ZRP
Tuca Zbarcea & Asociatii

Pe scurt despre parole sigure. Sfaturile unui specialist în securitate IT de la SingleCase

02 Mai 2018   |   Stefan Dumitru

Pentru oamenii obișnuiți riscul îl reprezintă partajarea datelor personale cu terțe părți, însă pentru avocați riscurile sunt mult mai mar

Sursa: Photo credits: Pixabay

 
 
Parolele dvs. au 16 caractere și includ cifre și semne de punctuație? Utilizați câte o parolă diferită pentru fiecare cont online, conform recomandărilor experților de securitate IT?

Biz
Lawyer publica periodic, in parteneriat cu SingleCase, articole in folosul caselor de avocatura, bazate pe experienta din CEE a partenerului nostru. Azi, un material interesant și util despre modul în care se construiește o parolă sigură.

În cazul în care nu respectați aceste condiții, să știți că nu sunteți singurii – majoritatea oamenilor care utilizează internetul, nu folosesc parole sigure. Pe de altă parte, pentru oamenii obișnuiți riscul îl reprezintă partajarea datelor personale cu terțe părți, însă pentru avocați riscurile sunt mult mai mari.


Jan Drozd este specialist în securitate IT și lucrează la SingleCase, asigurându-se că toate funcționalitățile de securitate funcționează așa cum au fost proiectate. Împreună cu el am creat o lista de recomandări care odată implementate pot reduce drastic riscul de a pierde contrulul asupra conturilor dvs. online.

Plecând de la recomandările de reguli ideale făcute de Jan, am căutat principiul de bază al fiecărei recomandări și am detaliat-o pe înțelesul tuturor. La finalul articolului vă vom recomanda un sistem de management al parolelor aplicabil avocaților și nu numai.

1) Cum trebuie să arate o parolă sigură


Jan: “Lungimea recomandată pentru parole este de 32 de caractere, conține litere mari și litere mici, cifre și semne de punctuație.”

Luând în considerare volumul mare de informații de care ne lovim zilnic, nu pare verosimilă memorarea unei parole de 32 de caractere. Gândiți-vă la următoarele: avem nevoie de maxim 9 încercări pentru ghicirea unei parole de o cifră (de la 1 la 9). Dacă mai adăugăm o cifră, avem nevoie de 99 de încercări. Cu cât adăugăm mai multe cifre, litere și semne de punctuație, șansele ca parolă noastră să fie ghicită se reduc considerabil.

2) Cum să construim o parolă sigură


Jan: “Parola nu trebuie să fie un singur cuvânt din dicționar, nu trebuie să conțină numele sau porecla utilizatorului sau membrilor familiei, numele firmei, zile de naștere sau alte informații ce pot fi cunoscute de terți. Cu cât o parolă are mai puțină logică cu atât este mai puțin probabil să fie dedusă.”

Deși am clarificat că o parolă de 32 de caractere este aproape imposibil de reținut, aceasta reprezintă o apărare bună împotrivă unui atac cibernetic denumit “brute force” (forță brută). Această tehnică este utilizată de hackeri astfel: aceștia utilizează un software care introduce automat cuvinte și combinații foarte frecvent întâlnite. Analizând baze de date ale unor astfel de soft-uri putem să vedem o probabilitate foarte mare de apariție a cuvântului “parola” (sau “password”). Pe locul doi este “123456”. În prima sută de variante găsim prenume, combinații de numere precum “121212”, câteva cuvinte frecvent utilizate în limbă română, etc. Aceste soft-uri încearcă automat astfel de cuvinte sau combinații simple de cifre pentru că au șansele cele mai mari de reușită.



Hackerii maximizează potențialul de success al acestor soft-uri care folosesc tehnică “brute force” introducând câteva cuvinte cheie pe bază informațiilor publice existențe pe internet (ex: pe rețele de socializare, în registre publice accesibile online, etc.). Astfel, dacă se dorește accesarea unui cont deținut de un Bogdan născut în 1981, o parolă de tipul “bogdanel81” nu va fi aproape deloc sigură.

3) Câte parole să folosesc


Jan: “Trebuie utilizate parole diferite pentru fiecare cont online.”

 

Probabil că este deja clar că urmărirea întocmai a recomandărilor făcute de Jan ar fi un demers foarte dificil pentru utilizatorul de rând. Memorarea unori multitudini de parole de 32 de caractere nefiind o variantă fezabilă în mod obișnuit, dar vă vom detalia mai jos o variantă alternativă utilizând un “password manager”.

Totuși, această recomandare vine în urmă unei situații foarte periculoase: pierderea mai multor conturi online sau poate chiar a întregii identități online a utilizatorului.

În această situație există 2 scenarii. Primul scenariu se bazează pe utilizarea unei singure parole. Un hacker fură o lista de parole de la un serviciu online la care aveți cont și care nu și-a securizat corespunzător sistemul, apoi încearcă aceeași parolă sau variații ale acestei parole și în alte servicii online. Al doilea scenariu se bazează pierderea conturilor în lanț sau domino. Astfel, dacă un hacker ajunge să aibă acces la contul dvs. de email, fie o să găsească date de acces pentru alte conturi prin emailurile dvs., fie va solicita de la servicii terțe online resetarea parolei care de cele mai multe ori este confirmată tot prin email.

 

Cum sunt furate parolele?

Este necesar să clarificăm faptul că dacă hackerii fură o bază de date de parole de la un serviciu, acest lucru nu înseamnă în mod obligatoriu că hackerii au acces la parolele stocate în acea bază de date. Serviciile online care au politici minime de securitate nu vor putea accesa această bază de date, comunicarea securizată și criptată cu această fiind făcută direct de către utilizator prin parola pe care o deține. Nu toate paginile de pe internet unde utilizatorii își pot face conturi își criptează bazele de date și deși criptarea poate să limiteze activitatea hackerilor, unele servicii încă folosesc o metodă de criptare veche denumită MD5, metodă ce poate fi ușor descifrata.

În practică, acest lucru înseamnă ca parolele criptate ajung în așa numitele “rainbow tables”. Acestea sunt baze de date de parole criptate care sunt vândute și cumpărate de hackeri între ei. Parolele utilizate frecvent, așa cum am arătat într-un punct precedent, sunt foarte periculoase în această situație, dar chiar și parolele corect construite pot fi vulnerabile dacă a fost folosită într-un serviciu care nu a securizat parolele și poate fi găsită de către hackeri. Pentru a elimină acest risc, noi la SingleCase folosim și recomandăm tuturor să folosească o tehnică denumită “salting”-adăugare de “sare”, în acest caz “sarea” fiind un set de caractere unice serviciului care folosește aceasta metodă.


4) Cum pot fi urmate aceste recomandări?

Jan: “Stiu că este aproape imposibil să reții 20 de parole diferite, fiecare cu lungimea de 32 de caractere. Ce pot recomanda este să nu vă salvați niciodată parolele în browser, acesta având vulnerabilitățile proprii și să utilizați un manager de parole (“password manager”), ideal fiind unul care nu salvează date în browser.”

Pe piață există o multitudine de soluții de management de parole (“password management”). În cazul în care doriți să utilizați o astfel de soluție, noi recomandăm una dintre: KeePass, LastPass sau 1Password

În cazul în care nu doriți să utilizați un manager de parole, va putem sumariza recomandările de mai sus în câțiva pași simpli plecând de la împărțirea pe 3 categorii de importanță a serviciilor online:

  • 1. Datele cele mai sensibile: internet banking, SingleCase sau alt sistem de management online care permite și accesul la fișiere, email, Facebook. Aici este importantă utilizarea unei singure parole complexe pentru fiecare serviciu. Dacă este posibil, activați verificarea în 2 etape (fie utilizând un token pentru generare de cod, fie primind un cod pe telefon prin SMS).

  • 2. Al doilea tip de parole sunt pentru serviciile pe care le utilizați dar nu sunt vitale pentru activitatea de zi cu zi: LinkedIn, Twitter, Instagram, forumuri, etc. Aici vă puteți gândi la asocieri de cuvinte care au sens în legătură cu serviciul respectiv online: pentru Instagram “aicisunt@multepoze”, pentru LinkedIn “curriculumvitae$online”, etc.

  • 3. A treia categorie este reprezentată de servicii a căror securitate nu vă afectează. De cele mai multe ori acestea sunt fie concursuri, tombole sau jocuri unde vi se cer date pentru crearea unui utilizator, dar probabil că veți utiliza doar de câteva ori acel serviciu online. Este surprinzător cât de mulți oameni se înregistrează cu adresă lor principală de email și folosesc aceeași parola ca cea de la email. Pentru astfel de situații puteți utiliza o singură parolă care să nu aibă nicio legătură cu parolele de la punctele de mai sus.

De asemenea, nu recomandăm scrierea parolelor și stocarea notiței respective undeva accesibil, cum ar fi pe monitor. La fel, evitați utilizarea așa numitelor întrebări de securitate; aflarea informațiilor care ar răspunde la acestea întrebări poate fi de multe ori mult mai ușoară decât ghicirea unei parole proaste.

În concluzie

  •     Nu utilizați aceeași parolă peste tot.
  •     Creați parole robuste (lungi și complexe).
  •     Dacă nu utilizați un serviciu de management de parole, atunci măcar împărțiți serviciile în funcție de importanța lor și utilizați parole corespunzătoare pentru ele.Utilizați verificare în 2 pași dar evitați întrebările de securitate.




Dezvoltatorul de soluții informatice SingleCase
, din Cehia, a intrat pe piața locală cu un soft complet de management al activității firmelor de avocatură. Împreună cu fondul 2050.VENTURES, echipa locală SingleCase se ocupă de product-market fit și ajustări adaptate pentru particularități locale, întâlnindu-se și discutând cu avocați cu privire la nevoile lor.



Despre planurile
SingleCase pe piața locală puteți afla mai multe din interviul acordat de Pavel Krkoška, CEO, publicației noastre.






 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


     

    Ascunde Reclama
     
     

    POSTEAZA UN COMENTARIU


    Nume *
    Email (nu va fi publicat) *
    Comentariu *
    Cod de securitate*







    * campuri obligatorii


    Articol 225 / 11089
     

    Ascunde Reclama
     
     
     
    BREAKING NEWS
    ESENTIAL
    Palatul Mogoșoaia rămâne în proprietatea Municipiului București. Un nou succes de anvergură al avocaților NNDKP
    „Noutăţi în dreptul Uniunii Europene ediţia a V-a”. Concluziile conferinţei organizate de STOICA & Asociaţii
    Țuca Zbârcea & Asociații se așteaptă ca solicitările privind asistența juridică legată de GDPR să continue și după luna mai. Ciprian Timofte, Managing Associate: Există o percepție cvasi-generală că, pentru a fi conform cu GDPR, ar fi suficient să te „acoperi” cu hârtii și proceduri. Total fals!
    Regulamentul General pentru Protectia Datelor: În spatele scenei, alături de avocații Bondoc & Asociații
    Rodica Manea devine al optulea partener local la CMS România. Gabriel Sidere (Managing Partner): Creșterea susținută pe care o înregistrăm în biroul din București are nevoie de noi lideri, ca Rodica
    Succes NNDKP într-o procedură de arbitru de urgență pe rolul CCIR
    Concentrația de minți formidabile, gândirea laterală și analiza strategică complexă, câteva din ingredientele performanței PeliFilip. Cătălin Alexandru, Partener: Litigiile sunt ca un joc de șah. Clienții se bucură să descopere că suntem cu mai multe mutări în fața adversarului
    Penaliștii de la Mareș | Danilescu | Mareș în asociere cu Dan Lupașcu au sesizat CCR în ”Dosarul Mineriadei”, în care îl apără pe Mugurel Florescu. Admiterea excepției ar avea efecte importante asupra modului de rezolvare a fondului cauzei
    Reff & Asociații asigură trei tipuri de servicii pentru implementarea prevederilor GDPR. Echipa de zece avocați lucrează atât pentru societăți locale, cât și multinaționale, fiind implicată în ultimul an și în proiecte multijurisdicționale
    Septimiu Stoica, Of Counsel Dentons: Pe piața de capital, cele mai frecvente solicitări de consultanță și asistență vin din zona ofertelor publice, fie că este vorba de finanțare, listare, răscumpărare sau ofertă publică obligatorie. Majoritatea proiectelor în care echipa Dentons s-a implicat au fost transfrontaliere
    LegiTeam: Societatea Civilă De Avocaţi Zamfirescu Racoţi & Partners recrutează avocați definitivi pentru departamentul Consultanță
    LegiTeam: Voicu & Filipescu is looking for lawyers
     
    Citeste pe SeeNews Digital Network
    • BizBanker

    • BizLeader

        in curand...
    • SeeNews

      in curand...