Știm cu toții deja că nu e neapărat ok să ne punem aceeași parolă la absolut toate conturile și că e puțin dubios să ne introducem detaliile cardului într-un link trimis pe WhatsApp de cineva pe OLX de la care vrem să cumpărăm o tigaie. Dar securitatea cibernetică tot nu e neapărat ușor de înțeles pentru toată lumea.
Câteva statistici relevante de la Bitdefender:
- 1 din 5 persoane reciclează o singură parolă pentru toate conturile lor online
- 38% au recunoscut că preferă să-și furnizeze mailul decât să plătească pentru o aplicație sau un serviciu
- 61% dintre utilizatorii de internet s-au confruntat cu amenințări cibernetice în ultimul an
Pentru că aparent suntem în luna Cybersecurity Awareness, cei de la Bitdefender au lansat o campanie de informare potrivită pentru toate vârstele, cu niște personaje ilustrate simpatice. Șoricarul Parolă explică cum stă treaba cu parolele, Linxul Suspicios povestește despre linkuri dubioase. O să mai avem un tucan și un cameleon.
Video-urile care au ieșit deja sunt aici:
Cybersecurity Pets – Șoricarul Parolă – YouTube
Cybersecurity Pets – Lynx-ul care blocheaza linkuri suspicioase – YouTube
Iar pe Instagram au un filtru special pentru această campanie.
(articol sponsorizat)
Păcat să vezi o firmă de securitate că recomandă passWORDS, când ar trebui să recomande passPHRASES.
Ce e mai ușor de ținut minte (și mai eficient)? O parolă de genul
sk4746(A^$mjbSJsau o parolă de genulCaroserie-bicicleta&2_faruri?Cât despre parolă diferită pentru fiecare site: dacă stai să gândești un pic, inventezi un passphrase „de bază” și îl alterezi în funcție de site. Gen
caro-zoso-serie&biciclete.Relevant: https://xkcd.com/936/
Vorbeste mai incet si mai rar, sa apuc sa imi notez care este parola ta
@MihaiC: password manager + parolă unică pe fiecare site/aplicație.
Plus 2FA peste tot pe unde se poate.
Ionut, o fi mai usor de tinut minte, dar o parola bazata pe cuvinte de dictionar, chiar si mai multe, se sparge imediat (pentru puristi, da, daca ai 21 de cuvinte o fi greu, dar parolele in general te limiteaza la un numar f. mic de caractere, 2 maxim 3 cuvinte normale).
Legat de aia cu „passphrase de baza”, pai daca eu fac rost de o parola a ta in clar de pe siteul biciclete.ro care e „parola_mea_de_baza_biciclete_ro”, crezi ca mi-e greu sa imi dau seama care e parola ta pe zoso.ro.
Oricum viitorul putin mai indepartat e fara parole, pasul intermediar fiind login doar cu servicii gen google.
….e campania din 2010
@Ionuț Staicu
+1
Am o singură parolă pe care o țin minte, parolă de 30 caractere (mici, mari, semne, tot tacâmul) la KeePass/Linux și gata. Parolele noi le generează el, el le ține minte, etc.
Asta, de ex., e jumătate din parola de GMail: #L0mm*H8_T?/Rsgv*_+1=L, bine, nu chiar în ordinea asta.
@Boris: cred că glumești.
Problema cu parola „clasică” (opt caractere, simboluri și numere) este alta: chiar dacă este anecdotic, din interacțiunea mea cu clienții, parolele pot fi ghicite în baza câtorva întrebări (numele cățelului + anul nașterii = 💗). Și parola este folosită peste tot, de la facebook la bancă (mai puțin la ING, ăia sunt niște deosebiți, un pin de fix cinci cifre este suficient la ei).
Ce crezi că e mai sigur? Un passphrase din patru cuvinte sau numele cățelului?
Dacă ai parole de UN cuvânt, da, functionează dicționarul. Dar la patru cuvinte ce zici, mai merge? Patru cuvinte cu majuscule? Patru cuvinte din altă limbă sau mai multe limbi? Patru cuvinte despărțite în silabe? Primele două silabe din patru cuvinte? Etc.
Iar la parola de bază poți adăuga măsuri suplimentare, de genul:
– caro-serie&biciclete-patru
– caro-serie&biciclete-cinci
– caro-serie&biciclete-opt
(i.e. adaugi numărul de caractere din numele site-ului).
Sau folosești un număr „de bază” și scazi numărul caracterelor. Sau pui numele lunii cu numărul ăla.
Faci un pseudo-checksum ce va face ghicitul imposibil chiar dacă faci rost doar de o SINGURĂ parolă.
nu, nu ar trebui să recomande nici măcar passPHRASES.
parolele (oricât de lungi ar fi ele) sunt elemente statice și pot fi furate / interceptate / copiate / extrase / etc. și sunt deci vulnerabile la atacuri de tip replay. (și da, aici intră inclusiv passphrases, oricât de lungi ar fi ele)
Metodele de securizare 2FA bazate pe chei dinamice / challenge-response PKI sunt mult mai sigure fiindcă se schimbă la fiecare utilizare sau în funcție de minutul la care au fost generate.
… iar validarea prin SMS pe mobil nu mai poate fi definită drept 2FA fiindcă un număr de telefon poate fi „furat” destul de ușor prin mecanismul de portare dacă angajatul furnizorului respectiv este mai mult motivat să îndeplinească un KPI target de vânzări decât de securitatea datelor unei persoane, mai ales dacă utilizatorul numărului care este ținta portării false nu este clientul firmei respective.
În plus față de autentificarea cu tokenuri PKI hardware normale (sau Common Access Cards – CACs), Microsoft suportă din 2018 autentificarea cu chei hardware FIDO2 pentru conturi Microsoft inclusiv pentru Windows Logon în domenii Azure Active Directory. (dar încă nu pentru sisteme standalone / AD tradiționale)
Cheile FIDO/FIDO2 se pot utiliza pentru o mulțime de servicii web: Google Accounts, Facebook, GitHub, GitLab, etc…
Google chiar are o funcție de protecție + securizare avansată a conturilor care dacă este activată atunci nu permite autentificarea 2FA decât cu chei hardware și șterge/blochează orice metodă de autentificare care implică doar parole statice – blochează chiar și acces prin IMAP la contul gmail respectiv – dar este nevoie să ai minim 2 chei hardware FIDO/FIDO2 pentru asta (una principală și una de rezervă, poți chiar să adaugi chei hardware suplimentare)
https://landing.google.com/advancedprotection/
În plus, cheile moderne FIDO2 au funcții NFC (utilizare contactless) sau unele au chiar autentificare biometrică cu amprentă e.g. https://www.yubico.com/ro/product/yubikey-bio/
pe scurt… parolele / frazele sunt toate deja „pe fărașul” istoriei și sistemele moderne de autentificare evoluează spre eliminarea completă a lor („passwordless”)
https://www.microsoft.com/ro-ro/security/business/identity-access-management/passwordless-authentication
Ionut, eu am raspuns la ce ai scris in primul comentariu. „sk4746(A^$mjbSJ” nu e nici numele catelului, nici anul nasterii. Iar „caro-zoso-serie&biciclete” e suficient sa imi dau seama ca dincolo ai „caro-cetin-serie&biciclete”.
@Boris, eu in general la siteurile care nu le consider de mare incredere (adica la alea care am impresia ca e posibil sa imi stocheze parola in text) folosesc alt tip de ‘generare’ iar restul majoritatea au 2fa deci cam degeaba imi stii parola,
cat depre iti dai seama, poate, dar asta inseamna un atac mai concentrat, adica o persoana care prezinta mai mult interes altfel, nu sta nimeni sa gandeasca generarea ta de parola printre alte zeci-sute de mii, iar un algoritm simplist e posibil sa nu nimereasca prea bine
Cum au spus si altii, raspunsul corect este un password manager si o parola unica, aleatoare, pentru fiecare aplicatie/site. KeePass 2 e gratuit si poti stoca unde vrei baza de date. In rest exista alternative bune care nu costa mult (1Password, Dash Lane) si sunt usor de folosit de catre orice utilizator.
Nu exista niciun motiv bun sa nu folosesti un password manager.
@Boris
bati campii. O propozitie scurta (Boris vorbeste prostii – 22 de caractere) e mult mai secure decat o parola (p_{.BSr<i`D)k – 8 caractere); in plus e mult mai usor de tinut minte.
Aia zic și eu.
De ce dracu nu mi aș putea boteza câinele „sk4746(A^$mjbSJ”?
skipi e deja luat, și l-a botezat sânziana negru așa.
@Adi: ce zici tu e optim, dar uneori (de cele mai multe ori, mai ales pentru un home user) preferi compromisul frază/parolă vs un hardware key de 50-100€.
@Ionuț Staicu
de black friday / cyber monday pe Amazon și pe site la Yubico cheile FIDO2 simple (doar cu NFC) sunt de obicei reduse la jumătate de preț… una costă cam 30 EUR cu TVA inclus în mod normal, iar de Black Friday sunt reduse pe la 15 euro – asta fără costurile de shipping.
… și aici mă refer la Black Friday ăla real nu la măgăria practicată de retailerii de la noi care fură chiar și la calendar ca să lanseze un „BlackFriday” cu câteva săptămâni mai devreme.
În câțiva dintre ultimii ani, în plus față de reducerea de 50%, a fost de câteva ori chiar și shipping gratuit pentru Security Keys de CyberMonday la Amazon (dar nu și pe site la Yubico) … nu știu cum o să fie anul ăsta… om vedea.
btw.. cheile alea FIDO2/PKI cu cititor de amprentă de la Yubico nu au funcții NFC – au înlocuit controllerul NFC radio cu procesorul biometric și sunt mai sigure d.p.d.v. al supply chain security – nu pot fi citite/accesate prin ambalajul pachetului.
„Generația cu cheia hardware de gît”
Recomandarile sunt pentru useri. Normali nu power users
aia isi cauta singuri recomandarile
xkcd-ul ala era bun inainte de aparitia atacurilor pe baza de rainbow tables, dictionare… si naiba stie ce altceva o mai fi aparut intre timp.
Un password manager cu o parola master pe care eventual o scrii pe o bucata de carton tinuta tot timpul intr-un loc sigur.
Nu se mai pune problema astăzi de memorat parole. Dacă așa gândești, deja ești pe un drum nesigur. Singură parolă pe care ar trebui să o știi pe de rost este cea de la password manager.
plus 2FA/MFA peste tot unde se poate
Nevasta are ca parola numele cu care o alinta bunica ei combinat cu data aniversarii noastre. Acu cateva luni am vazut s-a cam schimbat si s-a cam racit relatia dintre noi. Atunci am decis sa verific pe daca nu are pe cineva si sa-i accesez contul de FB. Stiu doar acea porecla a bunicii.:( Pentru a afla data astept acea zi cand am s-o vad suparata si cand am s-o intreb ce are imi va spune ca „-Nimic!!!”
Au loc destul de des astfel de zile deci s-ar putea să nu-ți fie prea ușor.
Mult succes!
Știu că tu glumești cu accesatul contului de Facebook al soției, o să zic pentru ceilalți: accesarea contului chiar si sotului legal, fără permisiunea acestuia, este INFRACȚIUNE.
@motanes, asa si ce, o sa faca plangere? Pai nu isi ia bataie dupa aia?
@motanes
Dar sa fii imoral, nu este ilegal? De ce sa-l crezi pe cuvant pe Vrajitorul din patul conjugal cand poti verifica veridicitatea spuselor sale?
Tare simpatice sunt plansetele omenirii pentru intimitate si drepturi – fix atunci cand chiar ei le incalca altora drepturile!
Noroc ca platim psihologi care sa ne spuna ca am gresit din cauza ca mama/tata nu ne dadea atentie in copilarie. Ca noi defapt n-avem nicio vina. Asa putem sa ne facem de cap in continuare fara raspundere. Doar mama e de vina…
La pct 2 si eu fac la fel, doar ca am cont de yahoo pt junk si gmail pt cele reale. Nu, nu cu aceeasi parola, duuuuh
io am aceeasi parola peste tot ca n-am nimic de ascuns
Nu e vorba că ai sau nu ceva de ascuns, ci de faptul că dacă îți află parola într-un loc, se loghează și pe contul de bancă, de exemplu. Atunci mai ai ceva de ascuns?
o idee ar fi sa faci honey potting, lasi o parola usoara si umpli mailul cu date fake si troieni /ransomware =))
iti dau parola mea de la internet banking sa vedem daca reusesti ceva. merge?
O investitie in YubiKey o sa va ajute foarte mult
PS. cand configurati 2FA/MFA, evitati pe cat posibil notificarea prin SMS. Alegeti App push, cod din ala de 6 cifre pe telefon (TOTP) dar nu folositi SMS ca factor de autentificare.
iti dau parola mea de la internet banking sa vedem daca reusesti ceva. merge?
cu parola numai nu, dar daca-mi dai si numaru de telefon mi-as luat un mac dinasta nou.
nu mai bine iti virez direct suma necesara ca sa te scutesc de niste batai de cap?
@mihai daca insisti iti da Vali adresa mea de mail, am PayPal, un 3k euro ar trebui sa fie suficient.
Ce voiam sa subliniez e ca destul de multe banci din Romania (BT si ING sigur) folosesc 2FA pe SMS care e cam prost ca securitate, vezi: https://krebsonsecurity.com/2021/03/can-we-stop-pretending-sms-is-secure-now/
E ca la curve: daca nu iti faci conturi pe site-uri dubioase e posibil sa scapi ok. Daca vrei sa futi din parcari de tiruri fara prez o cauti cu lumanarea.
Ai fi surprins dar explicatia asta merge si la executive level cand iti permiti glume cu ei :))
Eu nu inteleg de ce siteurile care cer parole nu au implementata temporizarea, nu stii cum se spune in it-eza adica maxim o incercare pe minut. Atunci nu s-ar mai pune problema brute force.
cam toate au implemetată așa ceva dar doar de la a 2-a sau a 3-a încercare în sus și deci temporizarea nu ajută deloc când fiecare încercare de acces vine de la o adresă IP diferită.
În ziua de azi nu se mai practică brute force ca pe vremea lu’ bunica cu o singură adresă IP sursă decât în situații limitate.
Este ‘la modă’ să se folosească atacuri distribuite, folosind mii de alte sisteme cu rol de releu / proxy, iar fiecare sistem sursă nu face decât o singură încercare de login iar asta permite accelerarea atacului fiindcă algoritmul de temporizare nu are nici o șansă să intervină.
temporizare adica la acelasi user name doar o incercare de parola pe minut, indiferent de IP
ce descrii tu drept „temporizare” per username indiferent de IP este de fapt un atac de denial-of-service și poate fi folosit ca să îi interzică (aproape) permanent utilizatorului acela accesul la sistemul respectiv.
Când mii de sisteme diferite încearcă să facă login la intervale de câteva milisecunde pe același username atunci utilizatorul real nu are (aproape) nici o șansă să reacționeze în timp util.
Mecanismele de tip captcha sunt utile în acest caz pentru a filtra o bună parte din request-uri, dar și ele au limitări.
cand parola trebuie sa contina 8 caractere, pot alege „Albacazapadasiceisaptepitici”?
Ok am inteles ca la articolele sponsorizate nu e voie / nu e locul cu critici la adresa produsului (chiar daca sunt utilizator), dar am putea stii totusi cine e copywriting agency care-a creat aceste perle cu „soricarul parola” si „linx-ul suspicios”? Multumesc!
nu e voie cu critici căcăcioase. exprimă-te civilizat.
Cand faci aceeasi sugestie de x ori si singurul raspuns e ca da luam in considerare feedbacku’ de la utilizatori, sau cand un product manager ia o functie care era simpla Utilites/OneClick Optimizer si o complexifica (un numar nejustificat de clici suplimentari, trebuie sa dai clic intr-o anumita zona ca se intample ce vrei tu, sugestia de-a tine minte / de-a configura selectia implicita etc) nu-mi vine sa zic decat ca-n reclama „Feedback is fifty”.
Uite d’aia o să-ți instalezi Avast free în loc de BitDefender cu licență, că nu-ți place ție de șoricarul parolă.
motanes, n-ai inteles nimic. Daca vroiam gratuit ramaneam la antivirusul Microsoft. Toate antivirusurile gratuite sunt mizerabile, Avast e in top. Dupa ce a expirat abonamentul furnizat cu Dell-ul (facut de baiatul ala care-a murit recent), am zis hai sa incerc unul pe bani pe care-l stiam bun (facut de niste cehi). 2 calculatoare, 2 probleme complet diferite, suport complet inept. Am ales BTS pe bani tocmai pentru ca e romanesc si-am zis ca ma inteleg mai bine cu suportul, la inceput a fost bine, dar mai nou nu mai e chiar asa bine. Cu toate astea voi reinnoi abonamentul, pretul este imbatabil pentru mai multe device-uri.
@Mihai
nu orice campanie e facuta pentru toata lumea, nu esti in targetul lor
nu trebuie sa fii un geniu sa-ti dai seama ca nu e facuta pentru cei care stiu deja de ce o parola trebuie sa fie complexa, ce inseamna 2FA, dau click pe orice link primit pe whatsap care promite un premiu. E pentru persoanele are au parola formata din numele cainelui, formatia preferata, data nasterii sau ignora 2FA pentru ca nu stie si nu vrea sa stie la ce e bun
Sigur ca nu ma regasesc in tinta campaniei, mi se pare doar nitzel „shoada”. Sa speram c-are succesul scontat.
Faza aia cu password manager e cea mai tare. Adica generez parole complicate, diferite, de 30 caractere pentru fiecare dintre cele 20 conturi online, dar le protejez pe toate cu o singura parola. admin123 ?
Nu neaparat. Eu mi-am generat o parola puternica pentru password manager, lunga de 30 de caractere, e imposibil de spart prin brute force cu actuala putere de calcul. O pui intr-un fisier text pe desktop si n-ai treaba.
Skyler you had me pana la
fisierul ala text :)) la primu malware
Pierzi toate parolele, in masa :))
As sugera sa tii parola pe un usb, chiar si in cleartext. Sau sa iti faci o parola memorabila dar puternica pentru password manager si nu o notezi nicaieri.
Dar de „Firefox Lockwise” cu autentificare prin amprentă și sincronizare pe desktop/iPhone/iPad ce părere aveți?
Imi recomandati un manager de parole bun si simplu pt cineva usor atehnic? (Daca exista asa ceva)
Bitwarden.
Google chrome. Oricum parolele sunt folosite in 99.99% din cazuri pentru site-uri.
Asta e marea problema pe care „expertii” in securitate nu o vad. Noi suntem oameni obisnuiti, cu nevoi obisnuite, nu pot sa am un YubiKey pe care il incui intr-o cutiuta in spatele raftului din beci si cheia mi-o bag in cur, apoi iau cablul de alimentare al calculatorului si il port cu mine peste tot. Mie imi trebuie parole pe care sa le pot tine minte, pentru ca ma loghez in conturi si de pe telefon, si de pe tableta, si de la internet cafe.
Eu imi tin parolele in chrome si in Apple Cloud, fiind cele mai dese metode prin care utilizez internetul. Pentru chrome am 2FA, adica primesc o notificare push de la google pe telefon si aleg daca permit autentificarea sau nu.
Da, am si YubiKey pentru aplicatiile pe care le folosesc doar de la calculator, am si Google Authenticator pentru conturile de lucru pe care le-as putea folosi si in deplasare. Dar pentru parolele folosite uzual am ceva ce pot tine minte format din mai multe cuvinte alaturate pe care le schimb la fiecare 6 luni.
KeePass.
@Sabotor , fix pt online e necesar, faza e ca da rateuri Chrome in ultimul timp si nu mai sare cu pop-up si sugestii de memorare a parolei
1Password, 30e pe an si nu ai batai de cap.
Merge pe orice device, genereaza parole si-ti spune si daca ai parole compromise sau refolosite.
Sunt singurul care a invatat parola ramdom pe care a primit-o la un cont pe thecrims facut acum vreo 15 ani? :)))
Daca tin bine minte – parca perioada asta urmeaza sa ne sharuiesti si ceva cod pt cumparare livente BitDefender, nu? Ultimii 2 ani, datorita tie am cumparat licente de la ei si pana acum nu am fost dezamagit
de black friday.