un blog de Radu Dumitru
un blog de Radu Dumitru
►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄
Încă un serviciu de protejat parolele are probleme cu hackingul. Acum este vorba de OneLogin, care spune că o accesare neautorizată a serverelor proprii este posibil să fi expus toate datele clienților lor din SUA, inclusiv modalitatea de a decripta acele date. Detalii aici.
Destul de rău.
OneLogin este o soluție enterprise de login unic și management de identitate. Îmi este dificil și să înțeleg pagina About a site-ului lor oficial, unde apar termeni precum Identity as a Service (IDaaS), IAM, compliance reporting, user provisioning și alții pe care nici măcar nu sunt curios să-i înțeleg. Au sute de clienți, corporații mari din diverse domenii, și integrează sute de aplicații moderne puse la dispoziția acelor clienți (gen Salesforce, Office, Slack, AWS șamd).
Cum ar fi, definiția experților în securitate.
Adăugați aici și tot felul de vulnerabilități descoperite de-a lungul timpului la serviciul LastPass, care-i un manager de parole foarte popular în rândul clienților persoane fizice, și se conturează o situație destul de mohorâtă în această zonă. De informațiile furate din 500 de milioane de conturi Yahoo nici nu mai zic că ne deprimăm de tot.
Am scris aici despre cum să verifici dacă datele tale au fost furate de hackeri.
Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.
Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri
Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.
Îți place blogul meu?
Apasă acest buton înainte de a cumpăra de la eMAG
și vei susține acest site.
Magazine recomandate:
Mi-am luat un eSIM de la Red Bull Mobile pentru roaming de date ieftin în străinătate
Formula 1 în China: Mercedes mă dezamăgește, plus înjurături între piloți
Articole interesante de citit astăzi – 21 aprilie 2024
Blogul acesta a împlinit azi 18 ani de existență
Cîrstoiu out, Piedone intră în linia dreaptăCopyright © 2006 - 2017 nwradu blog.
Reproducerea textelor și a imaginilor ce-mi aparțin este posibilă numai în sistem "creative commons Attribution Non-Commercially Share-alike 3.0 CC BY-NC-SA".
Termene și condiții | Politica de confidențialitate | Politica de cookies
26 comentarii
09/06/2017 la 11:37 AM
Eu folosesc o aplicatie de parole pentru conturi de importanta mai mica (alta decat asta din articol) ca imi e greu sa retin zeci de parole pe zeci de siteuri obscure. Dar nu imi salvez niciodata exact parola folosita, ci mai adaug alte caractere in parola salvata. Ex: daca parola e 1234 pun x12x34x si eu stiu sa elimin ‘x’ cand o folosesc. Asa ca si daca o sparge careva tot degeaba ca nu o sa stie algoritmul meu. Si emailurile sa fie cat de cat diferite, ca nu faci cate o adresa pt fiecare cont, dar e gresit sa folosesti numai o adresa pt tot, macar sa ai cate una pt fiecare nivel de securitate.
Eu as avea incredere mare doar intr-o aplicatie scrisa de mine (si doar daca as fi expert in asa ceva).
cris(Citează)
09/06/2017 la 11:40 AM
Am si eu parole din astea simple. Insa de obicei am un set destul de complex.
Insa ideea cu caractere in plus mi se pare foarte tare. :)
Let me try it! :)
jules(Citează)
09/06/2017 la 12:16 PM
Cineva a demonstrat cu matematica in mana ca e mai greu de spart si mai usor de tinut minte o parola lunga “ursulbatecrocodiluljunglei” decat “dfje33kskd%”.
Astea is parole umane, un calculator se descurca mai repede cu parolele de al doilea tip.
mac gregor(Citează)
09/06/2017 la 1:04 PM
Dar problema aici nu e cat de complexa e parola, ci cum o ti minte. Daca nu le poti tine minte pe toate, atunci ajungi sa le salvezi undeva. Daca le salvezi undeva la un moment dat cineva le poate gasi (ori ca sparge aplicatia de parole, ori ca un virus iti fura fisierul si le are pe toate in clar). Ideea e sa te protejezi chiar si in cazul in care cineva le afla, vorbim de atacuri automate in care vor incerca parolele gasite si daca nu merg trec mai departe presupunand ca au fost schimbate.
Daca in aplicatia de parole pe care pune unu mana salvezi site=nwradu.ro cont=gigel(at)gmail pass=ursularemereverzi e diferit de site=nwradu cont=gigelGM pass=5ursul5are5mere5verzi5, tu vei sti la ce se refera dar un program nu. Daca esti targetat tu personal de un hacker uman poate nici asta nu e suficient.
cris(Citează)
09/06/2017 la 1:05 PM
Eu le salvez într-un carnețel pe care-l țin în dulap. Este foarte simplu.
nwradu(Citează)
09/06/2017 la 3:07 PM
@Radu si eu care eram convins ca le tii undeva prin claud…. :)))
carlos(Citează)
09/06/2017 la 5:43 PM
Aș putea, dar tehnologia este utilă atunci când simplifică ceva, iar aici mi se pare că o complică inutil.
Am tot ce-mi trebuie în carnețel. Dacă sunt pe coclauri, nu țin minte parola, nu am carnetul și chiar am nevoie să mă loghez pe acest serviciu… asta e, dau recover password.
nwradu(Citează)
09/06/2017 la 5:00 PM
pinul scris frumos pe card, cum se face.
add(Citează)
09/06/2017 la 12:18 PM
Folosesc o app de parole “Using secure 256-bit AES encryption”. Baza de date (fisierul criptat) il tin doar local pe PC si pe NAS unde ii fac backup, niciodata in cloud.
Am email separat (alias-uri) pentru fiecare login in parte. Stiam de dropbox ca a fost spart inainte sa stie toata lumea prin simplul fapt ca am primit spam pe adresa email dedicata dropbox.
Parolele sunt unice/generate de minim 15 caractere/semne. La parole am un algoritm asemanator cu cris, dar bazat pe adresa web + cateva cifre (gen data de nastere/an casatorie/etc). Daca mi-ar fi sparta aceasta baza de date, le urez succes.
Pentru chestii neimportante, folosesc remember password in chrome.
Pentru chestii extrem de importante, gen paypal/email, folosesc Two Factor Authentication, in principal SMS pe telefon.
Razvan(Citează)
09/06/2017 la 12:20 PM
Ce aplicație folosești?
nwradu(Citează)
09/06/2017 la 1:30 PM
Eu cand am folosit prima data pass manager din Chrome am ramas surprins ca le afisau in clar. Ele erau criptate cu key-ul userului logat in Windows, dar daca ramaneai logat si venea un coleg la calc tau si deschidea Chrome vedea tot. Intre timp au ascuns parolele si le vezi doar daca reintroduci parola de windows pentru fiecare in parte, dar asta e un exemplu de cum si cei mari fac greseli simple si nu ar trebui sa te bazezi prea mult pe ei.
cris(Citează)
09/06/2017 la 12:20 PM
Algoritm ușor de a salva in memorie parole pentru diverse siteuri:
1) Se iau primele 2 litere, capitalizate, din site-ul pe care e parola:
GO – Google, FA -facebook, etc.
2) Se folosește un generator random de 4 caractere + 4 cifre, diferite:
Ex. gydr8753
3) Se trece un safeword cunoscut, diferit pentru importanta, ex. :
Site critic (mail, bank, etc.) – andromeda
Siteuri secundare (YouTube, stiri, etc.) – borcan
Siteuri de aruncat (deocheate, spam, etc.) – caramel
4) De trece un caracter sau două speciale: !?, Etc.
Astfel, formez o parola de genul
FAgydr8753andromeda!? , parola care de sparge greu.
SebiD(Citează)
09/06/2017 la 12:25 PM
Și cum o reții? Că parole complexe se pot genera ușor, problema este să le ții minte.
nwradu(Citează)
09/06/2017 la 12:33 PM
Multumesc SebiD pentru descrierea metedei tale.
Eu folosesc KeePass protejat de parola si cheie si un sistem similar cu cel descris de tine.
Gabriel(Citează)
11/06/2017 la 3:51 PM
Sau folosești 1Password și face asta pentru tine până la 256 de caractere, ți le și salvează și ai cross-platform – iOS – macOS – windows.
ionică(Citează)
09/06/2017 la 1:36 PM
Parolele sunt ușor de retinut dacă iti creezi un sistem propriu de generat parole, poti folosi primele 4 caractere din numele site-ului scris cu majuscule si litere mici, la care adaugi un sir de cifre ușor de reținut gen anul tău de naștere plus un nume la care schimbi i cu 1, a cu @, s cu $, O cu zero (V@$1lE = Vasile) și eventual un sir de caractere aiurea gen Shift și ziua ta.
De exemplu pentru Gmail ai: GMai1990V@$1lE)%)$
Desigur poți face tot felul de combinatii iar la sfârșitul parolei adaugi numele unui autor preferat.
Eu folosesc sistemul de reținere parole oferit de Chrome dar am avut probleme când mi-am schimbat job-ul si încercam sa-mi amintesc parola dar folosind un astfel de sistem e ușor sa-ti amintești ce combinație ai folosit.
florin(Citează)
09/06/2017 la 5:07 PM
si-ti ia juma de ora sa scrii o parola.
add(Citează)
09/06/2017 la 2:10 PM
eu folosesc LastPass si nu am treaba. toate combinatiile de user/pass de acolo pot sa le pierd in orice moment cu pagube minime. adresele de email pe care imi vin chestii personale nu sunt tinute minte acolo
asa ca daca vreau sa citesc un mail personal Ctrl Shft N in Chrome si scriu de mana tot, la last pass am vazut ca retine si parole pe site-uri unde ii spui sa stea in banca lui, ca iti zice dupa ca nu le poate scrie etc e partea a 2a, probabil parola este trimisa la ei si primeste un atribut “not fill”
parole de la chestii de plati facturi -sunt in last pass:) poate vrea cineva sa-mi plateasca facturile (stiu ca in felul asta ar putea avea access la diverse date personale, dar nu sunt atat de paranoic)
@Razvan – 2 chestii, ti baza aia in NAS – ala e un punct foarte sensibil si relativ usor de spart (majoritatea au diverse gauri lasate de producatori pentru access usor la ele – similar cu camere de supraveghere, parole default, parole de admin hardcoded, etc ) . cum reusesti sa pastrezi atatea adrese de email ? te conectezi la 3 luni sa nu expire ? ca presupun ca este o corvoada pentru toate site-urile sa faci traznaia asta, asa la un nivel minim cred ca ar trebui sa folosesti vreo 20 de adrese
Darius(Citează)
09/06/2017 la 2:47 PM
NAS-ul nu este direct conectat la net. Pe langa asta porneste o data pe saptamana, se face de pe desktop/server web sync pe el si apoi se stinge. Cum am zis, backup only.
Am domeniu personal .ro, pe un server cu Gentoo Linux administrat de mine, care este acasa in camara :). Am peste 100 de alias-uri. Nu folosesc CPanel sau ceva asemanator. Totul este configurat de mana, oldschool.
Razvan(Citează)
09/06/2017 la 2:49 PM
eWallet. Este disponibil pe mobil/desktop/mac si poti face sync intre device-uri.
Razvan(Citează)
09/06/2017 la 5:15 PM
eu tin in keepass, fisierul criptat sincronizat cu dropbox pe ce device-uri am nevoie.
bineinteles, fara parole la mail.
add(Citează)
09/06/2017 la 5:41 PM
Este adevarat, e mai greu de spart (prin brute force) o parola lunga decat o parola scurta.
Numarul de parole posibille = nr de caractere din set ^ lungimea parolei
Vedeti acolo, variatia este exponentiala, numarul de caractere este chiar exponentul, deci fiecare caracter in plus creste extrem numarul de posibilitati.
https://www.password-depot.com/know-how/brute-force-attacks.htm
Cu toate astea, exemplul tau are o hiba majora: parola lunga foloseste cuvinte din dictionar pe cand cea scurta foloseste secvente de caractere random.
Cuvintele reprezinta alaturiari de caractere care sunt predefinite, cunoscute intru-un set puternic limitat (de exemplu limba romana nu depaseste 50000 cuvinte din care mai uzuale ca cele pe care le-ai folosit tu 4000), ceea ce reduce dramatic numarul de posibilitati.
De aceea, daca parola ta are numai cuvinte din dictionar, timpul de cautare prin dictionary attack este chiar nesemnificativ fata de cel de cautare prin secvente aleatorii.
Sa facem un calcul pe exemplul tau:
– parola umana are 4 cuvinte dintr-un set de sa zicem uzuale 4000.
Numarul de parole posibile = 4 000 ^ 4 = 2.56 * 10^14 (aprox 3 zile de incercari la un calcualtor bun)
– parola random are 11 caractere dintr-un set de 90 de posibilitati
Numarul de parole posibile = 11^90 = 5.31 * 10^93 (aprox 1 milion ani de incercari la un calculator bun…)
Diferenta e semnificativa.
Asa ca parole lungi da, cuvinte nu.
vladutz(Citează)
09/06/2017 la 6:42 PM
O mica erata:
Numarul de parole posibile = 90^11 = 3.14 * 10^21 (aprox 1 milion ani de incercari la un calculator bun…)
vladutz(Citează)
10/06/2017 la 1:10 AM
Se retine fix dupa regulile de mai sus, singurul lucru pe care trebuie sa-l memorez sunt cele 8 caractere random. Restul le stiu in functie de site.
SebiD(Citează)
10/06/2017 la 12:44 PM
@Sebi: nu are nici un rost să introduci acele caractere random care sînt f. greu de memorat.
dpdv al securității este suficient să introduci niște caractere pseudo-random adică unele cărora să le știi tu logica dar să nu fie cuvinte de dicționar, așa cum scrie Vlăduț. dpdv matematic nu ai nici un avantaj/dezavantaj, tot brute force este necesar.
de ex 6 litere = inițialele cuvintelor dintr-un cîntec pe care îl știi, urmate de 2 cifre cu semnificație specială pt tine (dar nu anul nașterii – poate însă alegi anul nașterii lui Băsescu dacă ești băsist, sau al lui Iliescu dacă ești pesedist :-) )
alias(Citează)
13/06/2017 la 7:33 PM
o solutie ar putea fi si cryptnos (pc, android)
http://www.cryptnos.com/
daniel(Citează)