O rețetă a eșecului: parolele slabe, ușor de ghicit


Profesioniștii în securitate vă sfătuiesc să nu folosiți niciodată parole compuse din date personale, ușor de depistat și ghicit de oricine

Parolele sunt o povară pentru toți utilizatorii, însă, desigur, avem încă mare nevoie de ele. Ele nu vor dispărea pe cât de repede și-ar dori Microsoft și vom continua să depindem de acestea pentru o vreme. Este posibil să aveți 50, 100 sau chiar 200 de conturi online, însă pe câte dintre acestea le accesați cu parole unice? În marea majoritate a cazurilor oamenii reutilizează un număr limitat de parole, ușor sau deloc personalizate între conturi, pentru toate procesele lor de autentificare online.

Am fost recent la o conferință găzduită de o firmă de management financiar, unde am fost invitat să susțin o prezentare pe tema securității cibernetice. Au fost peste 50 de persoane prezente și când am început un dialog cu audiența pe subiectul legat de strategia lor de creare și utilizare  de parole, aceștia au avut o reacție pe care o întâlnesc des, și anume, au început să se uite prin cameră evitând contactul vizual, sperând să nu fie aleși pentru întrebări. Mi-am dat seama rapid că limbajul lor nonverbal dădea de gol faptul că au niște obiceiuri proaste când vine vorba de parole, așa că am decis să aprofundez puțin subiectul și le-am pus întrebări generale despre gestionarea parolelor, la care am auzit câteva răspunsuri interesante.

Am întrebat mai întâi dacă cineva a folosit vreodată un manager de parole. O persoană din public a ridicat mâna și a mărturisit că a încercat un astfel de instrument doar pentru că a mai participat la una dintre prezentările mele în trecut (m-am simțit atât de măgulit!). Așadar, 98% dintre persoanele din sală nu au folosit vreodată un manager de parole sau de vreun alt sistem prin care să-și administreze conturile. Apoi i-am întrebat cum și-au gestionat conturile online și unii au admis că folosesc aceleași trei sau patru parole pentru toate conturile. În același timp, mulți au spus că aceste parole includ, de regulă, informații personale, cum ar fi date speciale sau nume de persoane importante din viețile lor (bineînțeles, mă așteptam să aud aceste răspunsuri).

Un alt articol pe aceeași temă: Cele mai slabe parole din 2020: este timpul să vă schimbați parolele?

Am decis să fac un mic experiment din mers cu unul dintre spectatori. Întotdeauna mi s-a părut că experimentele făcute în timp real aduc mai multă credibilitate, deoarece, dacă funcționează, îi determină pe membrii publicului să trateze mai serios subiectul discutat.

Așadar, unul dintre oamenii prezenți în sală mi-a permis să-l caut pe rețelele de socializare și l-am găsit rapid pe Facebook. Am identificat tot conținutul său public și am notat pe tablă  o listă cu posibilele parole pe care mi-am imaginat că le folosește. Am notat locuri de interes, nume de animale de companie, nume de copii, date semnificative, echipe sportive urmărite, cărțile preferate, etc... toate posibilitățile clasice. Aveam aproximativ 20 de cuvinte și numere diferite într-o listă. Aceasta se confirmă partea spectaculoasă din întreg procesul acesta.

Uimit de cele întâmplate, nu numai că a mărturisit că am găsit una dintre parolele lui, dar ne-a confirmat ca ne-am apropiat foarte mult și de alte trei iterații ale celor patru parole pe care le folosește pentru alte conturi. Am aflat mai târziu că din iterații lipsea de fapt o majusculă la început și un număr la sfârșit (tipic, desigur). Acest număr a fost întotdeauna același – luna în care s-a născut. Audiența a fost firește uimită de ușurința cu care i-au fost descifrate parolele. Acest model predictiv de gândire este unul standard, iar infractorii cibernetici îl stăpânesc destul de bine.

Deci, se pune întrebarea de ce un utilizator, în special unul cu acces la o cantitate uriașă de informații și date, ar alege în continuare să folosească o colecție de parole atât de slabe.

Viitorul

Care este viitorul parolelor? Suntem capabili să mergem cu adevărat acolo unde oamenii nu s-au aventurat încă în mod corespunzător și să încercăm un mediu virtual fără parole? Sau credeți, ca mine, că parolele și frazele de acces au de fapt un loc important în societatea cibernetică și, atunci când sunt bine folosite, vin, de fapt, ca un bonus. Spre deosebire de datele biometrice, nu există nicio limită când vine vorba de diversitatea parolelor, plus că vă puteți stoca parolele într-un manager de parole și îl puteți genera ușor pentru dvs. În plus, atunci când este utilizat alături de o metodă de autentificare multi-factor cum ar fi o aplicație de autentificare sau o cheie de securitate, accesarea unui cont este simplă și extrem de ușoară chiar și pentru cel mai entry-level utilizator. Chiar și părinții mei, cu vârste de 70 ani, folosesc un manager de parole alături de aplicații de autentificare pe telefon pentru toate conturile – și mereu îmi spun cât de ușor sunt de folosit!

O singură breșă de date, suferită de una din platformele la care vă autentificați online, este suficientă pentru a îi oferi unui hacker acces ulterior la toate conturile dvs., în cazul în care reciclați parole, așa că vă recomandăm să vă păstrați parolele într-un loc sigur. Mulți oameni folosesc deja managerul de parole Apple Keychain sau le salvează pur și simplu în browser. Cu toate acestea, în cazul în care laptopul sau computerul dvs. va fi furat vreodată și nu este criptat full-disk, un potențial hacker va putea în continuare să aibă acces la datele din computer chiar și fără a vedea care este parola. Prin urmare, un manager de parole de tip terță parte, pe mai multe dispozitive, poate veni cu mai multe beneficii. 

Un alt sfat important pentru a vă păstra datele în siguranț, departe de privirile indiscrete sau de breșe de date este utilizarea unei funcții pe dispozitivele Apple, care vă permite să vă ascundeți adresa de e-mail de alte părți. „Sign in with Apple” vă permite să anonimizați adresa de e-mail atunci când vă conectați la serviciile care acceptă această funcție. De fapt, mai recent a apărut o actualizare prin care utilizatorii iCloud pot folosi funcția numită „Hide my e-mail”. Această funcție face exact ce sugerează numele, permițându-vă să generați o adresă de unică folosință care redirecționează e-mailurile primite către contul dvs. real. În acest fel, dacă datele sunt vreodată compromise, adresa dvs. de e-mail va rămâne în siguranță!

Jake Moore November 4, 2021

Lasa un comentariu