Kaip užtikrinti saugumą internete: 5 FTB patarimai

Saugumas šitais tik, savaime aišku, tik pagerinamas iki lygio, kuris netrukdytų pačiai FTB... "Nurodinėkite neteisingą kontaktinę informaciją." Dėl šito punkto visad abejodavau, nes dažniausiai sutinkama su taisyklėmis, kuriose dažniausiai būna punktai dėl melagingos/klastotos tapatybės. Ar negalėtų kas nors sukt versliuko vien iš anonimų pateiktų anketų su teismais/išpirkom?

Dauguma patarimų paprasti ir teisingi, išskyrus patį pirmą - reguliariai keisti slaptažodžius. Kaip tik - niekad be reikalo nekeisk slaptažodžių ir jų nesuvedinėk. Saugok juos automatinėse slaptažodžių saugyklėse, kad pats neprisimintum. Naudok tik užšifruotus slaptažodžius, kuriuos esant reikalui galėtum apskaičiuoti pagal tau žinomą algoritmą (pvz., nusipirkęs naują įrenginį). Šifravimas turi savyje turėti paslaugos identifikatorių - t.y., e.seb.lt užšifruotas slaptažodis turi skirtis nuo paypal.com. Turėk keletą (3-5) skirtingos svarbos pradinių (nešifruotų) slaptažodžių. Naudokis patikimomis Single Sign On paslaugomis: Google Accounts, OpenID. Tegu jie prisiima dalį atsakomybės už tavo saugumą. Patarimas dažnai keisti slaptažodžius - tokia pati nesąmonė kaip ir patarimas atsiminti šimtus skirtingų slaptažodžių. Tai yra totaliai neįmanoma - vadinasi, kažkur tuos slaptažodžius turėsi užsirašyti, pamirši, susipainiosi, užblokuosi... Tarkim, kaitalioji: password-201404, password-201405, ... Koks skirtumas paskutinis skaičiukas? Viename saite galbūt keisi kas mėnesį, kitur nesilankysi pusmetį. Tarkim, kažkuriuo e-banku nebuvo reikalo naudotis apie pusmetį - gal 4 mėnesius, gal 10. Pabandai tris variantus ir užsiblokuoja. Viską mesi ir važiuosi į banko skyrių, kad atstatytų pradinį? Ar užsirašinėsi ten, kur pats lengvai rasi (beje, būtent taip ir darau - paskutinį skaičiuką užsirašau ant PIN kodų kortelės). Dar vienas saugumo požiūriu trūkumas. Dažnai kaitaliojami slaptažodžiai paprastai skiriasi vienu, dažniausiai paskutiniu, bitu. „Saugiausios“ įstaigos paprastai kaupia paskutinių kelių slaptažodžių heškodus (atseit, kad keisdamas nesuvedinėtum tų pačių slaptažodžių). Bet yra tokia tyrimų sritis kaip diferencialinė kriptoanalizė, kuri heškodo neatstatomumą sumažina kvadratu ar panašiai. Tarkim, jei tipišką 48 bitų (7-8 simbolių) slaptažodį pagal heškodą atspėti reiktų savaitės brute-force, tai atspėti 2, žinant, kad jie skiriasi būtent paskutiniu bitu, pakaktų gal poros valandų. Žinant 3 - užtektų keliolikos sekundžių. Tikras rojus NSA!

+1 rwc. Tik aš manau, kad geresnė idėja už automatines slaptažodžių saugykles yra masterpasswords+domain hashai, jei ne kreivai padaryti, pvz passwordmaker (arba pusiau kreivas pwdhash). Jokio centralizuoto database'o, todel net (worst-case) keyloggeriu gavus master passworda negausi priėjimo nei prie slaptazodziu, nei prie adresų kuriuose gali apsilankyt su tais slaptazodziais. P. S. Neintegruotos saugykles (ypac smatfonu (Android)) turi silpna vieta - bet kuris appsas gali monitor'int clipboarda.

, kiek pamenu, apie slaptažodžių saugumą jau buvo ne vieną kartą kalbėta. Bet apskritai, iš kur pvz bankas žino, kad slaptažodis yra toks pats, kai jau "senajam" slaptažodžiui sueina nustatytas laikotarpis kiek jis galioja, pvz mėnesį, du ar savaitę etc. Pagal ką sistemą sprendžia, kad aš bukai galvodamas praslysiu su senuoju savo slaptažodžiu, kurio galiojimo laikas pasibaigęs.

, nelabai pagaunu klausimo esmės. Bet kuri normali OS leidžia uždėti, kiek paskutinių pakeistų slaptažodžių heškodų saugoti. Pvz. WinNT: secpol.msc->Account Policies->Password Policy->Enforce password history. Toliau, jei vartotojų DB saugomas galiojantis (ir bankų atveju pradinis) vartotojo slaptažodžio hešas, tai kas draudžia šalia saugoti ir priešpaskutinį, ir paskutinį, ir t.t. iki be galo daug? Garantuoju, kad beveik visur būtent taip ir daroma - registruojamas kiekvienas bandymas ne tik prisijungti, bet ir su bandyto slaptažodžio hešu. Ir archyvuojama, bent keletui dešimtmečių, jei teisėsaugos institucijos pareikalautų tokių duomenų. Juk jeigu dešimtmečiais saugoma kiekviena tranzakcija (pvz., į kokias sąskaitas prieš 15 m. buvo pervedinėjami pinigai iš vakar demaskuoto šulerio), tai ką čia reiškia archyvuoti ir visus slaptažodžių pakeitimus? Ir dabar įsivaizduok, kad tie archyvai nuteka į nepatikimas rankas... Toliau, įsivaizduok, kad slaptažodžiai kaitaliojami kas mėnesį ir visuomet (periodiškai?) keičiamas tik paskutinis skaitmuo. Sunku atrinkti, koks slaptažodis ne tik kad yra dabar, bet ir koks bus kitas? Juoba, kad laiko tam yra nei daug, nei mažai - apytiksliai mėnuo, jei auka „pareigingai“ laikosi taisyklės kaitalioti kartą per mėnesį. Geriau jau išvis nekaitalioti slaptažodžio metų metais.

Jeigu kaupiami visų naudojamų ir naudosiamų slaptažodžių hash'ai, tai išeina, kad vieno ir to pačio slaptažodžio du kartus negalėsi panaudoti? Nelabai neša mano vaizduotė, kaip saugumas būtų pažeidžiamas, jei archyvai patektų į piktavalių rankas. Tikėtiniausia, kad jie išlauš sąskaitas brute-force? Ar kaip nors gudriau elgsis?