Siguranţa parolelor în tehnologia informaţiei
Un computer poate ghici peste 100.000.000.000 de parole pe secundă. Credeţi că a voastră este sigură?
Parolele sunt folosite de mii de ani ca un mijloc de a ne identifica pe noi înșine față de ceilalți și, mai recente, de computere. Este un concept simplu, o informație comună care este păstrată secretă între indivizi și folosită pentru a ”dovedi” identitatea.
Parolele într-un context IT au apărut în anii 1960 odată cu computerele „mainframe”, computere mari, centrale, având „terminale” la distanță pentru accesul utilizatorilor. În prezent, acestea sunt folosite pentru orice, de la codul PIN pe care îl introducem la un bancomat, până la conectarea la computerele noastre și la diverse site-uri web.
Credit: Paul Haskell-Dowland
Dar de ce trebuie să ne ”dovedim” identitatea sistemelor pe care le accesăm? Și de ce parolele sunt atât de greu de înțeles?
Ce înseamnă o parolă bună?
Până relativ recent, o parolă bună putea fi un cuvânt sau o frază de la 6 până la 8 caractere. Acum există indicaţii privind numărul minim de caractere al unei parole, iar acest lucru se datorează ”entropiei”.
Atunci când ne referim la parole, entropia este măsura predictibilității. Deși matematica utilizată nu este complexă, putem să ne referim la aceasta într-un mod foarte simplu, drept numărul posibil de parole, uneori denumit ”spațiul parolelor”.
Dacă o parolă având un singur caracter conține doar o literă mică, există doar 26 de parole posibile (de la „a” la „z”). Prin includerea literelor mari, spațiul parolelor se măreşte cu 52 de parole potențiale.
Spațiul parolelor continuă să se extindă pe măsură ce lungimea parolei se măreşte și se adaugă alte tipuri de caractere, aşa cum se poate observa din tabelul de mai jos.
Spaţiul parolelor
Este ușor de înțeles de ce suntem încurajați să folosim parole lungi cu majuscule și minuscule, cifre și simboluri. Cu cât parola este mai complexă, cu atât sunt necesare mai multe încercări pentru a o ghici.
Cu toate acestea, computerele actuale sunt extrem de eficiente în efectuarea unor sarcini repetitive, inclusiv ghicirea parolelor.
Anul trecut a fost stabilit un record privind capacitatea unui computer de a genera orice parolă imaginabilă. Computerul a obținut o rată mai mare de 100.000.000.000 de parole pe secundă.
Folosind această putere de calcul, infractorii cibernetici pot intra în sistemele informatice bombardându-le cu cât mai multe combinații de parole posibile, într-un proces numit atacuri de forță brută.
Mai mult, prin tehnologia bazată pe cloud ghicirea unei parole cu 8 caractere poate fi realizată în doar 12 minute.
Deoarece parolele sunt folosite aproape întotdeauna pentru a obţine acces la date sensibile sau la sisteme importante, acest lucru îi motivează pe infractorii cibernetici să le caute în mod activ.
Astfel s-a dezvoltat o piață online profitabilă de vânzare a parolelor, dintre care unele vin cu adrese de e-mail și/sau nume de utilizator.
Cum sunt stocate parolele pe site-urile web?
Parolele site-urilor web sunt stocate, de obicei, într-un mod protejat folosind un algoritm matematic numit „hashing”. O parolă „hash” nu este identificabilă și nu poate fi transformată înapoi într-o parolă obişnuită (un proces ireversibil).
Atunci când încercați să vă autentificați, parola pe care o introduceți este convertita într-o parolă „hash” prin același proces și comparată cu versiunea stocată pe site. Acest proces se repetă de fiecare dată când vă conectați.
De exemplu, parolei ”Pa $$ w0rd” i se dă valoarea ”02726d40f378e716981c4321d60ba3a325ed6a4c” atunci când este calculată utilizând algoritmul de ”hash” SHA1.
Un atac de forță brută poate fi folosit în cazul unui fișier cu parole hash, încercând fiecare combinație de caractere pentru o gamă de lungimi de parolă. Această practică a devenit atât de obișnuită încât există site-uri web care listează parole obişnuite alături de valoarea lor calculată (parola ”hash”).
Puteți căuta, pur și simplu, parola ”hash” pentru a afla parola corespunzătoare.
Rezultatul unei căutări pe Google pentru valoarea unei parole ”hash” SHA ”02726d40f378e716981c4321d60ba3a325ed6a4c” dezvăluie parola originală: ”Pa $$ w0rd”.
Furtul și vânzarea listelor de parole sunt acum atât de frecvente încât există un site dedicat (haveibeenpwned.com) care-i ajută pe utilizatori să verifice dacă conturile lor sunt în siguranţă. Acest site are în prezent informaţii privind mai mult de 10 miliarde de conturi online.
Dacă adresa voastră de e-mail este listată pe acest site, atunci ar trebui să vă modificați parola conturilor.
O parolă complexă este sigură?
Cu atât de multe dovezi privind vulnerabilitatea conturilor online, ne-am fi aşteptat să constatăm o îmbunătățire a practicilor de alegere a parolei. Din păcate, sondajul anual SplashData de anul trecut a evidenţiat puține schimbări în acest sens în ultimii cinci ani.
Sondajul SplashData din anul 2019 a dezvăluit cele mai utilizate parole din anul 2015 până în anul 2019.
Cele mai utilizate parole.
Pe măsură ce capacitățile de calcul cresc, soluția pare să fie o complexitate crescută a parolei. Din păcate, se pare că nu suntem pricepuți şi nici motivați să ne amintim parole foarte complexe.
Mai mult, în prezent nu mai folosim doar două sau trei sisteme de calcul care necesită o parolă. Acum accesăm numeroase site-uri, fiecare necesitând o parolă diferită având, de obicei, o lungime și complexitate variabilă.
Un sondaj recent a arătat că, în medie, există 70-80 de parole pentru fiecare utilizator.
Vestea bună este că există instrumente pentru rezolvarea acestor probleme. Majoritatea computerelor acceptă acum stocarea parolelor fie în sistemul de operare, fie în browserul web, de obicei cu opțiunea de a partaja informațiile stocate pe mai multe dispozitive.
Printre exemple se numără Keychain iCloud al Apple și posibilitatea de a salva parolele în browser (deși mai puțin sigur).
Aplicaţiile de administrare a parolelor, cum ar fi KeePassXC, îi pot ajuta pe utilizatori să genereze parole lungi și complexe și să le stocheze într-o locație sigură.
Chiar dacă această locație trebuie protejată de obicei cu o „parolă principală” lungă, utilizarea unui manager de parole vă permite să aveți o parolă unică și complexă pentru fiecare site pe care îl vizitați.
Acest lucru nu va împiedica furtul unei parole de pe un site vulnerabil. Dar dacă parola este furată, atunci nu va trebui să vă faceți griji cu privire la schimbarea aceleiași parole pe toate celelalte site-uri.
Desigur, există și vulnerabilități în toate aceste soluții, dar aceasta este o altă poveste.
Traducere şi adaptare după A computer can guess more than 100,000,000,000 passwords per second. Still think yours is secure?