintiţi de un film în care un calculator avea numele HAL care, printr-o substituţie ca aceasta, conducea la IBM (!).

Şi, totuşi, comoditatea face ca oamenii să încalce aceste reguli şi să crească pericolele la care sunt supuşi. Cel mai des încălcarea regulilor este flagrantă şi se datorează nu numai comodităţii, ci şi ignoranţei digitale. Mi s-a relatat de un masterand că la o primărie parola de acces la reţeaua de calculatoare era afişată pe perete pentru funcţionari, să nu o uite! Dar sala era accesibilă şi publicului venit la primărie….

Recomandări simple
 

Care ar fi atunci soluţiile? Printre recomandările mele aş include:

  • alegerea unui vers sau două dintr-o poezie cunoscută de persoana respectivă, dar scrisă cu litere mari şi mici şi adăugând şi erori de ortografie cunoscute numai de autorul parolei;
  • alegerea unei întâmplări din trecutul îndepărtat şi extragerea unei parole creată pe baza regulilor de mai sus;
  • alegerea unei succesiuni de consoane şi vocale uşor de pronunţat, dar fără sens pentru alţii, folosind mai multe cuvinte scurte cu intercalare de cifre sau semne de punctuaţie etc.

Din ce în ce mai mult se recomandă texte lungi, dar cu sens pentru autor. Destul de uşor de scris:

PeCorsolaTimisoarainanii1960 sau PorniLuceafarulCresteade99ori

Metoda nu este nouă, vezi alegerea unui vers recomandată de mine de mulţi ani, dar frecventele cazuri de uitare a parolelor, o recomandă cu adevărat. Se recomandă şi texte total aberante:

The spherical brown fox jumped into the Russian Bundestag.

Ca în postarea There’s a new way to make strong passwords, and it’s way easier de pe Washington Post.

Parole perfecte nu există
 

Este aproape axiomatic să afirmi că parole perfecte nu există. În afara posibilităţii de determinare a parolei prin metodele descrise mai sus mai există şi alte pericole:

  • observarea de către o persoană aflată lângă utilizator a parolei introduse,
  • încredinţarea pe termen limitat a parolei unei alte persoane care poate afla astfel modul general de stabilire al parolelor de către titular,
  • introducerea accidentală a parolei în locul sau în continuarea identificatorului, caz în care rămâne în log-urile sistemului,
  • interceptarea parolei prin software specializat să reţină clapele tastate (în special la folosirea altor staţii de lucru, de exemplu în Internet-Cafe).
     

Posibil cel mai periculos este keylogging-ul. Există echipamente sau programe cunoscute sub numele de keyloggers care instalate pe calculatorul ţintă înregistrează caracterele corespunzătoare clapelor tastaturii care au fost acţionate.

Keylogger-ul instalat ilegal prezintă unei persoane sau organizaţii spion toată succesiunea de clape acţionate pe dispozitivul respectiv, inclusiv toate parolele folosite.

Echipamentele keylogger sunt mai greu de instalat pe laptopuri sau dispozitive mobile, dar sunt instalate uneori ilegal pe bancomatele aflate în locuri nesigure şi sunt folosite pentru furtul PIN-ului cardului bancar. Atenţie deci la bancomate!!

Pentru toate dispozitivele rămâne pericolul transmisiei wireless (radio) care poate fi uşor interceptată şi parolele copiate. Pericol real în reţetele Wi-Fi publice, mai ales în baruri, restaurante, cluburi, etc.

O reţea Wi-Fi fără parolă de acces oferită cu eleganţă gratuit poate fi o reală capcană digitală!!

Desigur, există metode de creştere a siguranţei parolei. Printre ele folosirea parolelor de unică utilizare – OTP, tastaturi afişate pe ecran, tastaturi web, carduri de acces, etc. Ele depind mai mult de proiectantul aplicaţiei şi mai puţin de utilizator. Sistemele moderne de acces tind să folosească procedee de biometrie cum sunt recunoaşterea amprentei, a feţei sau vocii persoanei respective sau utilizarea de smartcarduri care conţin semnătura electronică a persoanei care accesează sistemul.

Recuperarea parolelor?
 

O serie de aplicaţii disponibile comercial recuperează parolele uitate. Operaţia se mai numeşte şi spargere de parole, deoarece nimeni nu garantează că persoana care recuperează parola este cea îndreptăţită să o facă. Astfel de produse permit recuperarea/spargerea parolelor pentru marea majoritate a aplicaţiilor existente pe un calculator personal. Soluţia este folosirea de parole cat mai lungi si cu folosirea de litere, cifre si semne speciale.

Fişierele de tip Office indiferent de producătorul suitei Office sunt cele mai vulnerabile la acest gen de spargere a parolelor, aplicaţiile de aflare a parolei fiind disponibile pe Internet la preţuri modeste sau chiar în variante mai puţin puternice gratuit.

Schimbarea parolelor
 

Parolele trebuie schimbate frecvent. Chiar dacă parola este bună, ea poate fi descoperită întâmplător sau intenţionat în situaţiile prezentate mai sus ca pericole. Parolele trebuie schimbate ori de câte ori există suspiciunea unui pericol, la întoarcerea din călătorii şi periodic, de exemplu la fiecare început de an. Oare cine o face?

Stocarea parolelor
 

Parolele trebuie să fie diferite pentru aplicaţii diferite şi să fie şi schimbate frecvent. Uşor de zis, mai greu de făcut! Cum nu le putem ţine minte uşor, unde le păstrăm? Pe hârtie nu este bine. Răspunsul simplu ar fi un fişier parolat de tip Office. Dar am spus mai sus că există aplicaţii de recuperare a parolelor disponibile comercial, deci şi infractorilor.

Soluţia modernă sunt aplicaţiile care criptează datele stocate şi sunt oferite gratuit de către firme cu reputaţie. Eu folosesc Keeper, realizată de Keeper Security, Inc. şi True Key, produsă de Intel Corporation. Ambele pot fi folosite pe dispozitive digitale staţionare sau mobile şi criptează datele într-o formă puternică. Desigur, ambele sunt vulnerabile la furt digital, dacă hackerul fură parola de acces la aplicaţie printr-o metodă de keylogging. Pentru a proteja utilizatorul, ambele aplicaţii oferă acces prin scanarea feţei sau amprentei digitale.

Adio, parole?!
 

Accesul prin procedee biometrice, scanarea feţei, a amprentei digitale sau a irisului, folosirea de carduri de acces cu cip criptat şi alte metode aflate în experimentare vor elimina treptat pericolele folosirii parolelor clasice. Deocamdată se folosesc acolo unde informaţia stocată este de confidenţialitate ridicată. Printre primele sunt băncile, dar apar greutăţi. Telefonul inteligent este o soluţie ideală pentru scanarea facială sau a amprentei digitale, dar mulţi utilizatori încă folosesc desktopuri, laptopuri sau telefoane simple care nu au senzorii necesari.

Parolele vor fi încă o perioadă de timp coşmarul lumii digitale.

Utilizatori experimentaţi ai dispozitivelor digitale sau numai începători, fiecare dintre noi trebuie să fie conştient de pericolele lumii digitale şi folosirea parolelor este unul dintre ele.

Conştientizarea pericolului este un prim pas, luarea de măsuri al doilea. Ce păcat este că mulţi nu fac nici măcar primul pas!