Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

CERT.LV dod norādījumus, kā izvēlēties drošas paroles

Kategorija: cert.lv + Datu drošība

Kādas paroles izvēlēties?
Labai parolei ir jābūt pietiekami garai un izmantoto simbolu kopai pietiekoši plašai. Kā norādījums var kalpot šāda tabula ar laiku, kāds nepieciešams dažāda garuma paroļu atšifrēšanai (no žurnāla „Chip”), izmantojot datoru ar augstas veiktspējas videokarti (ATI Radeon HD 5970).

Tabulā sniegtie paroļu kontrolsummu pārmeklēšanas ātrumi ir nevietā, jo ja uzbrucējs ir ticis līdz paroļu kontrolsummām, tad visdrīzāk viņš tiek arī pie pirmatnējās paroles un datiem, ko šī parole aizsargā. Tiešsaistes režīmā paroļu pārmeklēšana ir lēna un bezjēdzīga, jo nopietni servisi pēc noteikta skaita nesekmīgu autentifikācijas mēģinājumiem nobloķē kontu, vai liek ievadīt CAPTCHA.

Parasti dažādas interneta vietnes gan uzreiz pasaka, kāds ir mazākais simbolu skaits parolē, bet, piemēram, lietotāja parole datora operētājsistēmā var būt arī tikai ar vienu burtu. Tas ir par maz. Vajadzētu izvēlēties vismaz sešus simbolus. Labai parolei jāsatur gan lielie, gan mazie burti, gan cipari un vēlams arī kādi pāris papildsimboli, piemēram, tā varētu būt – „r6Su?Q8z%”. Lai uzlauztu šādu paroli, vajadzēs krietni daudz laika.

Ja uzbrucējam ir fiziska piekļuve lietotāja datoram, tad operētājsistēmas paroles sarežģītībai nav nozīmes.

Mūsdienu datoru lietotājam vajag daudz paroļu. Sociālie tīkli, pasta serveri, informācijas vietnes, bankas u.c. Te nu jāsaka, ka ļoti izplatīta nolaidība ir visur lietot vienu un to pašu paroli. Paroles nedrīkst būt vienādas, bet līdzīgas gan tās varētu būt. Piemēram, viena parole veidota ar „pi-valodas” palīdzību, bet cita ar „mu-valodas” palīdzību. CERT.LV eksperti iesaka arī izstrādāt vienu drošu paroli un tad to vienkāršā veidā modificēt, piemēram, pieliekot dažus papildsimbolus.

Nevaru piekrist. Ja uzbrucējs tiks klāt divām šādām modificētām parolēm, tad paroles modifikācijas algoritms kļūs acīm redzams un tas ļaus uzbrucējam piekļūt pārējiem resursiem, kuri aizsargāti ar šādu “drošās paroles modifikāciju”.

Avoti:
Nozare.lv: http://blogi.nozare.lv/kaza/2011/05/11/viesu-blogere-baiba-kaskina-certlv-par-drosam-parolem/

Tagged: »

2011-05-11  »  edgars

  1. BlackHalt
    11 May 2011 @ 14:55

    Viesu blogerei derētu izlasīt šo:
    http://www.us-cert.gov/cas/tips/ST04-002.html

    Šo: http://www.gtri.gatech.edu/casestudy/Teraflop-Troubles-Power-Graphics-Processing-Units-GPUs-Password-Security-System

    Davis believes the best password is an entire sentence, preferably one that includes numbers or symbols. That’s because a sentence is both long and complex, and yet easy to remember. He says any password shorter than 12 characters could be vulnerable – if not now, soon.

    Un kaut vai šo: http://en.wikipedia.org/wiki/Password_strength

  2. BlackHalt
    12 May 2011 @ 15:38

    Ja ir šifrēts disks
    http://www.truecrypt.org/docs/?s=hidden-operating-system

    un nav iepriekš kaut kā uzzināta parole
    http://en.wikipedia.org/wiki/Bootkit#bootkit

    tad ar fizisku piekļuvi var būt aplauziens ;)

  3. edgars
    12 May 2011 @ 16:03

    Tiešsaistes (autentifikācija) un nesaistes (šifrēšana) paroļu stiprumam ir atšķirīgas prasības. Šīs būtiskās atšķirības CERT.LV norādījumi ignorē.

  4. hvz
    13 May 2011 @ 09:51

    Ja tiešsaistes sistēmai ir ielikta konta bloķēšana un kapčas kaut uz 30 min. pēc 5 neveiksmīgiem mēģinājumiem, tad prasības parolei var būt pat ļoti trulas.

Re: CERT.LV dod norādījumus, kā izvēlēties drošas paroles







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>