Slaptažodžiai

3 Comments

OLYMPUS DIGITAL CAMERA

Slaptažodis – tai žodis ar simbolių kratinys naudojamas tapatybės patvirtinimui, nustatyti ar tai tikrai tas žmogus kuris sakosi esąs.

Jei jūsų slaptažodis „password“, „123456“, „qwerty“, „abc123“ ar panašus tai šis straipsnis skirtas ne jums, tiesiog kai prarasite pašto, žaidimo ar facebook slaptažodį prisiminkite šį straipsnį ir jį perskaitykite, dabar galite neskaityti, nes jame parašytos vienos nesąmonės, nepraktiški ir niekam nereikalingi dalykai. Kuriuos greičiausiai parašė nesaugumo ir paranojos kankinamas žmogus.

Šiame straipsnyje pasidalinsiu savo (ir ne tik) patirtimi apie slaptažodžius ir taisykles kuriomis reiktų naudotis kuriant ir naudojant slaptažodžius.

 

1. Slaptažodžių sudėtingumas

Aš asmeniškai naudoju tris slaptažodžių saugumo lygius:

a) man visiškai nerūpi nesaugumas. Dažnai pasitaiko tokių atvejų jog ieškant informacijos googlėj patenki į forumą kuriame norint parsisiųsti priedą prisegtą prie temos reikia prisiregistruoti, tam puslapy aš registruosiuosi ir prisijungsiu tik 1 kartą, todėl man visiškai nerūpi jo saugumas. Net jei ir kažkas jį atspės man nuo to nei šilta nei šalta, be to aš registravausi su laikinu el. pašto adresu tai ir su manim ta paskyra niekaip nesusiejama. Tokiems atvejam naudoju 1 paprastą slaptažodį, visur tą patį ir niekad nekeičiu.

b) man ne tas pats. Aš turiu milijoną paskyrų, forumai, irc kanalai, etc. Tos paskyros kaip ir nelabai vertingos, bet nelabai norėtųsi jas prarast. Praradus, didelės žalos nepatirčiau. Tokiems atvejam naudoju nesaugius, bet nevisai paprastus slaptažodžius. Paprastai juos sudaro bent 8 simboliai, be spec. ženklų, tik raidės ir skaičiai. Visom paskyrom naudoju 1 iš 5 slaptažodžių. Kadangi paskyrų yra labai daug, kartais pamirštu kur kuris slaptažodis, tai blogiausiu atveju suvedu visus 5 ir vistiek prisijungiu 🙂

c) strateginiai objektai. Yra ir trečia grupė kurioje naudoju tikrus (saugius) slaptažodžius. Praradus šias paskyras gali būt problemų, todėl čia naudojami unikalūs bent 12 simbolių slaptažodžiai su visais leidžiamais simboliais, didžiosiomis/mažosiomis raidėmis. Vienas iš tokių objektų yra el. paštas. Piktavaliui pavogus jo slaptažodį jis ne vien perskaitys jūsų laiškus, bet gaus priėjimą prie visų jūsų paskyrų. Todėl čia jau reikia rimto slaptažodžio.

 

2. Slaptažodžio kūrimas

Savaime aišku geriausią slaptažodį gali sugalvot mašina, ji tikrai panaudos visas būtinas ir nebūtinas taisykles. Problema su tokiu slaptažodžiu yra tame jog jį be galo sunku prisiminti. Galima sugalvoti ir savo algoritmą pagal kurį sudarinėsite savo slaptažodį. Pvz. „langas“, „laikrodis“, „spausdintuvas“, etc. nėra sunku įsiminti, nes aš tuos daiktus matau sėdėdamas prie kompiuterio ir nepamiršiu, nes jie visada po ranka (akim). Tokie slaptažodžiai visiškai nesaugūs ir piktavaliui turbūt prireiktų kelių sekundžių ar minučių jį atspėti („bruteforce“).

Dėkui dievui, žmogus turi fantaziją ir tuos slaptažodžius galima užrašyti taip jog jie pataptų saugūs. Pavyzdinis algoritmas: „langas“->balses pakeičiam į atitinkamus skaičius->„l4ng4s“->pirmą raidę užrašom du kartus->„ll4ng4s“->pirmą ir paskutinę raidę užrašom didžiosiomis->„Ll4ng4S“->pridedam nereikalingų simbolių->„…Ll4ng4S,,,“

 

„langas“ – atspėti slaptažodžiui prireiktų 0.002970344 sekundės

„…Ll4ng4S,,,“ – atspėti slaptažodžiui prireiktų 51 milijono metų

 

Prisiminti tiek vieną tiek kitą reikia panašiai pastangų, bet piktavaliui tai nežmoniškai didelis skirtumas.

Jei atmintis prasta tai sugalvokit kuo ilgesnį slaptažodį, kad ir iš nesusijusių žodžių „lempaspausdintuvas“ nebus saugus, bet vistiek geriau nei „123456“.

 

3. Slaptažodžio tvirtumo tikrinimas

Svetainėse:

http://howsecureismypassword.net/

http://www.passwordmeter.com/

galima patikrinti slaptažodžio tvirtumą ir sužinoti ko reikia norint sudaryti sudėtingą slaptažodį.

Dauguma puslapių savo duomenų bazėse naudotojų slaptažodžius saugo užšifruotus md5 algoritmu. Jei piktavalis nulauš tą svetainę jis gaus maždaug tokį tekstą: „f447b20a7fcbf53a5d5be013ea0b15af“ svetainės administracija galvoja jog tai neįveikiamas algoritmas ir niekas jo nesugebės panaudoti, bet md5 jau senai nėra saugus. Nueinam pvz. į http://www.md5decrypter.co.uk/ ir gaunam atsakymą „f447b20a7fcbf53a5d5be013ea0b15af MD5($pass.LF): 123456“ ir dabar žinom jog slaptažodis, saugotas duomenų bazėje, yra „123456“ galima jungtis prie tos paskyros.

Googlėj yra begalė svetainių kurios leidžia iššifruoti tekstą užšifruotą md5, dėl visa ko galima užšifruoti savo slaptažodį ir patikrinti ar piktavaliai gavę md5 maišos sumą sužinotų jūsų slaptažodį.

 

4. Slaptažodžio saugojimas

Aš laikausi filosofijos: jei nenori viešint – neužrašyk, neįkelk į kompą, nefotografuok, etc. viskas kas patampa skaitmeniniu formatu anksčiau ar vėliau tampa vieša. Versle turbūt ant kas antro pc monitoriaus užklijuotas lapukas su tekstu „user – antanas; pass – 123456“… be komentarų.

Kitas dalykas programos kurios saugoja slaptažodžius – akmc.lt administracija jas naudoja ir vargo nemato, bet mano nuomone tai visiška kvailystė, dalintis savo slaptažodžiais su kažkuo kažkur, naudojant nemokamą programą, kurios autoriai neturi jokių teisinių įsipareigojimų tinkamai saugot tuos duomenis. Be to kad ir kokia saugi būtų programa visas anksčiau ar vėliau nulaužia, tai klausimas ar jūsų slaptažodžiai taps vieši net nekyla, man tik kyla klausimas „kada jie taps vieši?“. Man ne 60 metų ir tikrai galiu be didelio vargo prisiminti 10-15 slaptažodžių. Jei jau moku 2 užsienio kalbas tai 15 žodžių tikrai ne bėda. Juk visi prisimenam savo vardą, pavardę, kur gyvenam, telefono numerį tai tikrai daugiau informacijos nei visi reikalingi slaptažodžiai.

Kitas dalykas, kad ir koks sudėtingas būtų slaptažodis vien tik jis jūsų neapsaugos, tai yra tik raktas nuo durų. Jei jūsų durys šarvuotos, vagis lips pro langą. Taipogi tas pats vagis gali palaukti laiptinėje kol jūs atrakinsite duris. (turiu omeny duomenų perdavimą ne ssl, phishing attack, slaptažodžio užsirašymą, etc.)

 

5. Keli patarimai

  • Visose paskyrose nustatykite slaptažodžio atkūrimo funkcijas, ten parašykit naudojamą el. pašto adresą, taipogi parašykit tokį klausimą į kurį galėtumėt atsakyti tik jūs.
  • Slaptažodžio galiojimas yra ne ilgiau nei 1 metai. Slaptažodį reiktų keisti bent kartą per metus. Toli gražu ne visi puslapiai suteikia galimybę peržiūrėt su kokiu IP jungiamasi prie jūsų paskyros, niekad nežinai kas naudojasi ta paskyra.
  • Tokiose programose kaip thunderbird ar panašiose tenka saugot slaptažodžius, aš naudoju 3 email ir tikrai neturiu laiko eit į kiekvieno puslapy ir prisijunginėt, tai tokioj programoj reik uždėt kaip įmanoma sudėtingesnį „master“ slaptažodį.
  • Niekad niekam neduokit savo slaptažodžio, net jei ir klausia tikras puslapio adminas tiesiog iškeikit jį, pasakykit jog jis asilas ir nesugeba padaryt atsarginės duomenų kopijos, pasiųskit kuo toliau ir tuo baikit pokalbį.
  • Niekad nepalikit numatytųjų slaptažodžių, jei registruojantis jums davė slaptažodį tai iškart pakeiskit jį, turbūt visi maršrutizatoriai turi numatytąjį slaptažodį, nepalikit jo – pakeiskit.
  • Prieš vedant slaptažodį pažiūrėkit į svetainės, kurioje vedate slaptažodį, adresą. Ar tikrai nei viena raidė neparašyta blogai? Ar vietoj adreso nerodo 92.145.666.666?

6. Statistika

Paėmiau pavogtą(ne aš pavogiau ir išvis aš jos neturiu ir niekad neturėjau) duomenų bazę, lietuviško puslapio, kur nariai lietuviai. Ir pabandžiau iššifruot pirmus 100 slaptažodžių, statistika bauginanti – 51 iš 100 buvo iššifruoti. O jei iš tų 51 bent pusė naudoja tą patį slaptažodį visur…

Slaptažodžiai kuriuos pavyko iššifruoti:

„dbd495“, „ubauba“, „863998707“, „zigmantas“, „19921225“, „zxcvbnm123“, „coolman“, „karolukas“, „karolukas“, „m4zylis“, „drz400“, „710000“, „skaiste“, „pokemon“, „pokemon“, „77777778“, „*123456“, „golfas“, „anomis“, „05051201“, „vikute“, „antaniukas“, „kaunas“, „nanukas“, „manatas“, „18735224“, „lakunas“, „710203“, „manchester“, „adelija1“, „pathfinder94“, „19771211“, „velnias“, „862427985“, „viktoras“, „viktoras“, „viktoras“, „19930108“, „xfailas“, „mantasx“, „olka2003“, „zxcvbnm,./“, „diesel“, „motors“, „manirtau“, „ignasjatas“, „kaktusas“, „subwoofer“, „alibaba“, „milagra“, „19911227“.

Nematai čia savo slaptažodžio? Nekuriem personažam galima net ir paskambinti 😀

 

P. S. šis straipsnis gimė akmc.lt forume temoje apie keepas, aplankykit ir perskaitysit straipsnius kurie dar nėra straipsniai, o tik atskirų žmonių atskiros mintys 🙂

Prie šio straipsnio fundamentaliomis mintimis prisidėjo minde (akmc.lt pilkasis kardinolas).

 

Paprastai ir suprantamai apie saugumą internete galima paskaityti www.esaugumas.lt

 

Prisijungimas su(ir su) USB laikmena

No Comments

Linux suteikia galimybę kaip papildomą saugumo priemonę naudoti usb laikmeną(tiek usb flash, tiek telefoną arba beleką kitą kas jungiasi prie usb).

Reikalingi paketai:
pam(yra oficialiose saugyklose)
pam_usb (yra AUR, arba galim imt tiesiai iš autoriaus: https://github.com/aluzzardi/pam_usb.git )

Naudojimas:

sudo pamusb-conf --add-device mano_transcend_usb

„mano_transcend_usb“ yra įrenginio vardas, ten galim rašyt beleką, svarbiausia, kad reikalui esant būtų galim žinot kuri tai laikmena.

Please select the device you wish to add.
* Using "JetFlash Transcend 2GB (4BJT7400)" (only option)

Which volume would you like to use for storing data ?
* Using "/dev/sdd1 (UUID: C5xx-xxxx)" (only option)

Name		: mano_transcend_usb
Vendor		: JetFlash
Model		: Transcend 2GB
Serial		: 4Bxxxxxx
UUID		: C5xx-xxxx

Save to /etc/pamusb.conf ?
[Y/n] 

Spaudžiam „Y“, konfigūracija išsaugoma.

sudo pamusb-conf --add-user gymka

„gymka“ yra naudotojo vardas su kuriuo bus susieta ta usb laikmena. Jei ta laikmena susieta su keliais naudotojais – neveiks nei su vienu.

Naudojimas LXDM darbastalio tvarkyklėje:
Faile /etc/pam.d/lxdm

#%PAM-1.0
auth            requisite       pam_nologin.so
auth            required        pam_env.so
auth            required        pam_unix.so nullok
auth            optional        pam_mount.so
account         required        pam_unix.so
session         required        pam_limits.so
session         required        pam_unix.so
password        required        pam_unix.so
password        optional        pam_mount.so
-session optional pam_systemd.so

prieš

auth            required        pam_unix.so nullok

įrašom

auth      sufficient   pam_usb.so

gaunam

#%PAM-1.0
auth            requisite       pam_nologin.so
auth            required        pam_env.so
auth            sufficient      pam_usb.so
auth            required        pam_unix.so nullok
auth            optional        pam_mount.so
account         required        pam_unix.so
session         required        pam_limits.so
session         required        pam_unix.so
password        required        pam_unix.so
password        optional        pam_mount.so
-session optional pam_systemd.so

Dabar prijungus usb laikmeną(būtent tą), prisijungimo ekrane galima nevesti slaptažodžio ir būsite prijungti. Jei laikmena neprijungta teks įvesti slaptažodį. Jei eilutę „auth sufficient pam_usb.so“ pakeisim į „auth required pam_usb.so“ vien slaptažodžio nepakaks, norint prisijungti turės būti prijungta usb laikmena, o tada dar ir įvestas slaptažodis.

/etc/pam.d/lxdm failą skaito ir jo konfigūracija naudojasi tik LXDM, GDM naudoja failą /etc/pam.d/gdm. Kitos programos naudoja kitus failus, pvz. norint naudot usb prisijungimą su „su“ reikia tą eilutę įrašyti į failą /etc/pam.d/su ir taip toliau. Norint naudoti visur reikia paleisti mažduag tokią komandą:

sed -i 's/(auth.*pam_unix.so.*)/auth  sufficient  pam_usb.son1/' /etc/pam.d/*

ir bus pakeista visuose failuose, bus galima naudoti visoje sistemoje.

Galima susieti veiksmus su usb prijungimu/atjungimu, bet čia jau kita istorija…

Šaltinis: autoriaus svetainė https://github.com/aluzzardi/pam_usb/wiki/Getting-Started

Leisti LXDM prisijungti be slaptažodžio

No Comments

Situacija: yra „svečio“ paskyra, savaime aišku ji turi būt be slaptažodžio, bet LXDM neleidžia prisijungt jei nėra slaptažodžio.
Sprendimas:
faile „/etc/pam.d/lxdm“ eilutę
auth required pam_unix.so
pakeičiam į
auth required pam_unix.so nullok

Jei reikia pašalinam slaptažodį:

# passwd -d svecias

Šaltinis