(brewbooks nuotraukoje – Japonijos karo laivyno šifravimo mašina RED)
Jei sudėčiau į vieną sąrašą visus per metus perskaitytus paraginimus naudoti saugius, sudėtingus ir nepasikartojančius slaptažodžius, išeitų nemenkas sąrašas. Tokių raginimų padaugėja po to, kai pranešama apie duomenų vagystes ir įsilaužimus į svetaines, apie informacijos nutekėjimą ar pavogtus sąskaitų duomenis.
Na ir kas? Populiariausias, kaip buvo, taip ir liko slaptažodis 123456. Antras populiariausias – itin sudėtingas 123456789. Neseniai pavogtų Hotmail el. pašto duomenų analizė parodė, kad:
- 42% susideda tik iš mažųjų raidžių, pvz.: „mama“;
- 30% prie jų dar prideda skaičius, pvz.: „mama2“;
- 19% susideda tik iš skaičių, pvz., tas populiarusis „123456“;
- 3% naudoja didžiųjų ir mažųjų raidžių mišinį, pvz.: „MaMa“;
- ir tik 6% galima sąlyginai vadinti saugiais, nes naudoja ne tik raides ir skaičius, bet ir kitus simbolius, pvz: „Ma3%_Ma“.
Ką tai sako apie interneto vartotojus ir daug metų skelbiamus raginimus naudoti saugesnius slaptažodžius? Ogi tai, kad niekas tų raginimų nepaiso ir nepaisys, net jei nuolat bus rašoma apie galimas pasekmes. Ir net tais atvejais, kai patys žmonės praranda duomenis. Nes dėl pamiršto sudėtingo slaptažodžio jie duomenis praras dar greičiau, ir bus patys kalti…
Nežinau.lt buvo rašyta apie slaptažodžių saugojimo programą KeePass ir tarnybą Clipperz, buvo galvoti algoritmai jų kūrimui, buvo nusivilta viskuo ir grįžta prie lapelio formos atmintinės. Dabartinis mano slaptažodžių bagažas yra saugomas trejopai:
- Dalis yra sukurta pagal specialų algoritmą, leidžiantį man prisiminti slaptažodį be jo užsirašymo;
- Kitą dalį išsaugo naršyklė (labai nepatogu, nes naudoju 5 naršykles);
- Itin sudėtingi ir nepritaikomi atminčiai slaptažodžiai tebėra surašyti ant lapuko.
Viena aišku – slaptažodis yra netikęs duomenų apsaugos būdas vien todėl, kad niekada nebus naudojami saugūs ir sudėtingi variantai. Visada ir viską galės atrakinti rinkinukas iš „mama“, „123456“, „vilnius“ ir pan. Reikia naujos priemonės. Kas sugalvos?
Tomo tinklaraštyje radau 
Per pirmąją prekybos savaitę parduota tik 
Komentarų (25)
Aš pavyzdžiui naudoju KeePass (http://keepass.info/), kuri veikia tiek Windows, tiek Linux OS ir sincronizuoju su savo Windows Mobile PDA, kurioje taip pat įdiegta KeePass. Kadangi telefoną turiu visada su savimi, tai nereikia sukti galvos, kur dėti slaptažodžius.
Man slaptažodžių sudėtingumas jau ilgokai rūpėjo, gal tiesiog dėl to, kad jau senai kompais naudojuosi ir domiuosi, bet ankščiau nebuvo daug slaptažodžių ir pavojus mažesnis buvo, todėl niekada nebuvau nukentėjęs, dėl atspėto slaptažodžio (nors ir nemanau, kad kam rūpėjo mano slaptažodžiai).
Vėliau kai reikėdavo visur registruotis, tai dažniausiai naudodavau ta patį slaptažodį, kažkaip nesusimąsčiau. Kai pradėjo daugėti pranešimų apie prarastus duomenis ar pavogtus slaptažodžius, tada susimąsčiau, kad jei viena sužinos, tai visur įeis.
Buvau pradėjęs naudoti skirtingus slaptažodžius, bet galvodamas, kad juos visus prisiminsiu :], visų neužsirašydavau, tai perėjau prie kitos slaptažodžių sistemos.
Supratau kad realiai reikia kelių slaptažodžių, pagal svarbumą. Nuo visai paprasto iki sudėtingo, kai jų mažai tai tuos kelis gali prisiminti. O keisti slaptažodžių praktiškai ir nebereikia užtenka pasikeisti vieną svarbų slaptažodį, kuris saugo svarbius duomenis, pvz gmail,priminimus dėl slaptažodžio vistiek dažniausiai gauni paštu, tai realiai prisiminti reikia tik vieną ir juo rūpintis.
Registruojantis kokiuose forumuose galima naudoti savo paprasčiausią slaptažodį ir jo keisti nereikia, jei koks rimtesnis forumas tam galima turėti rimtesnį slaptažodį.
Taigi viso šito išvados galėtų būti tokios: praktiškai visur galima gauti priminimą dėl pamiršto slaptažodžio, tai tiesiog reiktu turėti, tam patikimą vietą, pvz. gmail arba mob. tel..
Ir be viso to dar reik nepamiršti, kad jei tu kvailas ir kai tavęs kas nors paštu paprašo slaptažodžio ir tu jį duodi, tai tau niekas nepadės.
O ką Jūs tokio nepakartojimo ir unikalaus saugote internete, kad kažkas bandytų/vargtų iš Jūsų nugvelbt?
pinigus
Ir didelius pinigus.
Deja, bet daugelio toks mastymas kaip Tomeko :(
Su tokiu mastymu, nesistebek viena diena suzinoti, kad pasiemei paskola keliuose bankuose, apsipirkai „su vejeliu“ el. parduotuvese i kredita ir pan. O beto sutepti zmogaus varda ir jo asmenybe lengviau, nei vel tapti svariu…
Budu yra. Kad ir pvz kazkas tokio kaip tele2 saskaita pildytis per banka. Kazka tokio sukergus su OpenID galima gauti ’slaptazodine’. TIk vargu ar zmones nores taip „ne anonimiskai“ jugtis. Pats ir patirties zinau viena – turiu kazkur 10 slaptazodziu, kurie yra „saugus“. Ir turiu keleta, kurie „nesaugus“. Slaptazodis parenkamas pagal turinio svarba. Visokie ten, net nezinau, na tarkim web geimai ar vienkartines registracijos kad prieit prie vienkartinio resurso daromi su kokiu tais „laba diena“ slaptazodziu, kuri lengva atsimint. Svarbus turinys slepiamas daug sudetingesniu slaptazodziu.
Del slaptazodziu saugumo tai manau laimingas tas, kuris nukentejo kaip galima anksciau ir is to pasimoke.
Ir aš taip daug metų dariau. Ir turėjau lapą, ant kurio rašiau, kokią svetainę prie kokio slaptažodžio priskyriau. Tačiau – kažkas atsitinka ir tenka keisti slaptažodį. Yra taip buvę, kai svetainės kapitaliai reorganizavosi ir gal pamesdavo dalį vartotojų. Tada tai būdavo nervų gadinimo, jei svetainė man svarbi. Iš naujo prisiregistruoti neleidžia, nes tokiu el. adresu vartotojas jau registruotas, tai vardas, tai slaptažodis jiems netinka. Žodžiu, ima, ir sugadina tavo kruopščiai sukurtą sistemą… Būtų puiku, jei galima būtų pridėti pirštą, ir lai skaito jo raštą.
Naudoju https://lastpass.com. Ne tik slaptažodžius atsimena per kelias naršykles, bet ir generuoja juos, tai nereikia sukti galvos dėl sudėtingumo.
Nežinojau apie šią programą – reikės išbandyti.
ar tikrai nezinojai?
http://www.nezinau.lt/lastpass.....u-saugykla
:))
:) Kaip tas anekdotas buvo? „čiukčia ne skaitytojas, čiukčia rašytojas nori būti“. Parašiau ir išdulkėjo iš galvos. Tik keista, kad neišbandžiau – dažniausiai bent apžiūriu tai, apie ką rašau.
Beje lastpass jau veikia ir su Chrome :)
Tegu sumažina slaptažodžių kieki iki trijų, tada galėsiu prisiminti tris slaptažodžius po 8 ženklus.
Kai šiandien vienoje svetainėje kartais reikia registruotis net du kartus, tai nieko keisto, kad turiu virš šimto slaptažodžių ir visokių no name tarnybų užregistravęs su 123456 net nekeičiau.. Kuo dažniau naudoji kažkokią tarnybą, tuo tas slaptažodis joje ir uždėtas sunkesnis. Pvz. sunkiausias ant gmail su belenkokiais ženklais ir daugiau niekur nesikartojantis, po to dar paypal, ebay, o visur kitur 123456 ar 123456a ir panašūs darbą atlieka daugiau nei puikiai. :D
Na mano nuomone patogiausia butu jeigu butu igyvendintas jungimasis, kaip yra svarbiose ir gausiai lankomose svetainese per gmail pasta, yahoo ar kitus, ir tereiketu vieno slaptazodzio. Tokiu budu ir galetu buti jis sudetingas ir po kiek laiko jau pats ji isimintum ir tereiketu prisijungti prie elektroninio pasto tarnybos.
pas mane rimti slaptazodziai sudeti ant root’o ir banku. visa kita yra kruva „pusiau“ saugiu ir mano nuomone to visai pakanka.
O kad kartais ju nepamirsciau.. seife guli visas sarasas primityviai koduotas. ant lapuko
Naudoju elektronini pasta :D
T.y. jam sugalvojes salyginai sunku slaptazodi, o visus kuriuos pamirstu atsimenu pasto pagalba t.y. naudojuosi svetaines slaptazodzio priminimo funkcija :D
passwordų sudėtingumas overrate’inamas =)
reikia žaisti ant ilgio.
apie tai papasakosiu ketvirtadienį nekonferencijoje ;)
Ko cia taip aktualu slaptazodziu sudetingumas, ypac kai kalba eina apie web servisus? visuose placiau naudojamuose web servisuose slaptazodziu parinkinejimo nepaleisi, keli bandymai ir stop. ir kur girdejot kad kazkoki servisa nulauze parinke slaptazodzius? kam to reikia jei per phishinga bet kokio sudetingumo slaptazodi suzinosi. na o jei kitais budais nulaus web servisa ir prieis prie hashintos slaptazodziu bazes tai joks sudetingumas irgi nepades.
manau neblogas sprendimas būtų kortelė su lustu, ar magnetine juostele, kuri būtų kaip asmens identifikatorius.
O idealus variantas tai „ghost generated password“, bet čia supras tik tie kas žino GITS.
@blabla: jei geras passwordas – padės.
nulaužti ilgo ir sudėtingo passwordo hashą gali užtrukti kelis milijonus metų, jei įmanomas tik bruteforce (pilno atrinkimo) metodas.
Slaptažodžiams naudoju trumpus posakius, ištraukas iš knygos, patikusias frazes, po 20 simbolių ir daugiau, būtinai su lietuviškomis raidėmis, su tarpais, kableliais.
Tarkim:
„Ėjo ežiukas mišku ir su šalmu.“,
„Ant saulelė vėl nuo mūs atstodama ritas“,
„Viskas, kas akivaizdu, tampa slapta.“.
Iš pradžių suvesti daug simbolių yra sudėtinga, tačiau po kiek laiko rankos įpranta prie posakio, jį tampa lengva ir prisiminti ir suvesti.
Ilgus slaptažodžius pradėjau vesti po to, kai į mano kompą įsilaužė. Admino slaptažodis buvo 123. Kompe radau failiuką su slaptažodžiais, 123 buvo vienas pirmųjų. Nulaužtas slaptažodis buvo išsiųstas el.paštu, o kiekvieną kartą prisijungus vėl siunčiamas laiškas. Spėčiau, kad čia žaidžia vietiniai mif’o ar ktu studentai išklausę kompiuterinio saugumo paskaitas. O rimti hackeriai turbūt iškart platina piratines OS, kurios slaptažodžius atiduoda kam reikia vos tik juos suvedus.
Tikiuosi, kad lietuviškos raidės slaptažodį „tĖveli,“ padaro saugesniu nei „Ma3%_Ma“.
Manau įdealiausias variantas kaip kažkas minėjo lustinė kortelė su įvairiomis skaičių kombinacijomis.
Nesuprantu negi sunku susigalvoti kelis paprastus vardus, tam tikras raides pakeisti skaiciais ir prideti papildomu simboliu, pvz: saule -> s4ul3 pridedam savo gimimo data pradzioje du skaicius ir gale -> 19s4ul367 ir dar papildoma simboli ~ -> 19s4ul367~ viskas saugus slaptazodis, kuri nesunkiai paredagavus galima tureti kelis variantus. Ir nebaisu, kad toki kas nulauz ar atspes.
Man šiuo metu padeda Xmarks tarnyba :) Labai geras ir gana saugus dalykas. Pagrindinis slaptažodis yra uber sudėtingas, iš daug daug visokių simbolių, kurį šiaip taip įsiminiau :)