Zaklenjeno z geslom
Gesla so najobičajnejši način, s katerim zaščitimo svoje informacije, digitalno identiteto, dostop do spletnih in drugačnih storitev. Prav zato, ker so od njih večkrat odvisne celo naše finance, poglejmo, na kaj moramo paziti, ko jih izbiramo in uporabljamo.
V svetu informacijske varnosti velja, da je za avtentikacijo uporabnika najbolj priporočljiva trifaktorska zaščita. To pomeni, da nas sistem avtenticira kot legitimnega uporabnika, če nekaj vemo (geslo), nekaj imamo (kartica s čipom) in nekaj smo (naš prstni odtis, odčitek roženice, ožilja roke ipd.). Ker pa so taki sistemi zapleteni in predvsem dragi, se največkrat naš sistem avtentikacije uporabnikov konča že z uporabo uporabniških imen in gesel. Zato je še posebej pomembno, da so ta vsaj približno varna in predstavljajo računsko oviro morebitnemu razbijalcu gesla.
V službi ste lahko "tarča" malce paranoičnega sistemskega upravitelja, ki od vas zahteva, da gesla spreminjate na dva meseca ali še pogosteje. V takem primeru mora geslo najbrž še ustrezati določeni kompleksnosti in zgodi se lahko, da je končni produkt vseh teh pravil videti nekaj podobnega kot:
w3iFuR%j$-&hf1c0e!2o
Seveda bi bili malce neumni, če bi si skušali tako geslo zapomniti (pa tudi če bi si ga, bi vas čez kak mesec čakala naloga, da ga spremenite, in zgodba bi se ponovila), zato bi si ga zapisali na priročno mesto. In zlobnež računa prav na to: če si pridobi še fizični dostop do vaših prostorov (to niti ni tako težko, kot bi si mislili, a o socialnem inženirstvu bomo pisali v prihodnjih številkah), bo najprej bo pogledal po listkih, ki so prilepljeni na okvir monitorja, nato pod tipkovnico, v predale ... Paranoični upravitelj omrežja ni pravzaprav dosegel ničesar. Uporabil je vso razpoložljivo tehniko, ki jo ima na voljo, a padel na izpitu poznavanja osnov človeške narave, ki ubira bližnjice, kjer le lahko.
Cain med drugim s "surovo močjo" (brute force) razbije enostavna gesla v nekaj minutah.
Kako si izmisliti geslo?
Kako se torej lotiti iskanja dovolj kompleksnega gesla, ki zadosti sodobnim varnostnim zahtevam, hkrati pa je za nas logično in dovolj enostavno, da si ga zapomnimo? Uporabimo lahko več metod.
Metoda 1: Začnite s preprosto besedo (Monitor). Dodajte še nekaj informacij, da bo geslo daljše (Monitor računalniška revija). Izpustite presledke (Monitorračunalniškarevija). Zamenjajte črke z znaki ali številkami, da povečate število možnih kombinacij. Rezultat:
M0n1t0rr@čun@ln1šk@r3v1j@
Metoda 2: Izberite si priljubljeno frazo, besedilo pesmi, stavek in uporabite prve črke vsake izmed besed. Besedilo "Cinca Marinca, ta je zoper nas, u ta črna skrinca vrgu je svoj glas." bo tako dalo začetno seme za naše geslo (CM,tjzn,utčsvjsg). Zamenjajte nekatere znake s številkami ali posebnimi znaki ter spremenite kakšno malo črko v veliko, dodajte poseben znak ali dva in dobili boste kompleksnejše geslo:
CM,tjZn,utčS\/js6!
Metoda 3: Domislite se posebne strukture gesla, ki jo je težko uganiti, na primer po vzorcu /%1beseda\$5beseda bo dalo začetno seme za naše geslo - /%1revija\$5Monitor. Zamenjamo nekaj znakov z logičnimi zamenjavami in dobimo varno geslo /%1rev1jA\$5M0nit0r. Ko bo čas za menjavo gesla, uporabite izbrani vzorec in zamenjajte samo besedo. Tako lahko nastane:
/%1p0sebn@\$5štev1lk@.
Metoda 4: Uporabite daljšo frazo, stavek ali kaj podobnega, kar si lahko zapomnite. Sama kompleksnost gesla sicer šteje, vendar je dolžina še pomembnejša. Za primer lahko uporabimo kar stavek iz prve metode:
Monitor računalniška revija
Ko so gesla prezapletena za razbijanje s "surovo močjo", pridejo na vrsto mavrične tabele, ki z lahkoto opravijo delo.
Dolgo ali prazno?
Že od Windows 2000 naprej so gesla lahko dolga do 127 znakov in se običajno, če nismo poskrbeli za varnost, shranjujejo v aktivni imenik domene ali v lokalno SAM datoteko v obliki LM hash in NTLM hash, ki sta znani po tem, da sta mačji kašelj za tako imenovane "brute force" napade. Pri skupni dolžini gesla 15 znakov in več pa se gesla ne shranjujejo več na tak način, marveč se zgoščevalni rezultat zapiše v obliki NTLM2, ki je neprimerno bolj varna. Priporočljivo je torej, da se v domeni, kjer nobeden od odjemalcev ni starejši od različice Windows 2000, z uporabo skupinskih politik prepove uporabo LM in NTLM oblik avtentikacije, ker to drastično poveča varnost izmenjave gesel v celotnem omrežju.
Praksa marsikaterega uporabnika je, da si v okolju Windows določi zelo enostavno geslo. Npr. "asdf", "qwert", "1234", ki so za razbijanje izjemno hvaležna (po izkušnjah marsikateraga sistemskega upravitelja, ki je zagnal program Cain v svojem krajevnem omrežju, je mogoče več kot 90 % gesel uporabnikov razbiti v nekaj minutah). Če ste nagnjeni k takemu banaliziranju in poenostavljanju gesel, se raje odločite, da na računalniku sploh nimate gesla. Verjamemo, da se to čudno sliši, vendar je res. Okolje Windows namreč ne dovoli prijav v omrežne vire na daljavo, če uporabniškemu imenu ni dodeljeno geslo. V računalnik brez gesla se bo tako neprimerno teže prijaviti na daljavo kot pa v primeru enostavnega gesla. Seveda moramo v tem primeru malce bolj poskrbeti za fizično varnost računalnika. In seveda - taka rešitev ni priporočljiva za prenosne računalnike.
Še nekaj dobrih praks
Spodnja priporočila še dodatno pomagajo pri tem, da bo vaše "digitalno življenje" še bolj varno: