Ajung la urechile noastre din ce în ce mai multe incidente de securitate și adesea ele sunt legate de parolele și datele noastre de pe site-urile de socializare sau cele care au o bază mare de utilizatori. Chiar zilele trecute, un site de socializare m-a informat că mi-a șters vechea parolă și că trebuie să îmi aleg una nouă. Trebuie să fi fost o problemă acolo, ceva.
Pentru a ne feri de eventuale incidente la nivel personal, cea mai bună măsură de securitate este schimbarea periodică a combinației de caractere, prevenind astfel accesul viitor la datele noastre. Însă e important să știm cum creăm o parolă și mai ales cum să ne apărăm de eventuale sustrageri, pentru că de multe ori le pierdem din neatenție.
Despre parole, furturi de date personale și păcăleli online am stat de vorbă cu Liviu Arsene, Global Security Researcher la Bitdefender.
De ce ne alegem uneori parole simple, cum ar fi 123456 sau chiar „password”
De cele mai multe ori, utilizatorii aleg parole simple din comoditate. Majoritatea ajung să folosească aceeași parolă și la alte conturi, tocmai pentru că este ușor de reținut.
Mai mult, o altă scuză des întâlnită este că nu consideră că anumite conturi conțin informații sensibile sau efectiv nu cred că că cineva va fi interesat de informațiile din conturile lor.
Din păcate, unele platforme nu obligă utilizatorii să folosească parole care să conțină și caractere speciale – lucru care ar impune o mai mare atenție.
Și ce mi s-ar putea întâmpla dacă îmi cunoaște cineva parola de Facebook?
Contul de Facebook deține informații sensibile, precum adresa de email, număr de telefon, date despre prietenii noștri, adresa de acasă, acces la contul Facebook Messsenger.
Odată ce au obținut acces contul tău, atacatorii pot infecta prietenii prin mesaje ce conțin linkuri care duc către pagini de phishing sau malware. Sau pot vedea conversațiile purtate prin intermediul aplicației Messenger unde au acces la informații private.
Iar dacă parola de la contul de Facebook este aceeași cu parola de la contul de mail, atunci pot trimite inclusiv e-mailuri în numele tău, pot vedea istoricul de e-mail în care au access la multe alte informații sensibile, la istoricul bancar, spre exemplu.
Practic, devii o victimă a furtului de identitate. Atacatorii pot crea pagini de Facebook false pe care le pot folosi pentru a promova știri sau informații false. De fapt, odată ce au acces la contul tău legitim, îl pot folosi pentru a promova fake news.
Cum se fură parolele când se fură?
Una dintre metodele cele mai folosite este cea a e-mailului de confimare cont sau de resetare a parolei. Atacatorii trimit e-mailuri ce par legitime, prin care încurajează victimele fie să-și reseteze parola la cont pentru că a fost detectată activitate suspicioasă, fie să se logeze în cont pentru a beneficia de anumite promoții.
Majoritatea acestor e-mailuri vizează conturi de rețele de socializare, conturi de e-banking sau orice alte conturi unde utilizatorii fie au date personale, fie pot fi monetizate de atacatori.
Pe lângă emailuri, există și malware pe care atacatorii îl folosesc pentru a-și infecta victimele. Scopul acestor tipuri de malware este acela de a înregistra tot ceea ce utilizatorii tastează, de a face capturi de ecran și de a colecta cât mai multe informații despre victimă pentru a putea fi monetizate de atacatori.
Cea mai simplă metodă de a “fura” parole este de a le ghici. Cum foarte multe parole sunt de forma “123456789” sau “parola1234”, atacatorii pot încerca variații pe aceste teme până când reușesc să găsească una validă.
Atunci care ar fi cea mai bună parolă?
Parolele alese trebuie să conțină minim 16 caractere și să fie construite din cifre, litere mici și mari și caractere speciale. Pentru a contrui parole ușor de ținut minte, o idee ar fi să folosim passphrases (fraze), în care înlocuim anumite litere cu caractere speciale sau cifre. Spre exemplu, pentru Facebook, un passphrase ar fi de forma “P@rolad3F@c3b00kun1ca” (“paroladefacebookunica”).
Și ar fi bine să am una sau mai multe parole?
Este bine să avem parole unice pentru fiecare cont, deoarece reducem riscul ca un atacator să poată prelua controlul asupra tuturor conturilor dacă ne afla parola. În același timp, este recomandat să folosim autentificarea în doi pași, fie cu ajutorul telefonului mobil, fie cu ajutorul aplicațiilor de tipul Google Authenticator.
E indicat să îmi notez parolele undeva sau să folosesc servicii de administrare a parolei?
Nu nota parolele pe hârtie sau în documente de tip text, deoarece pot fi foarte ușor gasite și preluate de atacatori. Există aplicații de gestionare a parolelor care oferă și posibilatea de a genera parole unice pentru fiecare cont. Bitdefender Wallet este o astfel de aplicație, care are și capacitatea de a stoca și gestiona în mod securizat parolele pentru orice cont.
Premisa e ca am asa de multe conturi ca nu le mai tin minte sirul si e imposibil sa tin minte toate parolele.
Asa incat parolele tind sa fie refolosite. Sau folosite cu o modificari minore. Daca-mi fura cineva parola de la site-ul cu pisici si vede ca e “paRolaM3aFoarteLunga2!!sitecupisici” o sa ghiceasca ca la gmail am “paRolaM3aFoarteLunga1!!gmail”
A doua premisa e ca o aplicatie de gestine a paroleleor e fie ea insasi nesigura si-fura sau pierd toate parolele, sau scumpa sau indipsonibila in cele mai inoportune momente. Ideal ar fi sa depind doar de mine.
Solutia: o singura parola pe care sa n-o spun la nimeni si calcule matematice care pot fi facute pe orice calculator care sa-mi genereze o parola pentru fiecare site/cont
Detalii aici:
http://www.masterpasswordapp.com/
Pe scurt ca sa nu devin plictisitor:
Am un cont la gmail si unul la sitecupisici
As putea folosi parolele:
[email protected].1
[email protected].2
Trebuie sa stiu doar myPassword, faptul ca am schimbat parola in 2019 o sigura data la gmail si de doua ori la justkitty (ca m-au anuntat sa schimb parola preventiv ca le-au furat baza de date)
Si in loc sa folosesc parolele de mai sus le folosesc pe astea:
e18dcae944c3e7f362d165fdfefcf5becc549ee9
4ae5b15335c092eb4d2ce460b6ebddeda82929c1
Chestiile astea care sunt imposibil de ghicit si de tinut minte ca atare sunt “SHA1 cheksum” ale parolelor de mai sus. Nu trebuie sa le tin minte; trebuie sa am doar un calculator – orice calculator – care sa stie sa faca SHA1 cehcksum: de exemplu aici https://approsto.com/sha-generator/
sau in Linux: echo -n sometext | sha1
Parolele alea de mai sus sunt declarate de unii ca fiind unsafe “ca n-au carectere speciale si majuscule” asa ca poti sa-ti adaugi mici reguli:
Parola incepe cu punct sa sa aiba caractere speciale iar prima litera e masjuscula si restul nu.
Sau poti pur si simplu sa folosesti aplicatia masterpasswordapp
Important e ca tu sa stii cum sa …calculezi… de fiecare data parola. Parola va fi complet diferita de fiecare data cand o schimbi. va fi complet diferita si unica pentru fiecare cont si daca cineva sparge unul din conturi si-ti fura parola n-are nici o idee ce parola ai folosit in alta parte. Chiar daca ar intui ca seamana cu un SHA ckecksum nu poate afla in nici un fel partea cu adevarat secreta: “myPassword”
https://haveibeenpwned.com/Passwords
Verificati aici daca nu cumva parola voastra e deja furata. SIte-ul ala nu stie la ce cont e respectiva parola dar stie ca parola aia e deja in mainile unor baieti rai si mai devreme sau mai tarziu o sa incerce sa vada ce e bun la contul vostru.
myPassword a fost vazuta de 135 de ori
123456 a vost vazuta de 22 de milioane de ori.
https://haveibeenpwned.com/NotifyMe
Puteti sa va abonati aici sa primiti notificari cand emailul vostru e gasit intr-o noua baze de date cu conturi furate