Zaklenjeno z geslom

Objavljeno: 27.10.2009 | Avtor: Matic Zupančič | Kategorija: Varnost | Revija: Oktober 2009 | Teme: varnost

Gesla so najobičajnejši način, s katerim zaščitimo svoje informacije, digitalno identiteto, dostop do spletnih in drugačnih storitev. Prav zato, ker so od njih večkrat odvisne celo naše finance, poglejmo, na kaj moramo paziti, ko jih izbiramo in uporabljamo.

V svetu informacijske varnosti velja, da je za avtentikacijo uporabnika najbolj priporočljiva trifaktorska zaščita. To pomeni, da nas sistem avtenticira kot legitimnega uporabnika, če nekaj vemo (geslo), nekaj imamo (kartica s čipom) in nekaj smo (naš prstni odtis, odčitek roženice, ožilja roke ipd.). Ker pa so taki sistemi zapleteni in predvsem dragi, se največkrat naš sistem avtentikacije uporabnikov konča že z uporabo uporabniških imen in gesel. Zato je še posebej pomembno, da so ta vsaj približno varna in predstavljajo računsko oviro morebitnemu razbijalcu gesla.

V službi ste lahko "tarča" malce paranoičnega sistemskega upravitelja, ki od vas zahteva, da gesla spreminjate na dva meseca ali še pogosteje. V takem primeru mora geslo najbrž še ustrezati določeni kompleksnosti in zgodi se lahko, da je končni produkt vseh teh pravil videti nekaj podobnega kot:

w3iFuR%j$-&hf1c0e!2o

Seveda bi bili malce neumni, če bi si skušali tako geslo zapomniti (pa tudi če bi si ga, bi vas čez kak mesec čakala naloga, da ga spremenite, in zgodba bi se ponovila), zato bi si ga zapisali na priročno mesto. In zlobnež računa prav na to: če si pridobi še fizični dostop do vaših prostorov (to niti ni tako težko, kot bi si mislili, a o socialnem inženirstvu bomo pisali v prihodnjih številkah), bo najprej bo pogledal po listkih, ki so prilepljeni na okvir monitorja, nato pod tipkovnico, v predale ... Paranoični upravitelj omrežja ni pravzaprav dosegel ničesar. Uporabil je vso razpoložljivo tehniko, ki jo ima na voljo, a padel na izpitu poznavanja osnov človeške narave, ki ubira bližnjice, kjer le lahko.

Cain med drugim s "surovo močjo" (brute force) razbije enostavna gesla v nekaj minutah.

Kako si izmisliti geslo?

Kako se torej lotiti iskanja dovolj kompleksnega gesla, ki zadosti sodobnim varnostnim zahtevam, hkrati pa je za nas logično in dovolj enostavno, da si ga zapomnimo? Uporabimo lahko več metod.

Metoda 1: Začnite s preprosto besedo (Monitor). Dodajte še nekaj informacij, da bo geslo daljše (Monitor računalniška revija). Izpustite presledke (Monitorračunalniškarevija). Zamenjajte črke z znaki ali številkami, da povečate število možnih kombinacij. Rezultat:

M0n1t0rr@čun@ln1šk@r3v1j@

Metoda 2: Izberite si priljubljeno frazo, besedilo pesmi, stavek in uporabite prve črke vsake izmed besed. Besedilo "Cinca Marinca, ta je zoper nas, u ta črna skrinca vrgu je svoj glas." bo tako dalo začetno seme za naše geslo (CM,tjzn,utčsvjsg). Zamenjajte nekatere znake s številkami ali posebnimi znaki ter spremenite kakšno malo črko v veliko, dodajte poseben znak ali dva in dobili boste kompleksnejše geslo:

CM,tjZn,utčS\/js6!   

Metoda 3: Domislite se posebne strukture gesla, ki jo je težko uganiti, na primer po vzorcu /%1beseda\$5beseda bo dalo začetno seme za naše geslo - /%1revija\$5Monitor. Zamenjamo nekaj znakov z logičnimi zamenjavami in dobimo varno geslo /%1rev1jA\$5M0nit0r. Ko bo čas za menjavo gesla, uporabite izbrani vzorec in zamenjajte samo besedo. Tako lahko nastane:

/%1p0sebn@\$5štev1lk@.

Metoda 4: Uporabite daljšo frazo, stavek ali kaj podobnega, kar si lahko zapomnite. Sama kompleksnost gesla sicer šteje, vendar je dolžina še pomembnejša. Za primer lahko uporabimo kar stavek iz prve metode:

Monitor računalniška revija

Ko so gesla prezapletena za razbijanje s "surovo močjo", pridejo na vrsto mavrične tabele, ki z lahkoto opravijo delo.

Dolgo ali prazno?

Že od Windows 2000 naprej so gesla lahko dolga do 127 znakov in se običajno, če nismo poskrbeli za varnost, shranjujejo v aktivni imenik domene ali v lokalno SAM datoteko v obliki LM hash in NTLM hash, ki sta znani po tem, da sta mačji kašelj za tako imenovane "brute force" napade. Pri skupni dolžini gesla 15 znakov in več pa se gesla ne shranjujejo več na tak način, marveč se zgoščevalni rezultat zapiše v obliki NTLM2, ki je neprimerno bolj varna. Priporočljivo je torej, da se v domeni, kjer nobeden od odjemalcev ni starejši od različice Windows 2000, z uporabo skupinskih politik prepove uporabo LM in NTLM oblik avtentikacije, ker to drastično poveča varnost izmenjave gesel v celotnem omrežju.

Praksa marsikaterega uporabnika je, da si v okolju Windows določi zelo enostavno geslo. Npr. "asdf", "qwert", "1234", ki so za razbijanje izjemno hvaležna (po izkušnjah marsikateraga sistemskega upravitelja, ki je zagnal program Cain v svojem krajevnem omrežju, je mogoče več kot 90 % gesel uporabnikov razbiti v nekaj minutah). Če ste nagnjeni k takemu banaliziranju in poenostavljanju gesel, se raje odločite, da na računalniku sploh nimate gesla. Verjamemo, da se to čudno sliši, vendar je res. Okolje Windows namreč ne dovoli prijav v omrežne vire na daljavo, če uporabniškemu imenu ni dodeljeno geslo. V računalnik brez gesla se bo tako neprimerno teže prijaviti na daljavo kot pa v primeru enostavnega gesla. Seveda moramo v tem primeru malce bolj poskrbeti za fizično varnost računalnika. In seveda - taka rešitev ni priporočljiva za prenosne računalnike.

Še nekaj dobrih praks

Spodnja priporočila še dodatno pomagajo pri tem, da bo vaše "digitalno življenje" še bolj varno:

  • Vsemu, čemur lahko, dodelite geslo oziroma spremenite prednastavljeno geslo. Marsikateri dostop do naprave, na primer do domačega usmerjevalnika, je tovarniško nastavljen na določeno vrednost in v spletu krožijo seznami, ki vsebujejo taka tovarniška gesla. Spremenite torej prednastavljena gesla napravam - če gesla nimajo vklopljenega, pa to storite.
  • Geslo naj ne bo očitno povezano z vami oziroma vašim življenjem. Imena in priimki svojcev, psov in mačk torej niso zaželena.
  • Krekerji si večinoma pomagajo s slovarji gesel, zato naj geslo ne bo tako, da ga je moč dobiti v običajnem slovarju. Slovarski napadi znajo predvideti tudi običajne tipkarske napake in najbolj pogoste prakse uporabnikov, da dodajajo številke na začetek ali konec gesla. Naj vas slovenska jezikovna ovira ne zavede preveč - v spletu se namreč dobijo tudi slovenski slovarji za razbijanje gesel.
  • Geslo naj ne bo prekratko. Za delikatne dostope priporočamo dolžino najmanj 15 znakov, uporabimo pa številke, male in velike črke ter še kakšen poseben znak (na primer !,",#,$ ...) Ne bojte se uporabe slovenskih šumnikov in presledkov v geslih.
  • Če vam zmanjkuje idej, kako dovolj zaplesti svoje geslo, potem se seznanite z osnovami "leetspeak", ki črke zamenjuje s serijo posebnih znakov in številk, ki grafično ali fonetično spominjajo na črko. V leet "jeziku" je črka H na primer predstavljena takole ]-[ , črka F pa denimo |= ali pa s ph, ki se izgovori kot F in tako naprej.
  • Redno menjavanje gesla je pomembno. Na vsakih 6 mesecev zamenjajte gesla za delikatnejše dostope. Ko izbirate novo geslo, naj to ne bo derivat starega.
  • Kategorizirajte svoja gesla, da vam jih ne bo treba na pamet vedeti preveč. Geslo za npr. manj pomembne spletne storitve je lahko povsod enako in enostavnejše, za dostop do spletne bančne poslovalnice pa izberemo unikatno in primerno kompleksno geslo.
  • Za izdelavo gesla si izmislite formulo. Tako bodo gesla unikatna, pa vendar si ne bo treba zapomniti vseh, marveč le formulo za njihovo ustvarjanje.
  • Geslo je osebni podatek (ne ravno v pravnem smislu), zato ga ne delite z drugimi in ga ne razkrivajte nikomur.
  • Podloge za miške, spodnje strani tipkovnic, listki, nalepljeni na robu zaslona, in drugi skrivni, pa vendar javni kotički, niso primerno mesto za zapisovanje gesel z namenom, da jih ne bi pozabili. Uporabite raje posebno programsko opremo, ki bo varno shranila vsa gesla, ki jih uporabljate (npr. KeePass, o katerem smo v Monitorju že pisali, nazadnje v pregledu sto brezplačnih programov v septembrski številki 2009).
  • Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
    Prijava

    ph

    Komentirajo lahko le prijavljeni uporabniki