Poniższy komiks pokazuje jak w prawdziwym życiu wygląda bezpieczeństwo informacji. Z jednej strony przysłowiowe „szyny miny karabiny”, a potem i tak użytkownik robi co chce…
Poniższy komiks pokazuje jak w prawdziwym życiu wygląda bezpieczeństwo informacji. Z jednej strony przysłowiowe „szyny miny karabiny”, a potem i tak użytkownik robi co chce…
Komentarze
GIODO a praktyka firmowa.
Wymuszanie odpowiednio skomplikowanego hasła, zmiany co 30 dni, itd. a potem pani Ania z marketingu przypina sobie hasła na karteczce do laptopa z którym jeździ do klientów…
A szef oczywiście ma to gdzieś i sam pisze hasła na post-it.
A ta polityka jest właśnie w tym celu, żeby zapisywać hasła? Nie od dziś wiadomo, że wymuszanie częstej zmiany haseł powoduje pogorszenie ich jakości.
Przykłady haseł (proste do zapamiętania i pewnie pod brute-forcem by szybko padły, ale spełniają wymagania giodo), które owieczki muszą zapisywać:
Dla pani Ani: Ni3wyrobi3targ3tu_w_04
Dla szefunia: Mam-30kNAkoncie!
Faktycznie te przykładowe hasła by szybko padły? Przyznam się bez bicia, że tego typu hasła uważałem za minimalnie mniej bezpieczne, jak te generowane całkiem losowo. Byłbym wdzięczny za opinie fachowców :)
Klasyk już się wypowiadał:
https://xkcd.com/936/
Cóż, wystarczy metoda słownikowa z emelentami brute force (łączenie haseł, dodawanie fraz typu 123, zamiana e na 3, a na 4 i odwrotnie, rozne kombinacje wielkich/malych liter etc.) i takie hasło leci w pieruny.
Żeby było bezpieczniejsze trzeba zwiększyć entropię, chociażby robiąc bezsensowne połączenia jak drutkrzakżyrafa, zmodyfikować słowa drucikkszaczorżyrafencja, dodać rozne znaczki i pozamieniać kilka rzeczy dRvC1|<KsH4<ZoRŹyP\aw3Nc1a i wtedy można mówić o jakimkolwiek bezpieczeństwie hasła które można byłoby w miare łatwo zapamiętać :3
Dobre hasło ma mieć wysoką entropię (ze 100 bitów powinno w większości przypadków wystarczyć), więc albo krótka losowa masakra (z 16 losowych znaków),albo długie słownikowe hasło po kilku modyfikacjach (kilkadziesiąt znaków w kilku wyrazach pisanych z błędami i dodatkowymi losowymi znakami we wmiare losowych miejscach).
W przypadku łatwych do zapamiętania długich haseł chodzi o to, by słownik używany do ich łamania musiał być jak najgrubszy.
Niezłym pomysłem może być też używanie znaków spoza klawiatury (nie zawsze możliwe) wpisujacąc znaki za pomocą kombinacji Lewy_Alt+numer_na_klawiaturze_numerycznej np: ♪☺♂.
Wg mnie lepiej po prostu trzymać większość haseł w kontenerach typu KeepAss i przeboleć zapamiętanie jednego lub kilku bardzo mocnych haseł + pliki kluczowe, a resztę generować losowo.