Cum să alegeți o parolă bună

O parolă bună este critică pentru securitatea computerului/informației Dumneavoastră. Acest articol se adresează atât Administratorilor de Sistem, care au uneori plăcerea să repare vreun sistem compromis din cauza folosirii unei parole slabe, dar și utilizatorilor care țin la privațiunea lor. Sugerăm înainte de toate că parolele nu trebuie spuse nimănui, și nimeni nu trebuie să se uite la Dumneavoastră introducând parola. Oamenii trebuie să știe că nicio persoană semnificantă, nici măcar șeful, și nici administratorul de sistem nu trebuie lăsați să vadă ce parolă folosesc utilizatorii.

Administratorii de Sistem trebuie să instruiască utilizatorii, ca să anunțe în caz că o altă persoană ar încerca să obțină o parolă, sau a obținut-o deja. Explicați-le că interesul Vostru este doar securitatea, și că numele celui care a denunțat nu va fi prezent în niciun raport, și va fi păstrat confidențial.

Conceptul parolei este o secvență de caractere, știute doar de persoana împuternicită să folosească contul, și care-i dificilă pentru cineva care o cunoaște pe această persoană, sau chiar pentru un străin, de a o ghici. Dicționarele de cuvinte (prezente pe majoritatea distribuțiilor Linux) permit spargerea ușoară a parolelor simple. La fel și saiturile care oferă liste de cuvinte, cum ar fi diferite saituri ale crack-erilor, și

ftp://ftp.zedz.net/pub/crypto/wordlists/

Unele companii au politici conform cărora conturile noi au parole standard. Ca administratori trebuie să verificați dacă sunt utilizatori care folosesc în continuare parola standard, și dacă da – să le cereți să și-o schimbe.

Parola nu trebuie să fie un nume, sau o altă secvență de caractere care ar putea fi asociate unei persoane. Urmează o listă de tipuri de parole ușor de ghicit, care nu trebuie folosite.

• Numele contului sau a computerului (da, unele persoane fac și așa)
• Cuvântul „parola”, sau variații ale acestuia (am întâlnit recent asta)
• Referințe asociate cu contul sau conținând numele contului, de exemplu, administratorul, dumnez3u, put3r3, sau ceva asemănător pentru un cont de administrator
• Orice referință la Star Trek, Star Wars, Dr. House, sau jocuri, noi toți le cunoaștem
• Orice parte a numelui deținătorului contului, inițialele, familia, sau altceva semnificativ, cum ar fi animalul, tipul automobilului, hobby-urile, numărul de mașină, numărul de telefon, ziua de naștere, o aniversare, adresa poștală, adresa de e-mail, cnp-ul
• Referințe la angajator sau asociați
• Orice apare pe saitul/blogul Dumneavoastră
• Mâncarea preferată, băutura, sau restaurantul, altă informație personală ușor de ghicit
• Universitatea absolvită, sau orice asociat cu ea
• Interesele sexuale (cineva ar putea să le cunoască)
• Crezurile
• Un nume bine cunoscut din domeniul științei, politicii sau sportului, de ex. Einstein, Federer sau Obama
• Nume comune, locuri, evenimente, idei sau fraze celebre
• Orice cuvânt sau pereche de cuvinte din dicționar, inclusiv dicționarele altor limbi
• Același caracter repetat, sau secvențe ușoare, cum ar fi abcde, edcba, sau qwerty
• Parole folosite în exemple, cum ar fi secret sau xyzzy
• Oricare din cele de mai sus, cu o substituție „deșteaptă” a literei „o” cu zero, a literei „I”cu cifra 1, etc. Spărgătorii cunosc aceste substituții, astfel că ei la fel le vor folosi atunci când vor încerca să spargă parola.
• Orice din cele expuse mai sus scrise dinapoi înainte, sau cu litere variate majuscule.

Pe scurt, să nu folosiți parole pe care oricine care vă cunoaște le-ar putea ghici, sau pe care un spărgător ar putea să le ghicească (de ex. cuvinte din cărțile de fantastică, tehnologie informațională, sau mâncăruri populare).

O parolă ar trebui să treacă ceea ce se numește Testul Thompson. Asta înseamnă că nu trebuie să corespundă nici unuia din următoarele algoritme de „spargere”a parolelor.

• De la unul la șase caractere ASCII
• Șapte sau opt caractere cu litere minuscule
• Orice cuvânt dintr-un dicționar mare
• sau un cuvânt scris dinapoi înainte, sau cu cifra „1” înloc de litera „I”, sau cu cifra „0” în loc de litera „o” sau cu cifra „3” în loc de litera „e”
• Orice pereche de cuvinte dintr-n dicționar mare, sau cuvinte scrise dinapoi înainte.

S-ar părea că rămâne doar opțiunea parolelor KH*&^g@# sau ale acelor la fel de imposibil-de-memorizat. Alegeți două sau chiar trei cuvinte fără legătură între ele, introduceți între ele cel puțin câte două caractere non-alfanumerice, cum ar fi caractere de punctuație sau de control, și capitalizați (scrieți cu majusculă) una sau mai multe litere din cuvinte, dar să nu fie prima literă a fiecărui cuvânt.

Următoarele sunt niște tehnici de a compune parole bune. În fiecare caz, amestecați cu caractere de control sau punctuație, și capitalizați o literă alta decât prima, de exemplu:

cArte\5pinguIn

• Prima sau a doua literă din fiecare cuvânt dintr-o frază obscură
• Un cuvânt neobișnuit dintr-o categorie, cum ar fi Literatura Fantastică și alt cuvânt neobișnuit și fără legătură din altă categorie, cum ar fi politicul. Nu, Băsescu->campion sau Băsescu=campion nu constituie parole bune.
• O grupă muzicală sau un cântec, dacă nu-s prea obișnuite, și ziua de naștere a mamei voastre
• Un număr de telefon vechi sau o adresă veche și numele de familie a unui prieten sau coleg de cameră de mult timp în urmă.
• Idei obținute din examinarea cărților din biblioteca Dumneavoastră sau hârtiilor din oficiu pentru cuvinte sau nume pentru a le combina.

Parolele trebuie să fie astfel încât să poată fi memorizate, ca să nu trebuiască scrise pe hârtie. Parolele nu trebuie scrise, mai ales pe hârtii care stau lângă computere sau undeva unde cineva ar putea să știe să le caute. Ele nu trebuie păstrate încomputer sau pe bandă magnetică sau pe dispozitive optice, decât dacă sunt encriptate într-o formă acceptabilă.

Parolele folosite pentru aplicații de mare securitate trebuie să fie diferite de parolele folosite pentru aplicații nesecurizate. O aplicație de mare securitate ar fi aceea unde se păstrează informație confidențială sau bani, cum ar fi banking sau e-commerce, sau confidențială guvernamentală, corporativă sau medicală. O aplicație nesecurizată este aceea în care parolele pot fi păstrate neencriptate sau ar putea fi captate, cum ar fi registrarea pentru un serviciu de uz public onlain, o cameră de chat, accesul la un terminal public, etc.

Ideea este că nu trebuie de avut încredere în aplicațiile nesecurizate. Cu toate că unele pot păstra un nivel înalt de securitate, altele ar putea să nu facă asta. La urma urmei, „e doar un canal de chat.” Astfel, puteți să dați o bună parte din parolele pentru aplicațiile de înaltă securitate cuiva care ar putea compromite aplicația de înaltă securitate. Similar, pentru fiecare aplicație de mare securitate trebuie folosite parole diferite.

via http://verolog.net/news