Un grup de hackeri a spart ceva computere pe la Naţiunile Unite şi au dat pe net loginurile angajaţilor. Printre oamenii care lucrau acolo sunt şi doi români: Filofteia Panduru (directoare la institutul de statistica) si Prof. Dr. Elena Pelinescu. Ia să vedem ce parole aveau doamnele doctor:
// Email Address -: fpanduru@insse.ro
// Password -: stat
// Username -: pandufil// Email Address -: Elena.Pelinescu@itcnet.ro
// Password -: epel
// Username -: epel
WOW! Parole de 4 caractere, toate cu litere. WOW! Şi a doua e de mare angajament, bine ca n-au pus naibii parola “blank”.
Panduru are userul mai complicat ca parola…
Hai ca nu e chiar 1234…
Cunosc cateva persoane care au parole gen ”parola ” asa cum zice oNaiR :))
Eu am incercat mai demult sa ma loghez pe contul unui ciumpilic.Nu a fost greu, avea password ca parola
la password trebuiau sa scrie „parola” si rezolvau problema
Și ăștia de la UN la fel de intelijenți ca românii: stochează parolele în clar.
Meh, pun pariu ca le aveau scrise pe un post-it in geanta ca sa nu le uite. Pe de alta parte prostia e si a celor care au implementat sistemul de autentificare pentru ca nu au impus o serie de restrictii asupra complexitatii parolelor.
Aha… rau au facut ca nu au impus restrictii la simplitatea parolelor… toti sunt experti in securitate acum :))
Ce rost mai are sa se complice cu parole grele cand sistemul oricum este vulnerabil…
@blowfish: te pomenesti ca n-am dreptate.
ce spuneti o parola „invalidpassword”. Pe bune, am dat peste asa ceva
aveti o singura incercare de a ghici parola unui user numit „volvo” pe contul lui de youtube….
@radu (8), este vulnerabil tocmai pentru că nu au o politică de parole. Adminii (și aia de mai sus de ei) sunt de vină că n-au avut o politică de parole. În vremurile noastre minim 10 caractere, minim 1 literă mare, 1 literă mică și-o cifră. Maxim 90-100 de zile age, fără ultimile 3 parole folosite.
iti dai seama ca daca puneau 1234 sau qwerty uitau de ele…
Una viseaza doar la „stat” degeaba!
iar cealalta nu stiu nu pot sa-mi dau seama
Cum de ti-a scapat si nu ai pus titlul „Ce parole isi pun romancele”?
nu cred ca isi pun romanii parola asa, mai degraba it ul de la UN a pus parola initiala ca si userul si nu a setat sa iti ceara sa o schimbi la prima logare
chiar azi am auzit o discutie in autobuz despre parole. personajele fiind 2 tipe de 16-17 ani cu imitatii de louis vuitton, parolele lor : „iloveyou” si „portocala”.
cineva spunea că nu există spărgători de parole ci doar idioți care le pun…
@Pato: a 2-a a ales initiala prenumelui in fata primelor 3 litere din nume
@Ciprian, se pot seta parole care să îndeplinească regulile specificate de mine și care pot fi ținute ușor minte. Eu de ex. folosesc regula cu prima literă din fiecare cuvânt care formează o propoziție/frază(cu tot cu eventualele semne de punctuație). Crezi că-i ușor de ținut minte ? Eu cred că da din moment ce la ora actuală am cel puțin 15-16 parole create pe acest principiu.
În plus în zonele în care securitatea datelor din interior chiar contează utilizatorii ar trebui să semneze documente legate de politicile de utilizare a serviciilor. Printre care și cele legate de politicile de parole. Și în cazul în care ceva se întâmplă în interiorul rețelei din cauză că și-au păstrat parola pe un post-it pe monitor să poată fi trași la răspundere din punct de vedere legal. Cel puțin așa se întâmplă în zonele civilizate.
@Radu (15) – Și cum impui regulile alea fără o politică de parole în cazul în care ai 50+ utilizatori de nivelul celor 2 din postul lui Vali ? Eu unul găsesc destul de normal să impun o politică de parole în care utilizatorul este cumva constrâns să nu folosească exact cuvinte din dicționar dar să-și poată alege SINGUR parola decât să-i generez eu o parolă (fie ea și pronounceable).
@Meeku: Realizezi ca in conditiile impuse de tine toti din retea o sa aiba parolele scrise pe stickere lipite pe monitoare? Si cand vine vorba de vulnerabilitate a bazei de date (cum ai si exemplificat) tot degeaba ceri parola noua la fiecare 3 luni ca oricum e aflata?
Păcat că ne complicăm singuri viețile cu politicile de parole, când cele 2 (și probabil singurele) reguli cu adevărat importante sunt evitarea cuvintelor din dicționare + entropia și nu chinuit userul cu expresii de genul „P4r0la#$cvcMea”… Și pe bună dreptate unii aleg să folosească niște parole stupide și ușor de ținut minte, fără să realizeze că poți crea parole complexe la fel de ușor de memorat, dacă ar ține cont de entropie; pentru că nimeni nu îi educă și cei care fac design-ul policy-urilor de securitate uneori gândesc prea obtuz (și aici nu mă refer la gigeii care țin parole în clar sau criptate fără salt).
Din nu mai stiu ce motiv, mi-am resetat parola si am lasat pe cei de la Yahoo sa mi-o sugereze; pe cat e de „entropica”, pe atat e de usor de tinut minte: e alcatuita din alaturarea a doua cuvinte simple, plus o succesiune de numere consecutive. Trei bucati alaturate – fiecare are un sens clar, dar impreuna dau ditamai entropia…
@Ciprian e o parola o folosesti zilnic.. NU e problema sunt aplicatii care-ti stocheaza parola… si totul este criptat si parolat cu o alta parola :))
NU ai cum sa-ti iuti parola foarte des, dar cand se intampla mergi cu o cafea la admin si te rezolva :))
Păi oameni buni, ce parole vroiaţi să-şi pună doamnele? Ca şi blonda din celebrul banc?
During a recent password audit in a major corporation, or more likely a bank, it was found that a blonde was using the following password:
MickeyMinniePlutoHueyLouieDeweyDonaldGoofySacramento
When asked why such a long password, she said she was told that it had to be at least 8 characters long and include one capital.
De ce nu scrii si parolele celorlalte nati? Induci ideea ca doar romanii sunt prosti si nu e asa…e plin netul de americani cu parole 12345…Terminati cu tembelismul asta ca romanii sunt cei mai prosti din curtea scolii!
@sandu: hai săne uităm in curtea noastră.
Îmi place mentalitatea asta unde e vina celor de la UN că au pus parole scurte și nu-i vina hackerilor care nu pot respira până nu mai sparg câte o rețea de calculatoare.
Să zicem că-și puneau alfanumerice, băiații veseli oricum le spărgeau și pe alea până la urmă, se pare că de timp liber și răbdare nu duc lipsă.
E ca și cum aș intra peste cineva în casă și i-aș bate familia, numai ca să-l învăț minte să-și pună yală de calitate la intrare, nu din aia care poate fi spartă ușor. Cam așa și cu hackerii ăștia cu intenții bune, ei sparg rețele, își fac de cap dar NUMAI pentru binele societății.
Hai sa zicem ca lucrezi cu zeci de conturi etc. cat de greu poate sa fie sa folosesti un password manager?
Hahaha, hai să vă zică o minte de femeie cum își țineau doamnele minte parolele. Prima nu e „stat” cum v-ați fi gândit voi, ci „ștat” să știe femeia de ce se loghează zilnic acolo. Iar a doua, aia cu „epel” e mai cu schepsis. Doamna nici măcar nu poate fi acuzată că stă cu gândul la bani, ea se gândește la el și la amanta lui. Și scrie la logare „e pe el”, doar ca nu dubleaza e-ul acolo unde ar trebui.
E clar?
Cea mai sigura parola posibila e una formata din doua cuvinte, cu spatiu intre ele. Ma refer la posibilitatea decriptarii, nu daca-i in clar ca la astia.
@enzo: Ce-i ala?
@Meeku: M-am simtit prost la un moment dat cu parola mea care era teribil de simpla si mi-am creat una care contine litere mari, mici, cifre, spatii, caractere non alfanumerice. Si am fost mandru de ea. De fiecare data cand incerc sa ma inregistrez pe undeva cu ea, ba nu accepta spatii, ba nu accepta caractere non-alfanumerice, ba o gramada de alte restrictii. Deci sunt si adminii idioti in multe cazuri.
@Miron: Am trei parole, dar vorbesc de cea la care am depus cel mai mare efort E clar ca pe fb sau alte site-uri unde te loghezi cu mailul nu tre sa ai aceeasi parola ca la mail…
https://xkcd.com/936/
+ nu este deloc OK sa ai o singura parola pe care sa o folosesti peste tot (@Flo).
@Meeku: in zilele noastre ar trebui sa se faca cursuri de mnemotehnica la clasa a patra.
http://500motivators.com/plog-content/thumbs/motivate/me/large/487-major-fail-reporting-for-duty.jpg
Asta e MAJOR FAIL la UN. Adminul au permis passwords in clar sau cu MD5 simplu ? Policy care te lasa sa pui passwords din astea aberante ? The fail is strong in this one.
@ipo, So true. „A Pussy So Tight No Dick Penetrates”
@Meeku: eu fiind cu background de Asimov: „Most voters earn money just showing up near polls”
pare un loc bun de pus acest link: https://xkcd.com/936/
Cred ca nu e de ras cu parolele astea…
Prof. Dr. Elena Pelinescu ar fi dat impresia ca se mai pricepe. avea de obicei un netbook dupa ea dar era cam speriata de virusii de pe stickuri. :)) si ii placeau cam mult prezentarile powerpoint.
Nici cu cei care au dezvoltat acel sistem pentru UN nu au avut prea multa minte. Parolele nu se stocheaza in text clar in baza de date, este o chestie elementara de securitate.
Parolele intotdeuna trebuiesc encryptate (cel putin MD5 – desi si ala se poate sparge) si stocate astfel in baza de date.
@Meeku: foarte tare, p-asta n-o stiam. Mie mi-a ramas in cap „Please Do Not Throw Sausage Pizza Away”.
@Radu, Dar din păcate userii nu pot fi educați atât de ușor. Când ai în administrare o bază de useri nu te poți baza pe educația lor. Și forțarea unei parole care să respecte criteriile de mai sus rămâne cam singura soluție. Pot să pun pariu că voi fi înjurat mai mult dacă îi oblig să folosească parole peste 15-16 caractere vs. parole cu o literă mare, 1 cifră, etc…
@Meeku: scuze, nu am fost foarte clar. Ce voiam să zic e că nu sunt de acord cu politicile de parole care te obligă să folosești litere mici, mari, caractere speciale și cifre, toate în aceeași parolă, parolă care ulterior trebuie schimbată după n luni, după ce te-ai chinuit să o reții. Nu sunt împotriva politicilor deștepte (de bun simț) și a educării oamenilor în ceea ce privește tehnici de bază de securitate pentru protecția datelor. Comic-ul de pe xkcd de mai sus explică foarte clar ce vreau să spun.
Relevant: https://www.baekdal.com/trends/password-security-usability (+ cele doua linkuri din text la Update)
O data cu atacurile lulzsec mi-am schimbat aproape toate parolele pe ideea din articol, parola unica per site.
Apropo, eJobs ( si probabil toate siteurile din trust ) tine parolele in clar, la ei recuperare parola inseamna asta mot-a-mot FFS!
O parola nu prea tine de cald , daca cineva vrea sa intre …intra , daca sotia mea isi pune parola singura la ceva …nu mai are acces la acel ceva , deci trebuie eu sa ma ocup de parole
din ce stiu eu, din umilele mele cunostinte:
Ca sa fie sigura o parola trebuie sa aiba de la 7 caractere in sus (14 e perfect – sfatul meu 7 sau 14, intre nu prea are rost, decat daca parola e total aleatorie) sa includa cifre, litere mari/mici si caractere , dar sa nu fie formata din cuvinte (indiferent ca scri prost / pr05t / pro$t / pr0$7 samd si indiferent daca pui spatii sau nu intre ele – spatiul il pui cam degeaba, ba chiar ajuta la decriptare in cazul in care parola e formata din cuvinte).
De altfel parola nu trebuie sa contina informatii personale – nume, cod pin, cnp, serie / nr de buletin, nr de telefon.
Gata v-am dat niste sfaturi gratis.
@done8989: nu mai bine iti pastrai tu sfaturile, de sfaturi proaste nu avem nevoie nici gratis. auzi la el „spatiul…chiar ajuta la decriptare”?!?!?! pune mana pe wikipedia nu pe filmele ‘Hack3rz’, puteai citii linkul de la mine (cu cele 2 updates) si poate te abtineai sa postezi FFS!
Hai mai Vali…ai pretentii prea mari. Nu ai sa vezi niciodata femei sau barbati…cu varste trecute de 40 care sa-si puna parole complexe. Asta pentru ca le vor uita cu siguranta.
Problema este la securitatea sistemului si la faptul ca cei care l-au conceput tin parolele in clar, trebuiau sa cripteze fisierul cu userii…
sa intelegem prin asta ca unele persoane desi au functii importante, sunt niste prosti? si lasa loc de vulnerabilitati majore.. ?
@Licaon_Kter
greşeşti
@done8989: aș greși dacă aș da sfaturi legate de fotografie, dar altfel
i saw what you did there
Doamna Epel sigur are acasa programe la care foloseste contul admin admin
Cate dinastea sunt…hehe sa fim noi sanatosi. Pe vreamea connex-ului de exemplu, iti faceau ei e-amil si parola default era „123456” bine inteles ca foarte foarte multi useri dintre care si firme si procurori etc. nu o schimbau astfel…iti puteai face o colectie frumusica de e-mailuri importante
Astfel de exemple exista si astazi in cele mai neasteptate locuri, cazul de fata.
probabil merg pe ideea ca nimeni nu s-ar gandi ca au o parola asa de simpla, they’re mindfucking us
Ziceti mersi ca parola nu e „parola” la niciuna dintre stimatele doamne.
Și astea nu-s singurele cazuri. Am întâlnit sute de cazuri de gen în care parolele erau ușor de dedus, și/sau scurte. Cred că motivul principal este acela că utilizatorilor le e frică să nu le uite. Iar dacă au cine știe câte zeci de conturi, fiecare cu parola lui, îl înțeleg.
Totuși, personajele spuse de către tine nu au nicio scuză să nu-și aleagă o parolă serioasă.
cel mai comic e atunci cand cineva vrea sa-si puna parola ca sa verifice emailul, si tie iti spune sa te intorci, dar ea incepe sa-si dicteze parola ca sa o tasteze
De unde ideea asta ca parolele trebuie sa contina si cifre si litere si 1000 caractere speciale?
https://blog.codinghorror.com/cutting-the-gordian-knot-of-web-identity/
Orice parola se sparge cu un dictionar si cu forta bruta, iar daca e suficient de lunga, nu o sparge nici dracu. E ca si cu numerele mari folosite in criptografie (RSA in special, cu cheie publica). Se folosesc numere gigantice (10^120 cifre), tocmai pentru ca factorizarea lor e imposibila pentru procesoarele din ziua de azi.
Revin cu o completare: cum mama ma-sii au aflat aia parolele, de vreme ce parolele trebuiesc tinute in baza de date hash-uite in format hexa? Si nimeni nu le poate face reverse, pentru e one-way-encryption.