Nacionālais standartu un tehnoloģijas institūts (angļu: NIST jeb National Institute of Standards and Technology) sniedzis jaunas vadlīnijas paroļu izvēlē un izmantošanā. Interesanti, ka šoreiz paroļu izmantošana ir vienkāršota. Šķiet, tas noticis pirmo reizi cilvēces vēsturē!
Lai arī NIST ieteikumi nav obligāti valsts un pašvaldību iestādēm, tomēr tos ļoti bieži ņem vērā un izmanto. Tāpat NIST atzinumus izmanto lielu uzņēmumu drošības dienesti.
Lūk, ko NIST mums ir sagatavojis:
- periodiskas paroļu maiņas ir liekas! Jau ilgāku laiku zināms, ka periodiska paroles nomaiņa pat īstermiņā iedragā tās drošību, jo cilvēkiem ir tieksme izmantot viegli uzminamu vārdu kopā ar mēnesi, piemēram, “zuze04”.
- pārāk sarežģītas paroles tiek pierakstītas uz lapiņas un pielīmētas pie datora, tātad tās zaudē savu vērtību. Bet nevajadzētu paroles arī pārlieku vienkāršot!
- obligāti jāievieš paroļu drošības pārbaude, lai neviens neizmantotu “password” vai “123456”
Cilvēki ir noguruši no pārāk sarežģītām un dažādās sistēmās pieprasītām parolēm. Sistēmu drošību parasti iedragā cilvēku lētticība un klajš stulbums, bet dažu maznozīmīgu paroļu nozagšana nav uzskatāma par milzu draudu.
Tipisks piemērs kā sačakarēt visu paroļu būšanu ir e-csdd aplikācija! Ar jaunajām parolēm vairāk kā puse lietotāju vairs neatcerās sarežģīto paroli! Ja parole ir jāsāk pierakstīt, tad jau arī sākās īstais drošības apdraudējums, jo visas pierakstītās paroles ir izmakšķerējamas!
Darbā mums sisadmini arī bija galvu saspieduši ar to, ka bija jāmaina parole 2 reizes mēnesī! Beidzās ar to, ka cilvēki līmēja lapiņas pie monitora ar paroli! Bet tas lika sisadminam aizdomāties un parole tagad jāmaina reizi pusgadā! :)
Pēc kolēģa “veiksmīgās” pieredzes, neesmu jau kādu laiku apmeklējis CSDD lietotāju lapu, lai neieberztos ar paroles maiņu visnepiemērotākajā brīdī. Izmantot simbolus parolē obligāti, ir muļķības kalngals. Var, protams, izmantot pārlūku paroļu iegaumēšanu, bet tas nekavējoties atspēlējas kā lāča pakalpojums, kad jāizmanto cita ierīce vai pārlūks.
Es arī ieberzos ar CSDD lapu un nu vairāk to nelietoju, lai gan bija ērti, varēja visus savus datus redzēt.
Mūsdienīgi paroļu pārvaldnieki prot sinhronizēt paroles starp dažādām ierīcēm.
Bet vai paroļu pārvaldniekus izmantot priekš super drošas paroles ir drošāk nekā izmantot nedaudz vienkāršāku paroli bez pārvaldniekiem?
Protams!
Nu lai es savas paroles glabātu ksut kur netā pie kaut kāda pārvaldnieka… Tik bezatbildīgi tomēr pieiet savai digitālai drošībai nespēju.
Jā, bet runa vairāk iet par man nepiederošu ierīci.
Pašā CSDD ieeju apmērm reizi gadā, bet man nesagādā problēmas atcerēties paroli lai kādi simboli tur būtu jāievada. Iespējams tāpēc, ka darbā ir jāatceras vismaz trīs dažādas paroles, kuras katru mēnesi jāmaina (prasības parolēm pat stingrākas, kā CSDD), līdz ar to jau esmu iemanījies likt parols, kuras atcerēšos ar dažādām simbolu kombinācijām.
Katram savi trūkumi 😂
Par CSDD piekrītu, lai gan ne tikai paroles tur ir taja gala kura saule neiespid.
Viss csdd ir viens liels tumsais caurums..😀
vēl sevišķi smalks debīlisms ir negaidīts pieprasījums obligāti nomainīt paroli tūlīt un uzreiz, liekas ar to slimo visas bankas. ieej inetbankā steidzami aizskaitīt piķi, mokoši sagudro paroli un pēc tam pūlies atcerēties.
tā vietā, lai tev paziņotu – termiņš beidzies, vēl 3 logini ar veco paroli, neaizmirsti laicīgi nomainīt.
uztaisītu, ka var nemainīt paroli, bet par katru loginu ar veco paroli 1% no konta atlikuma nost – mainītu un atcerētos bez jebkādām lapiņām))
Tas neko nemainītu, jo tāpat laicīgi nenomainītu. Varētu tik sevi vairāk piļīt, ka to neizdarīji, kad nebiji steidzīgs.
Es to risinu ar divām nemainīgām parolēm, kuras secīgi mainu.
> Tas neko nemainītu
atgādinājums ar atlikušo loginu skaitu ir lietotājam saprotamāks un draudzīgāks, ‘inetbankas ir stulbas’ vs ‘nu bļāviens, kā es nolažoju’ nāktu tikai par labu inetbankas ērtības reputācijai.
> Es to risinu ar divām nemainīgām parolēm, kuras secīgi mainu.
kā kurā bankā. dažās iegaumē pēdējās 3 paroles, kuras nedrīkst izmantot kā jaunas. man ir gara rinda, kuru viegli mainu, bet rūgtumiņš ta palicis, jo uz šādām situācijām esmu uzrāvies ne vienu vien reizi.
Tad banka pat zin tavu paroli un tā nav sašifrēta??? Mjā…
nezinu, kā bankas un visādas mikrosoftgoogles rīkojas ar manām parolēm. parasti serveros glabājas tikai paroles kontrolsumma, kas ļauj ierobežot iepriekšējo paroļu izmantošanu.
csdd tak var ieiet ar internetbankas autorizāciju, kur tagad vispābā nevajag nekādas paroles atcerēties ar smart ID
Nu bez atcerēšanās nekādi – PINs arī jāiegaumē. 😉
[vakara pasaciņa]
savulaik kāds institūts pētīja paroļu iegaumējamību un piedāvāja aizvietot teksta paroļu sistēmu ar bilžu sistēmu – pirmai grupai 4 ekrāni ar 9 konstantām bildēm katrā, kuras katrā logina reizē samainās vietām. tipa, PIN kods, bet nevari klikšķināt pirmā-piektā-trešā-devītā.
otra grupa lietoja teksta paroli, kādi bija ierobežojumi neatceros, bet nekas sarežģīts.
pēc gada veica kontroltestu, kurš no dalībniekiem atceras savu paroli. ja atmiņa neviļ, tad bilžu variants vinnēja par kārtu – uz katru teksta paroles iegaumētāju bija vismaz 10(!) bilženieku.
morāle? cilvēki vizuālo atceras daaaudz ilgāk, nekā mākslīgi saveidotas sistēmas…
[/vakara pasaciņa]
[vakara pasaciņa]
savulaik kāds institūts pētīja paroļu iegaumējamību un piedāvāja aizvietot teksta paroļu sistēmu ar bilžu sistēmu – pirmai grupai 4 ekrāni ar 9 konstantām bildēm katrā, kuras katrā logina reizē samainās vietām. tipa, PIN kods, bet nevari klikšķināt pirmā-piektā-trešā-devītā.
otra grupa lietoja teksta paroli, kādi bija ierobežojumi neatceros, bet nekas sarežģīts.
pēc gada veica kontroltestu, kurš no dalībniekiem atceras savu paroli. ja atmiņa neviļ, tad bilžu variants vinnēja par kārtu – uz katru teksta paroles iegaumētāju bija vismaz 10(!) bilženieku.
morāle? cilvēki vizuālo atceras daaaudz ilgāk, nekā mākslīgi saveidotas sistēmas…
[/vakara pasaciņa]
https://youtu.be/NzSJBuGNVSQ
tāpēc jau pinkods ar laiku iegūst vizuālas figūras apveidu. un ja pēkšņi klaviatūrā cipari izvietoti otrādi (piemēram – bankomāts vs numpads) tad var uzbrukt watafaks.
arī lietoju csdd, līdz viņi izdomāja salikt to drausmīgo paroļu algoritmu! Tagad katrreiz jāiet kautkur meklēt, kur pierakstīju to simbolu virkni:(