Slaptažodžiai

3 Comments

OLYMPUS DIGITAL CAMERA

Slaptažodis – tai žodis ar simbolių kratinys naudojamas tapatybės patvirtinimui, nustatyti ar tai tikrai tas žmogus kuris sakosi esąs.

Jei jūsų slaptažodis „password“, „123456“, „qwerty“, „abc123“ ar panašus tai šis straipsnis skirtas ne jums, tiesiog kai prarasite pašto, žaidimo ar facebook slaptažodį prisiminkite šį straipsnį ir jį perskaitykite, dabar galite neskaityti, nes jame parašytos vienos nesąmonės, nepraktiški ir niekam nereikalingi dalykai. Kuriuos greičiausiai parašė nesaugumo ir paranojos kankinamas žmogus.

Šiame straipsnyje pasidalinsiu savo (ir ne tik) patirtimi apie slaptažodžius ir taisykles kuriomis reiktų naudotis kuriant ir naudojant slaptažodžius.

 

1. Slaptažodžių sudėtingumas

Aš asmeniškai naudoju tris slaptažodžių saugumo lygius:

a) man visiškai nerūpi nesaugumas. Dažnai pasitaiko tokių atvejų jog ieškant informacijos googlėj patenki į forumą kuriame norint parsisiųsti priedą prisegtą prie temos reikia prisiregistruoti, tam puslapy aš registruosiuosi ir prisijungsiu tik 1 kartą, todėl man visiškai nerūpi jo saugumas. Net jei ir kažkas jį atspės man nuo to nei šilta nei šalta, be to aš registravausi su laikinu el. pašto adresu tai ir su manim ta paskyra niekaip nesusiejama. Tokiems atvejam naudoju 1 paprastą slaptažodį, visur tą patį ir niekad nekeičiu.

b) man ne tas pats. Aš turiu milijoną paskyrų, forumai, irc kanalai, etc. Tos paskyros kaip ir nelabai vertingos, bet nelabai norėtųsi jas prarast. Praradus, didelės žalos nepatirčiau. Tokiems atvejam naudoju nesaugius, bet nevisai paprastus slaptažodžius. Paprastai juos sudaro bent 8 simboliai, be spec. ženklų, tik raidės ir skaičiai. Visom paskyrom naudoju 1 iš 5 slaptažodžių. Kadangi paskyrų yra labai daug, kartais pamirštu kur kuris slaptažodis, tai blogiausiu atveju suvedu visus 5 ir vistiek prisijungiu 🙂

c) strateginiai objektai. Yra ir trečia grupė kurioje naudoju tikrus (saugius) slaptažodžius. Praradus šias paskyras gali būt problemų, todėl čia naudojami unikalūs bent 12 simbolių slaptažodžiai su visais leidžiamais simboliais, didžiosiomis/mažosiomis raidėmis. Vienas iš tokių objektų yra el. paštas. Piktavaliui pavogus jo slaptažodį jis ne vien perskaitys jūsų laiškus, bet gaus priėjimą prie visų jūsų paskyrų. Todėl čia jau reikia rimto slaptažodžio.

 

2. Slaptažodžio kūrimas

Savaime aišku geriausią slaptažodį gali sugalvot mašina, ji tikrai panaudos visas būtinas ir nebūtinas taisykles. Problema su tokiu slaptažodžiu yra tame jog jį be galo sunku prisiminti. Galima sugalvoti ir savo algoritmą pagal kurį sudarinėsite savo slaptažodį. Pvz. „langas“, „laikrodis“, „spausdintuvas“, etc. nėra sunku įsiminti, nes aš tuos daiktus matau sėdėdamas prie kompiuterio ir nepamiršiu, nes jie visada po ranka (akim). Tokie slaptažodžiai visiškai nesaugūs ir piktavaliui turbūt prireiktų kelių sekundžių ar minučių jį atspėti („bruteforce“).

Dėkui dievui, žmogus turi fantaziją ir tuos slaptažodžius galima užrašyti taip jog jie pataptų saugūs. Pavyzdinis algoritmas: „langas“->balses pakeičiam į atitinkamus skaičius->„l4ng4s“->pirmą raidę užrašom du kartus->„ll4ng4s“->pirmą ir paskutinę raidę užrašom didžiosiomis->„Ll4ng4S“->pridedam nereikalingų simbolių->„…Ll4ng4S,,,“

 

„langas“ – atspėti slaptažodžiui prireiktų 0.002970344 sekundės

„…Ll4ng4S,,,“ – atspėti slaptažodžiui prireiktų 51 milijono metų

 

Prisiminti tiek vieną tiek kitą reikia panašiai pastangų, bet piktavaliui tai nežmoniškai didelis skirtumas.

Jei atmintis prasta tai sugalvokit kuo ilgesnį slaptažodį, kad ir iš nesusijusių žodžių „lempaspausdintuvas“ nebus saugus, bet vistiek geriau nei „123456“.

 

3. Slaptažodžio tvirtumo tikrinimas

Svetainėse:

http://howsecureismypassword.net/

http://www.passwordmeter.com/

galima patikrinti slaptažodžio tvirtumą ir sužinoti ko reikia norint sudaryti sudėtingą slaptažodį.

Dauguma puslapių savo duomenų bazėse naudotojų slaptažodžius saugo užšifruotus md5 algoritmu. Jei piktavalis nulauš tą svetainę jis gaus maždaug tokį tekstą: „f447b20a7fcbf53a5d5be013ea0b15af“ svetainės administracija galvoja jog tai neįveikiamas algoritmas ir niekas jo nesugebės panaudoti, bet md5 jau senai nėra saugus. Nueinam pvz. į http://www.md5decrypter.co.uk/ ir gaunam atsakymą „f447b20a7fcbf53a5d5be013ea0b15af MD5($pass.LF): 123456“ ir dabar žinom jog slaptažodis, saugotas duomenų bazėje, yra „123456“ galima jungtis prie tos paskyros.

Googlėj yra begalė svetainių kurios leidžia iššifruoti tekstą užšifruotą md5, dėl visa ko galima užšifruoti savo slaptažodį ir patikrinti ar piktavaliai gavę md5 maišos sumą sužinotų jūsų slaptažodį.

 

4. Slaptažodžio saugojimas

Aš laikausi filosofijos: jei nenori viešint – neužrašyk, neįkelk į kompą, nefotografuok, etc. viskas kas patampa skaitmeniniu formatu anksčiau ar vėliau tampa vieša. Versle turbūt ant kas antro pc monitoriaus užklijuotas lapukas su tekstu „user – antanas; pass – 123456“… be komentarų.

Kitas dalykas programos kurios saugoja slaptažodžius – akmc.lt administracija jas naudoja ir vargo nemato, bet mano nuomone tai visiška kvailystė, dalintis savo slaptažodžiais su kažkuo kažkur, naudojant nemokamą programą, kurios autoriai neturi jokių teisinių įsipareigojimų tinkamai saugot tuos duomenis. Be to kad ir kokia saugi būtų programa visas anksčiau ar vėliau nulaužia, tai klausimas ar jūsų slaptažodžiai taps vieši net nekyla, man tik kyla klausimas „kada jie taps vieši?“. Man ne 60 metų ir tikrai galiu be didelio vargo prisiminti 10-15 slaptažodžių. Jei jau moku 2 užsienio kalbas tai 15 žodžių tikrai ne bėda. Juk visi prisimenam savo vardą, pavardę, kur gyvenam, telefono numerį tai tikrai daugiau informacijos nei visi reikalingi slaptažodžiai.

Kitas dalykas, kad ir koks sudėtingas būtų slaptažodis vien tik jis jūsų neapsaugos, tai yra tik raktas nuo durų. Jei jūsų durys šarvuotos, vagis lips pro langą. Taipogi tas pats vagis gali palaukti laiptinėje kol jūs atrakinsite duris. (turiu omeny duomenų perdavimą ne ssl, phishing attack, slaptažodžio užsirašymą, etc.)

 

5. Keli patarimai

  • Visose paskyrose nustatykite slaptažodžio atkūrimo funkcijas, ten parašykit naudojamą el. pašto adresą, taipogi parašykit tokį klausimą į kurį galėtumėt atsakyti tik jūs.
  • Slaptažodžio galiojimas yra ne ilgiau nei 1 metai. Slaptažodį reiktų keisti bent kartą per metus. Toli gražu ne visi puslapiai suteikia galimybę peržiūrėt su kokiu IP jungiamasi prie jūsų paskyros, niekad nežinai kas naudojasi ta paskyra.
  • Tokiose programose kaip thunderbird ar panašiose tenka saugot slaptažodžius, aš naudoju 3 email ir tikrai neturiu laiko eit į kiekvieno puslapy ir prisijunginėt, tai tokioj programoj reik uždėt kaip įmanoma sudėtingesnį „master“ slaptažodį.
  • Niekad niekam neduokit savo slaptažodžio, net jei ir klausia tikras puslapio adminas tiesiog iškeikit jį, pasakykit jog jis asilas ir nesugeba padaryt atsarginės duomenų kopijos, pasiųskit kuo toliau ir tuo baikit pokalbį.
  • Niekad nepalikit numatytųjų slaptažodžių, jei registruojantis jums davė slaptažodį tai iškart pakeiskit jį, turbūt visi maršrutizatoriai turi numatytąjį slaptažodį, nepalikit jo – pakeiskit.
  • Prieš vedant slaptažodį pažiūrėkit į svetainės, kurioje vedate slaptažodį, adresą. Ar tikrai nei viena raidė neparašyta blogai? Ar vietoj adreso nerodo 92.145.666.666?

6. Statistika

Paėmiau pavogtą(ne aš pavogiau ir išvis aš jos neturiu ir niekad neturėjau) duomenų bazę, lietuviško puslapio, kur nariai lietuviai. Ir pabandžiau iššifruot pirmus 100 slaptažodžių, statistika bauginanti – 51 iš 100 buvo iššifruoti. O jei iš tų 51 bent pusė naudoja tą patį slaptažodį visur…

Slaptažodžiai kuriuos pavyko iššifruoti:

„dbd495“, „ubauba“, „863998707“, „zigmantas“, „19921225“, „zxcvbnm123“, „coolman“, „karolukas“, „karolukas“, „m4zylis“, „drz400“, „710000“, „skaiste“, „pokemon“, „pokemon“, „77777778“, „*123456“, „golfas“, „anomis“, „05051201“, „vikute“, „antaniukas“, „kaunas“, „nanukas“, „manatas“, „18735224“, „lakunas“, „710203“, „manchester“, „adelija1“, „pathfinder94“, „19771211“, „velnias“, „862427985“, „viktoras“, „viktoras“, „viktoras“, „19930108“, „xfailas“, „mantasx“, „olka2003“, „zxcvbnm,./“, „diesel“, „motors“, „manirtau“, „ignasjatas“, „kaktusas“, „subwoofer“, „alibaba“, „milagra“, „19911227“.

Nematai čia savo slaptažodžio? Nekuriem personažam galima net ir paskambinti 😀

 

P. S. šis straipsnis gimė akmc.lt forume temoje apie keepas, aplankykit ir perskaitysit straipsnius kurie dar nėra straipsniai, o tik atskirų žmonių atskiros mintys 🙂

Prie šio straipsnio fundamentaliomis mintimis prisidėjo minde (akmc.lt pilkasis kardinolas).

 

Paprastai ir suprantamai apie saugumą internete galima paskaityti www.esaugumas.lt

 

GUI kūrimas su gtkdialog

1 Comment

 1

2

Ne visos programos turi GUI, taipogi kartais ir bash scenarijuj prireikia GUI. „Nupiešti“ GUI galima su keliomis programomis „Zenity“, „Xdialog“, „Kdialog“ ir „gtkdialog“. Čia aprašysiu kas ir kaip su „gtkdialog“.

Šiai programai reikia parašyti konfigūraciją ir ji tada atvaizduoja tą konfigūraciją. Pvz.

export MAIN_DIALOG=’

<vbox><text>

<label>Hello world</label>

</text>

</vbox>

ir tada atvaizduojam:

gtkdialog –program=MAIN_DIALOG

 

Esmė:

<vbox> – vertikali dėžutė į kurią dedami elementai

<hbox> – horizontali dėžutė į kurią dedami elementai

<frame Pavadinimas> – rėmelis į kurį dedami elementai

hierarchija:

vbox turi būt aukščiau už hbox

<vbox><hbox>elementai</hbox></vbox>

Kadangi nesitaikau į kreivarankius, taikausi į tuos kurie žino kas yra dokumentacija ir kaip naudotis google tai perdaug nesiplėsiu.

Funkcijas kurios bus naudojamos dialoge reikia eksportuoti:

export -f funkcija

nes kitaip dialogas jos neras.

Mygtukas:

<button>

<label>Pavadinimas</label>

<action>rm $anksčiau_pasirinktas_failas</action>

</button>

pašalina failą kuris buvo pasirinktas anksčiau.

Ir išvis tokie dalykai proza neaprašomi, čia reikia skaityt kodą 🙂 Vienam lange atsivėrus dokumentaciją, o kitam mano pateiktą kodą manau viskas taps aišku.

Trumpai apie mano GUI, padariau programai „find“ paprastą GUI. Paspaudus ant „…“ pasirenkam aplanką kuriame ieškosime, žemiau esančiame langelyje įrašome paieškos žodį (jei reikia ir likusią find komandos dalį) ir spaudžiam „ieškoti“, žemiau esančiame sąraše atsiranda surastų failų sąrašas. Paspaudžiam ant kurio nors elemento ir paspaudžiam „trinti“, tas failas ištrinamas. Viskas paprasta:)

Kita kortelė. Paleidžiant programą įkelia failo „$HOME/logas.txt“ turiny, galima kažką įrašyti ir paspaudus „išsaugoti“ pakeitimai bus įrašyti į failą.

Iš esmės tas dialogas beprasmis ir nenaudingas, bet kaip straipsnio iliustracijai tai gerai 😀

 

#!/bin/bash
function surast {
find $1 -iname "$2"
}
export -f surast
export MAIN_DIALOG='
<window title="AKMC.lt">
<vbox>
<notebook labels="Paieška|Žurnalas">
<frame Paieška>
<vbox>
<hbox>
<text>
<label>Aplankas kuriame ieškoti:</label>
</text>
<entry accept="directory">
<label>Pasirinkite aplanką</label>
<variable>FILE_DIRECTORY</variable>
</entry>
<button>
<input file stock="gtk-open">'$PWD'</input>
<variable>FILE_BROWSE_DIRECTORY</variable>
<action type="fileselect">FILE_DIRECTORY</action>
<label>...</label>
</button>
</hbox>
<hbox>

<text>
<label>Paieškos žodis:</label>
</text>
<entry>
<default>paieškos žodis</default>
<variable>paieskos_zodis</variable>
</entry>
<button>
<input file>/media/media2/einstein.png</input>
<label>Ieškoti</label>
<action>refresh:FAILU_MEDIS</action>
<variable>test</variable>
</button>
</hbox>

<tree>
<label>Failas</label><input>surast "$FILE_DIRECTORY" "$paieskos_zodis"</input>
<height>100</height><width>400</width>
<variable>FAILU_MEDIS</variable>
</tree>
<hbox><button>
<label>Trint</label>
<action>rm $FAILU_MEDIS</action>
<action>refresh:FAILU_MEDIS</action>
</button>
<button>
<label>Atvert su gedit</label>
<action>gedit $FAILU_MEDIS</action>
<action>refresh:FAILU_MEDIS</action>
</button></hbox>
</vbox>
</frame>
<vbox>
<frame Žurnalas><edit>
<input file>'$HOME'/logas.txt</input>
<variable>zurnalo_content</variable>
</edit></frame>
<hbox><button>
<label>Išsaugoti</label>
<action>echo "$zurnalo_content">'$HOME'/logas.txt</action>
<action>refresh:zurnalo_content</action>
</button></hbox>
</vbox>
</notebook>
<hbox>
<button cancel></button>
<button ok></button>
</hbox>
</vbox>
</window>
'
gtkdialog --program=MAIN_DIALOG

Dokumentacija: http://code.google.com/p/gtkdialog/

Pavyzdžiai: http://xpt.sourceforge.net/techdocs/language/gtkdialog/gtkde02-GtkdialogExamples/

 

 

 

Dažniausiai naudojamos komandos

7 Comments

komandos

Atsisiųsti: PDF ODT PNG