IV.
Cum să vă securizați parolele

Ideea esențială legată de parole este că ar trebui să preferați parolele mai lungi. Recomandarea obișnuită este de minimum 15 semne. De asemenea, nu ar trebui să refolosiți parolele pentru mai multe site-uri. Dacă vă refolosiți parolele pentru mai multe site-uri și apare o scurgere sau sunt sparte, ce i-ar opri pe atacatori să se înregistreze pe alte site-uri cu aceeași parolă?

Cum să ușurați reținerea parolelor unice

Reținerea parolelor unice este dificilă. Mulți dintre cei care folosesc parole unice le stochează în notițe fie digitale, fie într-un caiet, fie pe o foaie de hârtie. Dacă cineva ar avea acces la notițe, ar putea să se înregistreze pe toate site-urile pe care le-ați stocat. Cum să-i împiedicați să facă acest lucru?

Manageri de parole

Managerii de parole sunt programe software care rețin parolele dumneavoastră alături de alte secrete pe care le-ați putea avea. De obicei codifică toate datele pe care le stocați în aceste programe și vă permit să folosiți doar datele stocate. Securitatea managerilor de parole depinde de cheie, așa cum vom vedea într-un capitol ulterior, și nu de algoritmul utilizat. Cu alte cuvinte, dacă ați pierde accesul la baza de date care conține toate parolele dumneavoastră criptate, nimeni nu le-ar mai putea accesa fără cheie.

Este imposibil să memorezi o cheie lungă, așa că puteți folosi o parolă master pentru a decripta cheia, pe care o utilizați ulterior la decriptarea datelor. Esențialmente, cheia este la fel de sigură ca parola master pe care o aveți. Aceasta este o concesie făcută modului de utilizare în defavoarea securității complete. Este mai ușor de reținut o parolă master prin comparație cu o cheie lungă plină de biți aleatorii. O parolă master ar trebui să fie foarte sigură, totodată, prin urmare ar trebui să fie lungă și greu de ghicit, dacă nu chiar imposibil de ghicit. Unii manageri de parole au alte mijloace de a recupera contul dumneavoastră, însă aveți grijă că, dacă aceste informații privind recuperarea sunt stocate dincolo de controlul dumneavoastră, acest fapt înseamnă că oricine are acces la respectivele date privind recuperarea vă poate decripta parolele.

Managerii de parole vă sunt de ajutor, deoarece au funcții care pot genera parole sigure pentru utilizare. Mulți manageri de parole vă arată, de asemenea, care este securitatea relativă a parolei cu ajutorul unui soft care seamănă cu calculul entropiei pe care l-am prezentat anterior. Aproape toți managerii de parole au plugins opționale pentru browsere care vă permit să completați automat informațiile de înregistrare pe site-urile web pe care le vizitați. Majoritatea funcționează încrucișat, de asemenea, pe platforme, astfel încât puteți folosi aceeași aplicație pe computerele, tabletele și telefoanele dumneavoastră mobile.

Un element util identificat la unii manageri de parole este cel care vă notifică scurgerile de parole de pe site-urile pe care le utilizați. Atunci când primiți o notificare, managerul de parole vă poate ajuta să vă schimbați parola veche cu una nouă, împiedicându-i pe atacatori să se înregistreze cu datele de înregistrare care s-ar fi putut scurge.

Atunci când alegeți un manager de parole, ar trebui acordați atenție locului și modului în care sunt stocate baza de date cu parole și cheile de criptare. Unii manageri de parole vă permit să stocați parolele într-o bază de date locală. Acest lucru înseamnă că sunteți singura persoană care are acces la fișierul cu baza de date. În funcție de programul software, ați putea să sincronizați baza de date între computere și celelalte dispozitive pe care le aveți, prin intermediul unor servicii diferite, precum Dropbox sau iCloud. Unii manageri de parole stochează baza de date pe serverele proprii. În această situație, înțelegerea modului în care sunt gestionate criptarea și cheile de criptare reprezintă aspectul esențial care afectează securitatea. Unele servicii trebuie să stocheze cheia master de criptare pe serverele lor, însă acest lucru le oferă și posibilitatea de a decripta baza de date cu parole. Alte servicii, precum 1Password, stochează baza de date cu parolele fie într-un loc ales de dumneavoastră (versiunea de sine-stătătoare), fie pe serverele lor (versiunea cu abonament). Oricum, în toate cazurile sunteți singura persoană care are cheia master de criptare.

Poate că ați observat că utilizarea unui manager de parole creează o situație de tip „toate ouăle în același coș”. Dacă un atacator obține accesul la baza dumneavoastră de date cu parole și o poate decripta, vă veți pierde toate parolele în același timp. Cu toate acestea, utilizarea unui manager de parole are, în general, mult mai multe aspecte pozitive față de riscul de a pierde toate parolele în același timp. Vă permite să vă stocați în siguranță parole unice și lungi pe care v-ar fi aproape imposibil să le rețineți. Pierderea unei parole din cauză că este piratat un site web nu vă va face să riscați să pierdeți celelalte date de înregistrare deoarece nu reutilizați aceeași parolă. Pentru a vă proteja baza de date, utilizați o parolă master bună și lungă. Puteți chiar să utilizați o frază de trecere (sau o serie de mai multe cuvinte fără legătură unele cu celelalte) pentru a o lungi chiar și mai mult!

Dacă vă preocupă faptul că cineva ar putea pune mâna pe datele dumneavoastră de înregistrare, puteți folosi, de obicei, o protecție suplimentară, precum autentificarea cu mai mulți factori.

Imagini cu un telefon, o persoană care se gândește și o amprentă papilară

Autentificarea cu mai mulți factori

Autentificarea cu mai mulți factori, sau MFA, este situația în care un utilizator se autentifică față de un serviciu utilizând mai mult de un factor. Acești factori se definesc, de obicei, ca:

ceva ce cunoașteți (cunoaștere, precum o parolă)
ceva ce dețineți (un bun, precum telefonul dumneavoastră mobil sau un token fizic)
ceva ce sunteți (așa-zisul „element înnăscut”, precum amprenta papilară sau retina)

Cea mai încetățenită formă de autentificare cu mai mulți factori se numește autentificarea cu doi factori (verificarea cu doi factori). Un exemplu de autentificare cu doi factori, sau 2FA, este plata cu cartea de credit. În cadrul unei plăți cu o carte de credit utilizați ceva ce dețineți (cartea de credit) și ceva ce cunoașteți (codul dumneavoastră PIN) pentru a autoriza plata.

Autentificarea cu mai mulți factori se utilizează pentru adăugarea unor elemente suplimentare de securitate la autentificarea dumneavoastră. Poate că ați constatat că s-au produs breșe în site-urile web pe care le utilizați și ați auzit că nume de utilizator și parole s-au scurs pe internet. Dacă nu utilizați autentificarea cu mai mulți factori sau varianta cea mai răspândită a acesteia, autentificarea cu doi factori (2FA), oricine cu acces la aceste date de înregistrare le poate utiliza pentru a accesa contul. Dacă ați reutilizat parola pentru servicii multiple, este posibil ca toate acestea să fi fost utilizate inadecvat de cineva care are acces la datele de înregistrare. Cu toate acestea, dacă ați permis autentificarea de tip 2FA pentru serviciile pe care le utilizați, atacatorul ar trebui să aibă acces, totodată, și la cel de-al doilea factor pentru a vă putea accesa contul.

Printre cei mai răspândiți factori secundari se includ:

SMS (trebuie să aveți acces la telefon pentru a vă înregistra);
parole generate unic (OTP), fie cu ajutorul unei aplicații, fie cu ajutorul unui token fizic, precum o cheie RSA (un mic dispozitiv care generează parole unice);
chei de securitate, de exemplu, o cheie Yubikey sau Titan de la Google;
notificări push (de exemplu, utilizate prin intermediul aplicației Google sau a Authenticator de la Microsoft);
amprenta digitală sau recunoașterea facială.

Atenție cu SMS-urile

Deși SMS-ul continuă să fie factorul suplimentar cel mai frecvent utilizat, poate fi susceptibil de abuz. Se pot folosi multe atacuri diferite pentru a renunța la securitatea câștigată prin utilizarea SMS-ului. În plus, infractorii au folosit trucuri pentru a-i păcăli pe utilizatori să introducă codurile de parolă generată unic drept răspunsuri la cereri neașteptate, ceea ce le-a permis atacatorilor să folosească codul respectiv în atacul comis.

Acest atac de inginerie socială poate lua forma unui SMS prin care vi se spune că vi s-a atacat contul și că trebuie să introduceți parola generată unic pentru a permite serviciului să verifice dacă nu sunteți chiar dumneavoastră atacatorul. O altă strategie folosită destul de frecvent este să vă sune ca reprezentant al băncii dumneavoastră sau al unei alte instituții în care aveți încredere prin care vi se solicită să vă confirmați identitatea cu ajutorul unei cereri de parolă generată unic. Ulterior, atacatorii încearcă să se înregistreze în contul dumneavoastră și vă transmit dumneavoastră cererea de parolă generată unic. Atacatorii pot părea de încredere, deoarece vă pot avertiza să nu vă oferiți informațiile de înregistrare oricui (ei le dețin deja!). Rețineți - nicio bancă, guvern sau instituție oficială legitime nu vă vor solicita nici parola și nici codul pin.

Un alt furnizor de token utilizat frecvent este o aplicație de autentificare. Există multe aplicații care oferă același serviciu, astfel încât o puteți alege pe cea pe care doriți s-o utilizați. Majoritatea aplicațiilor se rulează pe platforme multiple și pot fi utilizate cu majoritatea telefoanelor mobile și a computerelor. Aplicațiile de autentificare cele mai frecvent utilizate sunt Google Authenticator, Authy și Microsoft Authenticator, dar sunt disponibile multe altele. Adesea aplicația de autentificare are nevoie de o valoare seed de la server pentru a putea crea o parolă generată unic. Modalitatea cea mai răspândită în prezent este să se scaneze un cod QR cu camera telefonului mobil. Codul seed pe bază de timp se va genera, de obicei, în 30 de secunde. Codul mai are, de asemenea, și un interval de timp mic în cursul căruia va fi funcțional, de obicei în jur de un minut.

Chei de securitate

O cheie de securitate este cel mai sigur dintre factorii menționați anterior în cadrul unei autentificări cu mai mulți factori. Utilizarea acestora este puțin mai implicată decât cea a unei aplicații de autentificare, însă cheile sunt mai sigure, totodată. Dacă vă pierdeți telefonul cu aplicația de autentificare, ați putea pierde toate informațiile care vă protejează conturile. În cazul unei chei de securitate, există un dispozitiv fizic separat, care este necesar în plus față de datele dumneavoastră de înregistrare, prin urmare, dacă pierdeți dispozitivul cu parolele nu înseamnă că cineva se poate înregistra în contul dumneavoastră. Se consideră o bună practică să aveți o dublură pentru cheia de securitate pe care s-o țineți la păstrare în loc sigur în caz că pierdeți sau deteriorați cheia dumneavoastră primară. Cheile de securitate au de obicei un pas suplimentar pentru protecția datelor pe care le conțin. De obicei există un buton pe care trebuie să apăsați înainte ca secretul să poată fi utilizat. Se blochează astfel citirea de către programele malware din computerul dumneavoastră a tokenului securizat dacă nu există o acțiune fizică.

Două telefoane inteligente care ilustrează recunoașterea facială și scanarea amprentelor papilare

Înregistrările fără parolă

Există multe deficiențe asociate utilizării parolelor. De exemplu, utilizatorii preferă parole memorabile și slabe și acestea trebuie să fie stocate undeva, de obicei nu într-un loc sigur. Odată scurse acestea, se pot utiliza inadecvat informațiile de înregistrare, chiar și pe alte site-uri, în cazul parolelor reutilizate. Tabelele curcubeu și utilizarea „forței brute” vor deveni mai utilizabile în viitor odată cu apariția unor computere chiar și mai rapide, a progreselor în înțelegerea algoritmilor și a informaticii cuantice. Înregistrările fără parolă vizează să modifice această situație prin utilizarea unei criptări cu cheie publică-privată. Grație acestei metode, cheia privată nu ajunge la server și în astfel de situații, pierderea cheii publice stocate în server nu va permite nimănui să se înregistreze în contul utilizatorului, cu excepția proprietarului cheii private. Autentificarea Windows Hello de la Microsoft este un exemplu de înregistrare fără parolă.

Windows Hello se poate utilizat cu metode diferite, de la un cod PIN la amprentele papilare sau chiar recunoașterea facială. Autentificarea inițială are loc pe computerul dumneavoastră, local, și nu se transferă niciodată serverului. În schimb, codul PIN sau amprenta papilară se utilizează în spatele scenelor pentru a autoriza un schimb criptografic între computerul dumneavoastră și server, care, până la sfârșit, vă acordă accesul la computer.

Comparație între înregistrarea fără parolă și autentificarea cu mai mulți factori

Înregistrarea fără parolă se poate confunda cu autentificarea cu mai mulți factori, deoarece experiența utilizatorului final poate fi destul de asemănătoare. În cazul autentificării fără parolă, sistemul solicită de obicei informații de identificare, precum numele utilizatorului sau o adresă de email. Autentificarea poate avea loc prin intermediul mai multor factori diferiți care sunt partajați cu autentificarea cu mai mulți factori. Diferența este că autentificarea fără parolă nu vă cere să rețineți un secret partajat cu serverul, precum o parolă. Chiar dacă folosiți un cod PIN, care ar fi o parolă teribilă, codul PIN nu se transmite serverului, ci este utilizat în schimb pentru a permite autentificarea criptografică local pe computerul dumneavoastră.

Part summary

După finalizarea capitolului 2, ar trebui să puteți:

să înțelegeți ce tip de date ar trebui protejate și ce tip de date este în regulă să fie lăsate deschise
să explicați unde și cum lăsați urme de date și în ce scop se utilizează acestea
să înțelegeți cum să vă găsiți drepturile și responsabilitățile în legătură cu utilizarea datelor
să dobândiți o înțelegere elementară a modului în care se creează o parolă bună și în care vă consolidați securitatea înregistrării în conturile dumneavoastră online

You reached the end of Chapter 2

Correct answers

Exercises completed

0/0

Next Chapter

3. Securizarea comunicațiilor

Start

IV.Cum să vă securizați parolele