Articolul ăsta, despre un lache care a avut nenorocul să devina ţinta unor băieţi plictisiţi pentru că avea un user scurt de twitter, îmi tot dă târcoale de câteva zile. Dacă nu aveţi chef să îl citiţi, vă fac eu un rezumat: folosind informaţii publice şi un pic de noroc şi logică, un băiat de 19 ani i-a intrat in contul de gmail şi de acolo în restul conturilor de social media, totul culminând cu ştergerea informaţiilor de pe iPhone, iPad şi Macbook. Băietul dă vina pe algoritmii de securitate ai Amazon, Apple şi Gmail şi aproape deloc de propria prostie.
Ca un băiet ce sunt săptămânal ţinta unor băieţi plictisiţi, care încearcă să îmi reseteze parola de la twitter, parola de la gmail sau pe cea de la rotld, iată câteva idei pe tema asta:
- dobitocul şi-a activat opţiunea “find my mac”, pentru că e jurnalist şi se gândea că, dacă îl pierde, îl poate găsi. nu s-a gândit vreodată să facă backup la informaţiile de pe singurul lui laptop, unde îşi ţinea o căruţă de informaţii importante şi de neînlocuit.
- când scrii la o revistă din sau la un blog ar trebui să fii mai destupat la minte. şansa să superi pe cineva e destul de mare. şi lumea e plină de oameni plictisiţi, cu timp liber. depinde foarte tare cât de deştept e cel care care încearcă şi cât de prost eşti tu.
- backup! backup! backup! agenda telefonică, pozele de familie, documente importante, acte scanate, sunt zeci de servicii care oferă asta.
- nu fi idiot. e atât de simplu să nu pui user zoso cu parola zoso încât chiar nu mă prind de ce idiotul din povestea de mai sus a făcut-o. e extrem de simplu să foloseşti adrese de email diferite pentru rotld, amazon, facebook şi twitter. şi alta pentru blog.
- parole grele şi parole uşoare. unele sunt pentru rahaturi gen sky.fm, altele pentru emailuri şi magazine online. dacă îmi ghiceşte cineva parola de la twitter, şi se chinuie săracul de luni bune (10 caractere, cifre, litere şi simboluri) nu o poate folosi nicăieri altundeva. la fel, parola de gmail (12 caractere, litere şi simboluri) nu e parola de la registrar şi nici măcar parola de la paypal.
Cei mai amuzanţi sunt cei care caută zoso.ro/cpanel sau încearcă să se logheze cu userul zoso sau admin pe blog. Da, deştepţilor, alea sunt userele.
Dar unora pur şi simplu nu le pasă de viaţa lor online.
roboform ftw
Sa vezi cat de des am eu probleme cu clienti pt parolele de cpanel sau mailuri, ca-s prea grele si ei nu le retin si de ce vreau eu sa le fac viata grea cu ele!
Citisem undeva ca o parola formata din mai multe cuvinte, gen „zososcriefrumospeblog” este mai simplu de memorat si de mii de ori mai greu de spart decat ceva gen „sD432Y$#s”.
Eu cred ca userul de blog e zoso’); DROP TABLE wp_posts
mai bine lasai doar fata din poza
Folosesti un password manager ca 1Password ?
Si ca o corectie, nimeni nu i-a ghicit/spart nicio parola. Via Amazon si Apple a avut acces la contul de iCloud apoi la contul de Gmail si a folosit reset password pe celalalte conturi.
Si e util si sa folosesti two-factor authentication de la Google pentru a evita asta: https://www.mattcutts.com/blog/google-two-step-authentication/
@Mihai: nu, am 3 nivele: disposable (vimeo,sky.fm,youtube,alte căcaturi), sigure (gmail, namecheap) şi ultrasafe (paypal, rotld, 2nd gmail)
Ai naibii cyberpiratii astia, cum au ajuns sa arate
Gigelul respectiv nu este chiar un lache si din cate am citit pe acolo avea backup (cel putin la telefon). Faptul ca cineva a putut insa sa ii formateze iPadul, iPhoneul si alte i-uri cu atata usurinta este total aiurea. Acest gen de servicii ar trebui sa solicite ceva mai mult decat simplul acces la o casuta de e-mail (poate un telefon catre departamentul de relatii cu clientii).
@Garm: nu, pisoi,problema e că ăla s-a gândit că pierde aifponul, dar nu s-a gândit să ii facă un backup undeva.
Vali, te-ai obosit sa citesti articolul pana la capat inainte de a-i face rezumat?
– lacheul a tot repetat ca el este singurul vinovat pentru pierderea datelor personale; nu hackerii, nu Amazon, nu Apple ci el, pentru ca nu a facut backup la laptop
– hackerul nu a intrat mai intai in contul de Gmail. Primul atacat a fost contul de Amazon, „spart” incredibil de usor.
– de acolo a obtinut informatiile necesare pentru a sparge contul de Apple (mobile.me)
– folosind contul de mai sus hackerul a intrat in Gmail si la final in Twitter (tinta atacului)
Personal vulnerabilitatea ce mai grava mi se pare la Amazon, mi s-a incretit pielea cand am citit acolo ca un hacker care imi stie adresa de mail cu care m-am inscris si adresa de facturare poate sa-mi inchida instantele EC2 sau sa-mi faca o gaura de mii de euro in factura.
Parola de 10,12 caractere? Poate la conturi ne-esentiale, lastpass-ul are o parola de vreo 30 de caractere (o fraza pe care dupa putin exercitiu o scriu in secunde)
@Daniel Mitran: ai domeniu. eşti ţintă, jurnalist fiind. de ce să nu folosesti amzn@domeniu in loc de adresa.publica@gmail?
Eu acum ceva timp foloseam parola de la mail pentru mai multe conturi. Intr-o zi m-am trezit că trimit spam. De atunci fiecare cont cu parola lui.
PS Nu e cam incomod să ai simboluri în parole?
@eugen plesa: cât de des le introduci?
apropo de backup – e vreun serviciu care ofera backup online in Romania? Eu folosesc carbonite in momentul asta dar e foarte foarte lent.
Ai dreptate :))
asta a e marele pericol al linkului intre device-uri, cloud, servicii etc…
Degeaba te chinui sa ai parole complexe cu simboluri & shitz daca le bagi pe tableta sau telefon.
Din poza de la articol inteleg ca respectiva domnisoara tot incearca sa-ti intre in conturi, pe blog si, sper pt tine, in casa iar tu nu si nu.
Ca jurnalist sau bloagher depinde mult şi de câţi bani are cel pe care-l enervezi, ca să plătească pe unul deştept să te rezolve.
@Zoso nu folosești de prost. Prostie asumată de Mat în articolul de original.
Grav e dacă acest articol nu se lasă cu schimbarea procedurilor de recuperare a parolei la Apple și (mai ales) Amazon
oh, ce tragedie, a pierdut pozele cu boracii, cum va mai putea trai de acum incolo??
Eu folosesc LastPass si nu mai am batai de cap.
Eu folosesc LastPass ca sa scap de memorarea parolelor, tin minte una si buna.
@Alex Arata-ne si noua unde ai citit si de ce e asa.
Eu imi setez parolele asa, nu sunt sigur ca e cea mai buna metoda dar in nici un caz n-am aceeasi parola la toate conturile.
Niciodata nu am sa inteleg dc unii fac chestia aia…Cu ce esti mai viteaza daca ai sparta contul cuiva??
Adresez si eu aceeasi intrebare ca Maria: in Romania exista vreun serviciu serios de backup online?
Va rog sa treceti peste partea cu „Google is your friend” si alte smart-ass-isme, pentru ca ma intereseaza recomandari calificate, de la oameni care au testat sau chiar se pricep. Multumesc.
@Andi: nu ştiu să fie. eu folosesc sugarsync, merge okish.
Toate corecte, prostia lui, etc.
Observatia mea e doar asta: omul are dreptate cand subliniaza tampenia conform careia ultimele 4 cifre de la card, care tehnic sunt publice, sunt totusi utilizate pentru a-ti verifica identitatea.
Chiar si la mine la hosting, prima optiune e: care sunt ultimele 4 cifre de la cardul utilizat la plata facturii de hosting? Chiar si la banca, o intrebare posibila e care sunt ultimele 4 cifre de la card.
Insa informatia e ultra publica. Cand esti pe checkout pe Amazon sau PayPal, ultimele 4 cifre sunt afisate. Pe bonul de la bancomat sau de la POS-ul din orice magazin.
Ultimele 4 cifre ale cardului trec prin mai multe maini si pe la mai multe persoane decat adresa mea de mail si totusi e considerat o modalitate de autentificare.
Nu i se pare nimanui cretina chestia asta?
Eu am varii parole, unele generate de keygen-uri de la software-uri. Sper si cred ca sunt ceva mai greu de spart decat cele ale unui user obisnuit.
Dar la cativa ani mi s-a mai intamplat sa aflu ca trimiteam spam si atunci am schimbat parola de mail, am dat un scal la PC si laptopuri, preventiv.
https://xkcd.com/936/
Poti aplica si algoritmul descris aici – https://beldie.ro/parola/
@Darius uite aici
https://security.stackexchange.com/questions/6095/xkcd-936-short-complex-password-or-long-dictionary-passphrase
https://en.wikipedia.org/wiki/Password_strength
„Entropy as a measure of password strength
It is usual in the computer industry to specify password strength in terms of information entropy, measured in bits, a concept from information theory. Instead of the number of guesses needed to find the password with certainty, the base-2 logarithm of that number is given, which is the number of „entropy bits” in a password. A password with, say, 42 bits of strength calculated in this way would be as strong as a string of 42 bits chosen randomly, say by a fair coin toss. Put another way, a password with 42 bits of strength would require 242 attempts to exhaust all possibilities during a brute force search. Thus, adding one bit of entropy to a password doubles the number of guesses required, which makes an attacker’s task twice as difficult. On average, an attacker will have to try half the possible passwords before finding the correct one.[2]”
ps. serviciciile esentiale trebuie sa aiba neaparat emailuri diferite, de parole nu mai zic si sa nu fie legate una de alta
Le am intr-un .txt pe care il actualizez de cate ori am un cont nou. Ala e tinut intr-un hard disk extern bine ascuns. Oricum, fara un keylogger sau ceva asemanator nu poate sa imi ia un cont. De ghicit e greu. In scam-page-uri nu cad.
@Andi: Dropbox merge si el bine in Romania. Cateodata si cu cativa MB/s.
@Nicopoles: Pai si zici ca o parola aleatoare e mai usor de spart decat una ce e formata din cuvinte de dictionar?
Există şi soluţii simple. De exemplu la instalarea unui WordPress cel mai indicat este să lăsaţi user name-ul implicit, „admin” şi să puneţi parola tot „admin”. Puterea acestei soluţii vine de la faptul că nimeni nu s-ar gândi că poate fi cineva atât de prost încât să o folosească.
ai uitat ca ai doar litere si cifre in parola de la gmail …
Test:
Zoso, te rog sa-mi spui de unde ai poza cu mine si aminteste-mi cand ti-am dat voie s-o folosesti!
Oricum, una din marile lui greseli a fost ca avea adresa de acasa/reala la WHOIS…
O mare parte din vina o poarta si Apple, care avea acel policy idiot de a reseta parola la telefon (pe care acum cica au suspendat-o, se pare).
Da, era o perioada acum 10 ani la net cafe uri cand schimbam fisierul unde deepfreeze isi tinea parola cu o parola cunoscuta, faceam asta cu o discheta in ms dos, dezactivam apoi deepfreeze, instalam un keylogger slave … puneam apoi vechiul fisier cu parola net cafeului … si nimeni nu stia nimic, era o curiozitate adolescentina, am fost acolo am facut asta
te protejezi cel mai bine daca ai incercat sau incerci la randul tau sa spargi o parola, astfel inveti multe lucruri despre cum te poti apara, sa pui spatii libere la sfarsitul parolelor, majoritatea keylogerelor nu iti inregistreaza sau nu poti sa iti dai seama exact cat tine parola , sau daca are si spatii libere la final,
foloseste firefox si salveaza-ti parolele acolo si pune si un master password, apoi iti faci mereu backup la fisierele firefox unde ai salvate parolele, apoi ca sa nu uiti parolele foloseste o parola generala gen „rem99??” pe care o memorezi si nu o scrii nicaieri niciodata , poti folosi apoi un fisier .txt unde iti salvezi parolele la toate siturile si emailurile , exemplu … parola la mailul x@gmail.com este in fisierul txt 6ggh adica parola cunoscuta de tine urmata de 6ggh, apoi urmatorul cont … urmatorul mail … cine iti ia acest fisier la fel nu prea are ce face cu el pt are doar sfarsiturile de parole, inceputul parolei il stii doar tu,
daca esti nevoit sa te logezi pe alt calculator ia cu tine un stick usb, si pe stick o versiune firefox portable cu toate bookmarurile si fisierele cu parole pe el, binenteles cu masterpassword, astfel incat sa nu fii nevoit sa introduci de la tastatura parolele
iar pt o protectie totala inclusiv a hardului si a sist de operare foloseste cel mai bun si mai gratuit program truecrypt
Uite inca un punct de vedere pentru ce a patit lache
https://www.identropy.com/blog/IAM-blog/bid/88264/The-Epic-Hacking-of-Mat-Honan-and-Our-Identity-Challenge
Io inca nu inteleg de ce este ala prost. Iata niste ‘citate’:
The very four digits that Amazon considers unimportant enough to display in the clear on the Web are precisely the same ones that Apple considers secure enough to perform identity verification.
“didnt guess ur password or use bruteforce. i have my own guide on how to secure emails.”
Deci nu parola a fost problema.. Oricum e nasol de tot. Si raman vechile probleme: parole securizate, backups, email address pe care nu-l stie tot omul.
@dojo: totul se rezolva in două moduri simple: nu aceeaşi parolă peste tot, nu adresa poştală publică
Deci mai sunt persoane care nu au 2 step verification in google accounts? Si chiar persoane inclinate spre tehnologie… pana si maica-mea are optiunea activata… Cu aceasta activata, cand trimiti cerere de resetare parola iti cere un cod pe care ti-l trimite prin SMS. Fara acel cod duraza intre 3 si 5 zile resetarea parolei. In 3 zile primesti nspe mii de mail-uri prin care te anunta ca cineva a facut o cerere de resetare parola.
Omu a avut un ghinion incredibil, zic eu. Atat prostie, cat si ghinion..
Lungimea parolei nu e neaparat o garantie. Cine a studiat un pic teoria informatiei ( nu numai de pe wikipedia) stie si ce sunt alea rainbow tables si ca un cuvant dintr-o limba vorbita au entropie destul de mica. Sunt relativ predictibile. O smecherie mai buna este sa-ti amintesti primele litere dintr-o fraza mai lunga si sa le formezi intr-un „cuvant” mai lung. Asta nefacand parte dintr-o limba e mai greu de ghicit ( folosind rainbow tables, lanturi markov, whatever)
@Paul: Sa dai numarul de telefon unei companii ce se ocupa cu publicitatea nu e niciodata, dar niciodata, un lucru „sigur”.
@restul (si zoso): Articolul prezinta un aspect foarte interesant. Faptul ca poti confirma cine esti cu ultimile 4 cifre de pe card (singurele vizibile pretutindeni – singurele care nu ar trebui sa confirme nimic). Faptul ca suportul firmelor (probabil obisnuit cu cereri legale din partea utilizatorilor mai putin „educati” in folosirea unui calculator) ofera informatii si chiar posibilitatea de a reseta parola mult prea usor.
Din punctul meu de vedere, autorul articolului a facut ce face orice utilizator obisnuit (ba chiar mai mult), iar modul in care i-au fost „sparte” conturile a fost intr-o proportie mare din vina producatorilor. Totusi, vorbim de parole catre servicii ce promit stocarea unor informatii foarte private (chiar incurajand asa ceva), nu de parole de Metin..