Пароли

123, 1234… 12345678 (минималният позволен брой цифри)
1111, 111111, 11111111 (пак минималният позволен брой)
password (по-рядко wordpass)
qwerty, asdf, asdfgh, zxcv, zxcvbn (в региони с QWERTY клавиатури)
вашето първо име, фамилия или и двете
ЕГН-то ви (или първите най-малко позволени цифри от него)
името на системата / ESSID-а на безжичната мрежа
mamata, fuck, porno (и още известен брой цензурирани)
любимият ви футболен отбор, който неведнъж сте хвалили онлайн
името на половинката / детето ви

По мои наблюдения, в български условия тези пароли се използват от около 20% от акаунтите (сред не-компютърджии – около 50%). Надали е нужно да казвам, че не са добра идея. Нито пък да съветвам какво следва да направи човек, чиято парола е сред тези.

Друга “блестяща” идея, с която човек може да улесни крадците на пароли, е да използва една и съща парола на повече от едно място (в тежките случаи – навсякъде). Още във Фидонетски времена веднъж ми беше попаднала база с пароли от друг BBS. Почти половината потребители, регистрирани и при мен, ползваха същата парола. Не вярвам оттогава положението да се е променило съществено. За себе си наричам този подход към паролите “технология HAHE” (Hacked Anywhere, Hacked Everywhere). 🙂

Дори когато паролата не е сред “първите”, един сериозен речник с думи от български и най-популярните няколко световни езика и атака с груба сила често успяват да пробият. В случай на защитени с парола файлове или документи атаката отнема няколко часа; дори срещу онлайн услуги тя има приличен шанс, ако услугата не ограничава опитите за отгатване, и ако речниците са подредени по честота на използване на думите (а те са).

Друга “услуга”, която се предлага, е профайлингът. Събиране на всичко, което сте произвели онлайн, дава речник, в който паролата ви се съдържа в над 60% от случаите. Иска малко повече ресурси, но по-сериозна киберпрестъпна група е в състояние да ги задели като на шега (всички текстове в българския Интернет биха могли да се поберат на един по-сериозен сървър). А има ли готови речници за потребителите, винаги има и кой да ги купи. Оттам нататък, убедени ли сте, че в пощата ви няма някое писмо, за което да има някой, който не бихте искали да го види? И т.н…

По тази причина истински добрите пароли са случайно генерираните. (В доста отношение сертификати или публични ключове са още по-добро решение, но то е предмет на друг запис.) Запомнянето им обаче не е лесно, и типичният потребител предпочита да се опари, преди да разбере колко полезно е да се понапъне. Що-годе прилична работа вършат и програмите, които генерират почти случайни, но оптимизирани да са лесни за произнасяне (а оттам и за помнене) пароли: “tic-nan-kob” определено е за предпочитане пред “hGq7T5mZ”, и също е прилично сигурна.

Други пароли, които са не по-лоши от лесните за произнасяне, и могат да са и по-лесни за помнене, са базираните на изречения пароли. Изречението най-често е любима фраза (която помните точно, и не обичате да цитирате прекалено често), или ред-два от стихотворение, което знаете добре. Паролата може да е и цялото изречение; често обаче за удобство се използват само определени букви от всяка дума (или през дума, или нещо подобно) от него – най-често първите букви, понякога вторите или последните, по-рядко други поредни. Има варианти, при които от първата дума се взима първата буква, от втората – втората, и т.н., но те обикновено са по-трудни за изпълнение наум. Също, тази система всъщност изисква не по-малко помнене, а просто го мести другаде – в това коя фраза, кои думи в нея, кои букви от думите, и т.н.

Разбира се, винаги остава като възможност записването на паролите в тефтерче. Ако не сте специална цел за някого, обикновено няма да ви го откраднат. Има обаче риск да го загубите случайно – не записвайте в същото тефтерче името си или други данни, по които биха могли да разберат чие е. Също, загубите ли го, паролите надали ще се върнат. (Може, разбира се, да пазите копие някъде вкъщи – варианти много, но само ако колата още не се е обърнала.)

В крайна сметка обаче, всичко опира до една съвсем проста формула: по-лесно на вас да запомните паролите (вкл. чрез записване) – по-лесно за злонамерените хора да ги отгатнат. Така че истинското решение на проблема е да се напънете да заучите трудна за отгатване парола. Неприятно, но често в живота – единственият начин да получите е да се потрудите.

18 thoughts on “Пароли

  1. ffox

    един приятен начин за правене на лесна парола е като пишеш дума, чрез БДС разположението но с включена латиница 🙂
    самата клавиатура действа като естествен (макар и лесен) криптиращ механизъм, а една от ползите е, че дори сам не си знаеш паролата (пръстите ти я знаят :)) )

    Reply
  2. singu

    Наскоро имаше дискусия по темата и се изказа мнение, че всъщност дори и не толкова дълга и сложна парола е сигурна. В момента никой не се занимава да брутфорсва паролите ( е, ок, почти никой ) защото отнема много време. Масовият начин е чрез фишинг или чрез хакване на сайт, откъдето се вади базата данни с регистрациите. Оттам – огромната част от хората ползват една единствена парола…

    Reply
  3. Пешо

    аз винаги използвам случайно генерирани пароли с изисквания минимум 10 символа, поне една малка и поне една голяма буква, поне една цифра и поне един специален символ.
    Използвам Робоформ за да ги създава и помни в криптиран вид, много полезен туул който може да разнасяш на флашка.
    Отделно наистина важните пароли ги сменям периодично.
    Програми които работят с пароли но ги пазят по несигурен начин, примерно пощенски и фтп клиенти, ги инсталирам на TrueCrypt диск, така че конфигурационните им файлове да са криптирани.

    Наистина най-голямата глупост е да използваш една и съща парола на различни места. Друга голяма глупост е да ги помниш в браузъра.

    Reply
  4. иво

    По въпроса с паролите мен ме притеснява един момент – този, в който някой ми изпраща забравената парола (или ми я казва по телефона).

    Не само е притеснително, а в някои случаи за мен е престъпна небрежност (или недообразованост?!) това деяние!
    Един пример – приятелката ми имаше проблем с интернет-банкирането си – не е забравила паролата си, но по някаква причина не успяваше да се authenticate-не (тук, признавам, не знам подходящия български превод – “влезе” някак не ми допада; подходящо предложение?). Обади се тя на поддръжката им и един (предполагаем) служител на банката, който не се е представил и отговорил на позвъняването с небрежното “Ало” и казва да си каже паролата. Тя отказа, а той отвърна – “Ама аз я виждам, кажете, за да потвърдим, че я знаете”! (wtf?!)
    Бил съм свидетел на добро обслужване в тази банка и съм се замислял дали да не и стана клиент, но този случай ме държи настрана. Друг е въпроса дали и тази, на която съм клиент няма подобна практика.. :-/

    И едно пояснение за не-компютърджийските ти читатели:
    По принцип, никой от “отсрещната страна” (т.е. администриращ някаква система, на която сте потребител) не би трябвало да може да види/знае паролата ви. Ако има подобна индикация, това означава, че това е потенциален риск за сигурността на вашите данни, т.е. би могло да позволи на някого да ползва въпросната система от ваше име. Паролите трябва да се съхраняват по начин “неразгадаем” за “невъоръжено око”.

    Reply
  5. Кръстю

    @ Григор – Извинявай, просто ми стана интересно -“MINA & Alberto Lupo Parole parole 1972”, тази песен, дето е на плеъра в блога ми в момента може ли да е била (най-вероятно несъзнателно) провокираща тази статия , или е просто случайност…. Във всеки случай, рефрените са много сугестивни 🙂

    Reply
  6. Кръстю

    @ Иво – Да, прав си – “влезе ” е доста жаргонно…Може би “да получи достъп” е по-добре на български 🙂

    Reply
  7. Григор Post author

    @ffox: И аз го ползвам. 🙂 Лошото е, че на не-QWERTY клавиатури оставаш без шифроващ/дешифроващ механизъм 🙂

    @singu: В момента, в който ти разгадаят единствената парола, фишинг или хакване, си изпържен, независимо колко силна е. А брутфорсване на пароли напоследък се прави много, много лесно. Един по-приличен клъстер ти генерира за приемливо време хешовете на всички по-значими речници на света, в най-вероятните капитализации. Индексирана база данни, и оттам нататък над 50% от паролите биват разбити за под секунда. 🙂 (А клъстерът може да продължи да си генерира хешове, вече на случайни комбинации, от кратко към дълго. Това малко по малко ще качва процента на паролите и още.)

    @Пешо: Ето един разумен човек. Признавам си, аз съм почти толкова предпазлив, но не чак толкова!

    @иво: Коя е банката – да знам и аз да не отварям акаунти в нея?

    @Кръстю: Надали – машината, от която си пиша записите в блога, няма звук. Блажена тишина… 🙂

    @Atanas Boev: Сладкооооо! Направо паднах от смях… Наско, ценен си! 🙂

    Reply
  8. Кръстю

    @Григор — Интересно, смешна работа. Няколко часа, след като я бях пуснал (песента) и още ми се въртеше в главата този шлагер от 70-те ,си викам -чакай да видя Григор какво е написал и гледам – “Пароли” 🙂
    А за пароли обикновенно — две къси думи, с три цифри (в началото края и средата), като думите се изписват обратно 🙂

    Reply
  9. singu

    Прав си, разбира се. И между другото – вече дори и клъстър не ти е необходим, а само няколко видеокарти. Със съвременните графични процесори, специализирани в паралелни изчисления и необременени от обратната съвместимост, която тегли назад CPU-тата се постига многократно ( 50-200 пъти ) по-голяма производителност, за сметка на доста по-ниска цена ( карта от висок клас струва 400-500 долара, колкото евтин и не-особено производителен компютър ). Ако на някой му е интересно – преди няколко дни си играх да събирам такива проекти – http://chzv.net/security/practical-use-of-videocards

    Иначе има няколко проекта за изчисление на таблици с хешове ( т.нар. Rainbow taблици ). Показателно е, че единият проект изведнъж го приватизираха, точно след като таблиците бяха завършени и така и не видяха бял свят.

    @иво – плашещо е колко сайтове и организации пазят паролите на потребителите си в чист текст, още повече пък ти изпращат паролата в чист вид по електронната поща.
    Иначе и аз ползвам помощен инструмент за пазене на паролите – KeePass ( отворен код и превод на български ). За онлайн паролите, които не са критични ( разбирай форуми, забавни сайтове и т.н. ) ползвам LastPass, което е онлайн услуга – не е толкова сигурно, но пък е доста по-удобно.

    Reply
  10. Жилов

    Когато бях дете, кодирах по няколко начина записките в своя бележник:

    – един път с известни само на мен символи (аналогични на истински цифри и букви), които бяха лесни за помнене, защото се получаваха от изкривяване на истинските цифри и букви, макар да не им личеше
    (например “О” беше всъщност “С” – две С-та, долепени огледално едно до друго, а “T” всъщност беше “Г”, т.е. две Г-та, долепени огледално едно до друго, по същия начин “8” беше “З”, “Ж” беше “K”, “M” беше “Л”, а голяма част от останалите букви изглеждаха напълно неразбираеми)

    – и втори път, като пишех отзад напред през буква, докато стигна лявата страна на листа, и после пишейки нормално пак през буква, докато стигна до дясната страна на листа

    – и трети път, като към всяка гласна добавях две безсмислени срички (към “а” – “лача”, към е – “лече”, към и – “личи”, към у – “лучу” и т.н.). Това обаче много удължаваше текста, например думата “елече” става “елечелелечечелече”

    Когато пишех лични преживявания и мисли, се случваше да използвам и трите наведнъж (макар че в този случай пишех само отзад напред и не през буква), и въпреки това четях зашифрованото много бързо (веднъж след като знаеш “кода”, беше лесно). Слагах в ъгъла на листа по няколко точки, за да знам коя от трите кодировки и по какъв начин съм използвал.

    По-късно добавих и четвърти начин: лъжливи думи, заместващи по-често срещаните истински думи.

    Държах бележника си в скривалище в скривалище в скривалище. (Практически една голяма част от скривалището целеше отвличане на вниманието от истински скритите в него неща, в случай че нещо изобщо бъде открито).
    Периодически оставях и незабележими малки парченца пръст, така, че да образуват някаква известна само на мен фигурка, за да разбера дали някой е бъркал в скривалището ми освен мен, т.е. дали вече функцията му на скривалище не е вече провалена.

    С отминаването на детството ми контролът върху живота и личността ми намаля и необходимостта от параноя изчезна. Веднъж отвоювал това, не исках да живея повече в параноя. И сега нарочно съм излишно безгрижен, невнимателен и безотговорно оставям вратите широко отворени. Затова трябва да призная, че съм допуснал голяма част от грешките, които описваш. Ще взема да си сменя паролите още сега, че все пак може и да си изпатя.

    Reply
  11. Пешо

    баси, тия от ОББ явно са пълни идиоти, просто не мога да повярвам. Хем те питат за парола по телефона, хем на всичкото отгоре и те виждат паролите.
    Подобна ламерщина и небрежност (не само от служителите, но и при проектиране на системата) във финансова институция е стряскаща. Явно до паролите имат достъп всякакви съпорти и администратори и е само въпрос на време някой да си ги запише някъде за всеки случай. После..
    По принцип за всякакви онлайн услуги паролите изобщо не би трябвало да се пазят където и да било от предоставящия услугата – той трябва да пази само хешове. Ако ти се изпрати парола по мейл, промяната и след първо логване трябва да е задължителна.

    Иначе добра парола с 10+ символа все още не може да се разбие в разумен срок дори с готови хеш таблици и клъстъри или камари от видеокарти. Затова ако я сменяш 2-3 пъти годишно, може да си спокоен. Разбира се, не може да се разбие от тия дето евентуално биха се интересували от моите пароли, разните там трибуквени агенции може и да могат.

    Reply
  12. gat3way

    Би било много забавно като идея GPU-базирано генериране на rainbow таблици. Това е най-времеотнемащата операция. Веднъж генерирани, претърсването става доста по-бързо (това си е вид time-memory tradeoff: по-голяма таблица се генерира по-бързо, защото иска по-малко сметки, ако увеличиш дължината на веригите получаваш по-малка таблица, но тя пък се смята по-бавно).

    Претърсването на таблиците за жалост по-трудно ще се реализира върху GPU-то, защото големината на потоците е ограничена (на модерна карта 1D stream от 8192 елемента или 2D stream от 8192*8192 елемента). Възможно е обаче генерираните таблици да се цепят на парчета и да се подават на GPU kernel функцията, която ги претърсва. Обаче това не е много ефективно (CPU-то може да не подържа такъв паралелизъм, обаче като вдигнеш 1GB таблица в паметта и почнеш да правиш прости редукции/сравнения, твърде вероятно ще постигнеш по-добра производителност, отколкото постоянно да подаваш към GPU-то малки парчета, които да ти се смятат).

    Та да обобщим: най-бавната и грозна операция (генерирането на rainbow таблиците) може да се изпълни върху GPU-то и това действително ще доведе до голямо подобрение. Претърсването на тези таблици няма да е толкова ефективно върху GPU-то, колкото върху CPU-то, но пък веднъж генерирана таблицата, претърсването й става относително бързо.

    Reply
  13. Петър Петров

    @Григор: Копирам първите 10 пароли, които John The Ripper пробва:

    12345
    abc123
    password
    computer
    123456
    tigger
    1234
    a1b2c3
    qwerty
    123

    Празната парола (само enter) е едва на 20-то място в списъка. А след извъртане на речника следват проби именно от типа написано-ама-с-другата-клавиатурна-подредба, включително неща като “[sddeptf” (от “password”).

    Доста ми се промени мнението за понятието “парола”, когато видях този списък. По него време се мислех за хитър, че ползвам “123456”, защото “кой би пробвал да пише цифрите чак до 6, нали ще вземе да го домързи някъде на около 5”. Прав съм бил (“12345” е на първо място), само че не съм отчел стереотипното ми мислене.

    След това отново се изненадах, когато научих че държавните служители във Великобритания трябва да си измислят паролите във формат “съгласна-гласна-съгласна-съгласна-гласна-съгласна-цифра-цифра”. Това било, за да се получи произносима дума (с число накрая), която лесно се запомня. След замисляне стигнах до извода, че са много прави: лелките няма да си лепят листче с паролата по бюрата, а и лесното запомняне позволява въвеждането на по-честа смяна на паролите. Тук разбира се, не се очаква да устоят на атака с груба сила и предполагам, че имат някаква допълнителна политика, например след 3 невярни опита се заключва сметката до намеса на администратор.

    След време видях как някакъв тестер за парола (май на Мозила) ми показа червено след измисляне на парола чрез произволно натискане на копчета (пример: “acw3pjk923dwef”). Последвалото замисляне ме осъзна, че човек е недостатъчно надежден генератор на случайни числа/символи. Оттогава знам, че нужна ли ми е сигурна парола, взимам парче компютърно генерирани символи и си ги преписвам на листче. Ако няма цифри или знаци, вмъквам за сол. Като ги въведа 30 пъти и вече нямам нужда от листчето. Недостатъкът е, че веднъж запомнена, такава парола почти не съм склонен да я сменям, евентуално само променям по някой символ.

    —-

    Аз използвам една и съща парола на много места. Това са всички места, които не заслужават моето доверие, но изискват да си измисля парола. Било тъпи форуми, било порно сайтове, било нахални търговци, в една категория са ми. В такива като ида и ме пита за парола, въвеждам общата. Ако не мине, значи нямам там регистрация или ми е вече изтрита. Така избягвам нуждата да си ровя в е-пощата за писмото от евентуалната регистрация, плюс че избягвам риска да им пратя няколко мои валидни пароли в опит “да се сетя” за истинската.

    Като си говорим за банки, аз съм в ПИБ. За т.нар. “виртуален банков клон” ме накараха да попълня формуляр, в който имаше полета “име” и “парола”. Доскоро нямаше начин да се смени тази парола, освен на место в банката – отново чрез попълване на формуляра. Там все пак разчитат на електронен сертификат, но все си мислех, че държат на престижа.

    @singu: Благодаря.

    @Жилов: Моите уважения за свободата. Всяка такава осъзната и волево поддържана добродетел у човек ме впечатлява.

    Reply
  14. Георги Ангелов entusiast

    Здравейте!! Аз съм журналист във вестник “Монитор”. Моля за разрешение да цитирам части от поста в статия по темата и евентуално за някакви координати за връзка!
    Мерси

    Reply
  15. Григор Post author

    @Георги Ангелов: Цитирайте съвсем спокойно. 🙂 Е-майл адресът ми е на челната страница на сайта.

    Reply

Leave a Reply to Пешо Cancel reply

Your email address will not be published. Required fields are marked *