Kiberdrošības eksperti no paroļu uzglabāšanas rīka NordPass ir apkopojuši informāciju par pagājušajā gadā visbiežāk izmantotajām nedrošajām parolēm un globālais tops nav pārsteidzošs. Kā varam redzēt attēlā zemāk, cilvēku izdoma ir diezgan ierobežota un liels skaits cilvēku izmanto tik banālas paroles kā “password”, “123456” vai “qwerty”. Turpat arī redzam, ka šādu paroļu atminēšana ir nepilnas vai dažu sekunžu jautājums.
Tāpat cilvēki par parolēm mēdz izmantot dažādus ļoti labi zināmus modes zīmolu (“tiffany”, “nike” vai “adidas”), filmu (“leon”, “joker” vai “spiderman”), videospēļu (“gta”, “sims” vai “forza”) vai ēdiena (“chicken”, “pizza” vai “popcorn”) nosaukumus. Paroļu izvēli lielā mērā nosaka arī dažādi populāri notikumi. Piemēram, Oskara filmu balvas pasniegšanas notikums ir iedvesmojis 62 983 cilvēkus izvēlēties paroli “Oscars”. Savukārt laimes meklētāji Tinderī kuplā skaitā izmanto paroli… “tinder”. Lieki piebilst, ka tā nav pārlieku laba doma. Vēl interesanti, ka Lielbritānijā starp populārākajām parolēm ir “arsenal” un “liverpool”. Futbols tur lielā cieņā!
Kā tad vajadzētu rīkoties? Parolēm ir jābūt sarežģītām (jāizmanto burti, cipari un simboli) un vismaz 12 zīmes garām. Vienu un to pašu paroli nav jāizmanto dažādos servisos un pēc iespējas jācenšas izmantot vairāku faktoru pieteikšanos. Piemēram, izmantot SMS vai 2FA lietotnes kā Authy vai citas. Skaidrs, ka no galvas neviens ne var, ne grib atcerēties tādas drošas un garas paroles, tāpēc ieteicams izmantot paroļu menedžerus. Tās ir programmas, kas vairāk vai mazāk drošā veidā palīdz uzglabāt paroles un citus mums svarīgus datus. Te varam izmantot pētījuma autoru NordPass programmu vai mūsu bieži piesaukto Bitwarden. Šobrīd ar līkumu ieteiktu iet Lastpass rīkam, kas pēdējā gada laikā ir iekūlies pamatīgos drošības skandālos.
Starp citu, vai zināji, ka NordPass, kā arī NordVPN u.c. saistītos produktus radījuši mūsu kaimiņi lietuvieši?
assword un gāžšķūņurūķīši vairs nav populārākie? /jk
un tagad par lietu. parolēm nav jābūt debīli sarežģītām “ar cipariem un simboliem”, tāpēc, ka tās jūs vai nu neiegaumēsiet, vai pierakstīsiet uz lapiņas, vai paļausieties uz kādu paroļu menedžeri, kuru varbūt jau vakar ir uzlauzuši (vai nobrukusi datu bāze un varat sūkāt lāstekas).
ikdienas parolēm ir jābūt garām. tikai nedaudz izmainiet pareizrakstību, lai dictionary attack nevar nostrādāt un izmantojiet 2FA, ja tāds tiek piedāvāts. nespēlējaties ar lielajiem un mazajiem burtiem, ja domājat paļauties uz atmiņu, tāpat ar burtu aizvietošanu ar cipariem un simboliem neieteiktu.
tikai piemēram. viena no manām bijušajām parolēm bija ‘20000ljepajurasdzelmi’. kamēr nebūs reāli strādājošu kvantu kompju, kurš uzlauzīs?
Man gan pieeja ir noteiktus burtus vārdos vienmēr aizstāt ar zīmi vai ciparu. Tādi vārdnīcā nav, bet lasās un nav jākropļo valoda. Piem. “a” aizstāt ar “@”. Sanāk: t@irm@n@p@role
> Tādi vārdnīcā nav
ir. ne gluži valodas vārdnīcā, bet paroļu uzlaušanas softos ir. tā gan vairāk ir angļu valodas problēma ;) pat 1337 speak arī ir.
tomēr vajadzētu nodalīt par kādu laušanas līmeni mēs runājam — lokālu vai onlaina. jebkurš sevi cienošs resurs sāks tevi papildus pārbaudīt pēc 5-10 reizēm onlainā. mājas rūterī par 20 eiro to noorganizēt īsti nesanāks.
Var arī paroles simbolus oderēt. To pašu “password” pārveidojot par “p!a!s!s!w!o!r!d!” tiek atsists vārdnīcas uzbrukums un paroles sarežģītība pieaug eksponenciāli. Ja vajag paroli pielāgot vairākiem servisiem var izmantot kompozītu no statiskās daļas un dinamisko daļu pielāgot konkrētajam servisam. Var dinamiskajā daļā izmantot servisa nosaukumu, bet tad parādās ievainojamība, ja paroles noplūst plain textā un cilvēks sāk to pārbaudīt citiem servisiem. Tāpēc servisa nosaukuma vietā var izmantot logo krāsu vai kaut servisa nosaukuma pirmo burtu, ja statiskā daļa ir gana sarežģīta brute forcingam.
jā, mēs jau to esam iepriekš apsprieduši pie katra jaungada raksta par populārākajām parolēm :) es te vairāk uzstājos pret megasupernesaprotamu paroļu lietošanu, tad jau elementārs paroļu menedžeris tev uzģenerēs kaut ko drošu un neatkārtojamu, un tad to salauzīs vai kāds spiegotājvīruss nozags visu datubāzi. vienkāršākais veids ir un paliek garas paroles lietošana ar dinamisko daļu, tieši kā tu saki.
Labi ka vismaz pats noticēji sev. :D Parādi man kaut vienu sevi cienošu lapu, kur neprasa lielos, mazos burtus, +simbols +cipars? Un var būt priecīgs, ja tie nepārsniedz 8 simbolus un nepieprasa to nomainīt 1x 3 mēnešos.
Nezinu kā ir šobrīd, bet agrāk atstarpju lietošana ļoti sarežģīja uzlaišanu.
yep, debīllapas ir redzētas, bet par laimi manā dzīvē reti sastopamas.
tas gan nenozīmē, ka es “ticu” sev. admindarbā man ir izslēgta keyboard autentification un gandrīz viss dzīvo uz atslēgām. mazāk svarīgos resursos parolēm parasti ir bloķēšana ar cool down periodu pēc vairākiem neveiksmīgiem loginiem. nomainīti porti uz SSH un SFTP. ticība ir reliģijai, risku izvērtējums priekš manis.
kā klasiskāko piemēru stubumlapai ar megasuperduperparoles pieprasījumu varu minēt ridziniekakarte(punkts)lv. tur pat autentifikācija ar bankas starpniecību, lai nomainītu paroli, nestrādā. vienkāršāk aiziet uz Narvessen un palūgt, lai pārdevēj(a/s) nočeko biļešu atlikumu.
> Parādi man kaut vienu sevi cienošu lapu, kur neprasa
vid gov lv?
Lapa nevar būt debīla, debīls var būt cilvēks, kas ir sarakstījis Ministru kabineta noteikumus Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”. Lapas veidotājs jau tikai izpilda noteikumus.
kuras lapas autors esi tu, ja meties piesegties ar MK noteikumiem? ;)
Var izmantot diceware metodi un sastādīt paroli no vārdiem neizmainot to rakstību, bez cipariem un speciālajiem simboliem, tikai randomā nesaistīti vārdi.
Piemēram: Slept Fastness Cringe Macarena Uncrown
Iespējamo kombināciju skaits: 1,516,342,567,586,710,868,556,552,000
Izmantojot dictionary attack, ja pieņemam ka hakeris zina cik vārdu ir parolē, Oxfordas vārdnīcā ir aptuveni 273 000 vārdu
Ja brue forcē tikai pēc simboliem, tie ir ~94 iespējamie simboli uz katru vārdu un iespējamās kombinācijas ir vēl vairāk
Gadījumā ar parastu sarežģītu paroli (tādu kuru var normāli atcerēties – 8-10 simboli), iespējamo kombināciju skaits ir krietni mazāks, jo ir tikai aptuveni 90 simboli uz klaviatūras x 8-10 simbolu skaits.
Paroli kura sastāv tikai no vārdiem ir arī daudz vieglāk atcerēties
bija interesants pētijums, kuru pārgudro paroļu adepti “sagrāva un nolīdzināja ar zemi”. parolēm tika piedāvāts izmantot bildes, gandrīz kā gūgles AI apmācības kapčās weblapās (atzīmē visu, kur atpazīsti bla-bla). uzklikšķini uz tevis iepriekš izvēlētās bildes, nonāc pie nākamā 4×4 un tā vairākas reizes. kontrolgrupai piedāvāja izdomāt vārdisku, iepriekš neizmantotu un nesaistītu ar personisko dzīvi.
pēc kombināciju skaita sanāk fufelis (šeit arī līksmoja pārgudro paroļu aizstāvji), bet pēc 2 gadiem vārdisko randomo neatcerējās neviens. bilžu grupai bija virs 80%, bet negribu samelot, tāpēc neteikšu vai 90-95-utt.
pētījums gan vairāk bija par keylogeriem pret peli, tomēr pamācoši.
Tādā pasword menedžerī nav ko glabāt paroles,ja jau tik daudz lietotājiem zin vienādas paroles,labāk uz lapiņas pierakstīt un noglabāt seifā
Pieņemu, ka minētās paroles tiek lietotas kaut kādiem servisiem kas personai ir mazsvarīgas – vienreizlietot paredzētam e-pastam, kaut kādai aplikācijai kurā tu otrreiz īsti neplāno atgriezties utt.
Darbā mums paroles jāmaina ik pēc 2 mēnešiem, nedrīkst atkārtoties neviens burts un cipars vairāk kā 2 reizes (piemēram KAMANA nedrīkst, jo 3x A burts), nedrīkst 5 simboliem atkārtoties no iepriekšējās paroles, piemēram, ziemeļbriedis un ziemeļblāzma, ZIEMEĻB nedrīkst būt jaunā parolē, parolēm jābūt vismaz 8 simboliem, vismaz 2 lielajiem burtiem, vismaz 2 dažādiem cipariem un simbolam. Ik reiz kad visi ierauga mazo windows pop up paziņojumu, ka drīzumā jāmaina parole, visi skaļi sāk lamāties. Es saprastu, ja es strādātu valsts drošības dienestā vai pentagonā, bet mēs esam tikai mēbeļu tirgoņi. Liekas tik absurdi.
Jo mazāks kantoris jo vairāk visādu absurdu ierobežojumu un drošības prasību…līdzīgi kā ar valstīm, jo mazāka un nabadzīgaķa valsts, jo absurdākas un stingrākas drošības prasības šķērsojot robežu kā arī valsts iekšienē, piemēram dažādas Āfrikas valstis
> Liekas tik absurdi.
Tas ir ar jebkuru IS (informācijas sistēmu), kuru paši izstrādātāji/uzturētāji (ikdienā) nelieto, ne tikai parolēm.
uztaisīt lietojamu UI ir talants. esmu gatavs uzslavēt VID un nokrāsot brūnu latvija .lv, kur neko nevar ne atrast, ne saprast.
Līdzīgs murgs ir pieredzēts. Tas rezultējās – ka visiem darbiniekiem galda atvilktnēs glabājās lapiņa ar vēsturiskajām parolēm, kas tad katru reizi tika papildinātas. Citādi ar šo murgu galā nevarēja tikt, īpaši ja paroles mainīšanas logs bieži vien izleca kā reizi tieši kad ir kāds steidzams darbs. Tas labi parāda, ka pārcentība ne pie kā laba var nenovest.
Man ir ļoti pamatotas aizdomas, ka šī tabula ir fufelis. Lielākā daļa pēdējā laikā noplūdušo datu bāzu ir tikai savādākas kompilācijas no vecām noplūdēm. Tādu nopietnu jaunu paroļu noplūžu nav bijis jau labu laiku.
Kādu laiku atpakaļ izgāju cauri visām 300 parolēm un nonācu pie secinājuma ka man viņas visas ir jāmaina ģenerētā veidā ar vismaz 20 simboliem jo tāpat neko nevar atcerēties un chrome tāpat aizpilda paroļu laukus. Tagad visas paroles man ir līdzīgas šai : ^K)aCPZYKfLIFIbmeJ$s 😁