Home > Linux, Sigurnost > Čuvanje passworda

Čuvanje passworda

Prva i najčešća greška webmastera je nepravilno i nesigurno čuvanje passworda. Passwordi su Vaša zadnja linija obrane od treće, ne baš uvijek prijateljski raspoložene strane.

Password ne smije:

  • sadržavati imena Vaše djece, kućnih ljubimaca, prijatelja,…
  • sadržavati imena likova iz filmova, serija, stripova….
  • sadržavati niti jedan dio riječi na bilo kojem jeziku
  • sadržavati Vaš JMBG, godinu ili datum rođenja i sl.
  • nikako ne biti isti kao username
  • biti isti za sve, svaki dio kojeg štitite passwordom, npr email account, ftp account,… mora imati drukčiji password

Password mora:

  • imati bar 8 znamenki, sastavljenih od slova brojeva i specijalnih znakova
  • biti često mijenjan
  • biti sakriven od druge strane, a u slučaju da Vam se učini da bi teoretski netko mogao doći do passworda, promijenite ga odmah, bez iznimaka

Što znači sljedeće, loš password je npr:

  • ivan1234
  • 1234
  • 0000
  • password
  • 15021971

Dobar password je npr:

  • kjgb)(k7%$5K

Isto tako je bitno kako ih čuvati, naime loše je imati papirić sa passwordima zaljepljen na rub monitora.

  • Passworde čuvati u password manageru, npr, Personal Vault, Revelation, ili neki drugi, naime najgore je passworde ponovo pretipkavati, ili imati u tekstualnom fileu na desktopu, jar ako bilo tko sjedne za računalo, ima dostup do svega.
  • Računalo držati čistim od virusa i spyware-a, često u njima se nalaze tzv. keylogeri koji prate što tipkate na tipkovnici i šalju “kući” sve sto Vi tipkate i radite, na taj je način vrlo lako shvatiti da se spajate na ftp, ili cpanel, iduća riječ koja je slična domeni kada se pise na način: ftp://ftp.domena.com je vjerojatno username, prva iduća je vjerojatno password. To što je password skriven od Vaših očiju zvjezdicama kada ga utipkavate, računalo jako dobro zna što tipkate, a isto tako i keyloger. Čak bih preporučio i koristenje sigurnijih OS-ova od Windows, tipa Linux, FreeBSD, MacOSX, naime isti su puno otporniji na viruse i spyware. Bez obzira što se ovaj način dobivanja passworda u prvi mah čini kao SF, spyware software je u današnje vrijeme postao iznimno softiciran, a ovaj put do Vašeg passworda je najčešći.
  • Nakon što Vam provider pošalje password za cpanel, ftp, mail, bilo što, ODMAH ga promijenite i pohranite u password manager, email putuje u plain textu, vrlo je lako “snifanjem” mrežnog prometa dobiti sadržaj Vaseg emaila a username i password su tada vrlo vidljivi, te isto tako postoji opasnost da će stići u krive ruke.
  • Tzv. “Social Engineering” je najbolji način kako dobiti nečiji password. To nije ništa novo, koristi se već desetljećima. Ne dajte se nagovoriti dati password nikome, naime, ljudi se daju “preveslati” vrlo lako, npr, izmisljena situacija: “Dobar dan ovdje podzeće Plava Obrva, izvolite!” – “Dobar dan, ovdje Plus Hosting korisnička podrška, dobili smo dojavu da ponekad imate problema sa spamom na Vasim emailovima, pošto radimo na na novom revolucionarnom sustavu antispam zaštite, postvio bih Vam par pitanja.” – “Da, može, uistinu imamo problema sa spamom.” – “Ok, na koji Vam email account dolazi najviše spama?” – “Najviše nam dolazi na info@plavaobrva.hr” – “Ok, imate li taj email izložen na web stranici?” – “Neznam, znate ja sam samo tajnica, no pošto niti gazda o tome nezna ništa, ja sam im morala sve emailove namjestiti kako sam god znala, a sada se gazda na mene ljuti što mu dolaze emailovi u kojima se reklamira Viagra i sl.” – “Ok, sada ćemo pogledati dali su Vaše antispam postavke optimalne i dali je sve dobro namješteno” – “Odlično, joj baš Vam hvala, ugodno ste me iznenadili, to mi je bio jedan od najvećih problema, znate, nikako da gazdi objasnim da nisam ja kriva što mu šalju ono za Viagru” – “Nema problema gospođo, sada ćemo Vam sve to podesiti, trebao bih samo username i password za Vaš cpanel.” – “Ok, evo, samo da nađem…..evo ga…..pišete?” Ne moram Vam niti pominjati da u ovom slučaju, ovo uopće nije bila korisnička podrška, što se moglo dogoditi nakon toga, probajte zamisliti sami . Čak i ako morate dati prisupne podatke nekome tko Vam mora nešto iz nekog razloga negdje na vašem siteu ili računalu podesiti, instalirati ili slično. Nakon što Vam to odradi, ODMAH promijenite password, bez iznimaka, uvijek.

Za sigurnost Vaših podataka ste odgovorni isključivo Vi. Passworde čuvajte ispravno i redovito ih mijenjajte, kompromitiranje podataka se ne dešava nekom drugom, desiti će se upravo Vama ako potencijalnom napadaču ostavite vrata otvorena.

  1. August 31st, 2009 at 08:05 | #1

    Osobno koristim KeePassX password manager, baza je kriptirana i ima inačice za linux i win platforme. Zadovoljan sam njime. Što se tiče generiranja passworda, uz autorove napomene, preporučio bih i ‘dice’ metodu kao vrlo efikasnu i kojom se generiraju snažne, ali lako pamtljive zaporke. Vrlo dobar članak, dovoljno detaljan, pohvale autoru!

  1. No trackbacks yet.