10 съвета за сигурни пароли

[ru-boy]

http://news.idg.bg/?call=USE~newsmsg...t=&idgbgcat=90

------------


[size=16px]10 съвета за сигурни пароли[/size]

Паролата все още е най-разпространеният начин за защита на системата, а през последните месеци много се спори по общоприетите правила за нейния избор. Ето 10 осъвременени съвета как да защитите компютъра и мрежата от неоторизиран достъп...

1) Паролата не трябва да се записва на хартия
Ако потребителите имат нужда да си записват паролите, значи системата е прекалено сложна, а следователно и неефективна. Първото правило е баланс между надеждност и ефективност.

2) Не оставяйте паролите по подразбиране
Много хакерски атаки са били успешни, защото е оставена паролата по подразбиране на някой сървър.

3) Трябва да се искат колкото може по-малко пароли
Ако на служителите в компанията се налага да помнят 10 различни пароли - от такива, които пазят наистина важна информация до такива, които на практика не са необходими, те няма да могат да работят ефективно и най-вероятно ще си запишат паролите, излагайки важната информация на риск. Преценете кои системи и приложения реално имат нужда от защита с парола.

4) Паролите трябва да се сменят периодично
Колко често да се сменят отново е въпрос на баланс между сигурност и удобство - ако служителите трябва да запомнят новите пароли всяка седмица, те вероятно ще започнат да си записват текущата парола. По-дълъг период - например 90 дни, а не стандартните 30 - ще стимулира използването на по-сложни за запомняне пароли.

5) Новите пароли трябва да са нови
Когато потребителят сменя паролата си, тя не трябва да е вариация на старата. Пароли като RandomWORD1, RandomWORD2, RandomWORD3 и т.н. са лесни за отгатване.

6) Не използвайте очевидни неща
Паролата трябва да е нещо по-сложно от една дума. Имена, адреси и други данни за потребителя, които могат лесно да се намерят, не трябва да се използват в една парола.

7) Паролата трябва да е дълга... но не прекалено дълга
Парола, съдържаща минимум 8 символа, които са малки и големи букви, както и цифри, е едно добро начало. Ако обаче се изисква прекалено дълга парола, потребителите на системата стават мързеливи относно измислянето й и използват неща от рода на ABCDEFG123456789.
Минимален и максимален лимит обаче стимулират креативност. Една добра практика е използването на фраза вместо дума. mYd0g1sCALLEDf1d0 със сигурност е много по-надеждно от простото F1do

8) Автоматизирайте смяната на паролата
Процесът по смяна на паролите на потребителите трябва да е автоматизиран. Не разчитайте персоналът да помни кога трябва да си смени паролата, каква парола вече са използвали през миналата година и кои думи не бива да се ползват.

9) Обучение
Уверете се, че политиката относно паролите е вписана в договора на служителя и че всеки служител я разбира. Ако всичко е направено както трябва, единствената ви грижа ще е служителите да не споделят паролата си с никой и да не я записват никъде. И най-важното е да не се използват едни и същи пароли във и извън корпорацията.

10) Поглед в бъдещето
Накрая, имайте предвид съвременните технологии, които вероятно ще заменят паролите - биометричната идентификация и двустепенната автентификация. Паролите са се доказали като несигурни и изложените съвети са само за тези, които не могат да използват нещо по-надеждно - засега.

[stekyman]

Към написаното по-горе бих добавил едно мое мнение вече писано другаде:

Предполагам сте чували за понятието мнемоника или мнемотехника. Можете да погледнете в коя да е енциклопедия. Най-бързо става в Уикипедия, цитирам:
"Мнемониката е изкуство и техника за запаметяване (мнемотехника); съвкупност от прийоми, обезпечаващи облекченото запомняне на максимален обем информация чрез създаване на изкуствени асоциации.
Името мнемоника произлиза от древногръцката богинята на паметта Мнемозина."

Е, аз използвам обикновено този метод за да си създам пароли, които се помнят лесно и достатъчно добре отговарят според мен на това, което се препоръчва в статията преведена от Daemon и от предния ми пост в темата. Ще се опитам да ви дам примери:
Цяла България знае фразите "Само Левски!" , "Само ЦСКА!", "Долу ЦСКА!" и пр. Да напишем:
samolevski - пише се сравнително бързо едновременно с двете ръце. И да модифицираме:
s@molevski - да, ама това е просто - да, спор няма, но да продължим:
s2m0levsk1
s2m0l3vsk1 - това вече мисля е добре, а? Ако го помните като комбинация от букви и цифри - трудничко ще ви е май, но на базата на фразата, от която тръгнахме, мисля че няма.
Ами това - как ви се струва: s2m0l3vsk1d0lycsk@ - май ще свърши работа!

Разбира се не е нужно да тръгвате от фраза, която знаят всички, а от фраза, която знаете вие, или пък и много други, но пък която по-рядко се използва, например:
Майстор Тричко знае всичко , която може да се модифицира до:
m21st0r34kozn23vsi4k0
Надявам се, че ме разбрахте добре! smile.gif worshippy.gif

[BerkStock]

Когато ми се налага да сложа парола някъде, ползвам Quick Password Generator v1.2. Генерира от 4- до 20-символни пароли с възможност за настройка на предпочитанията - с или без специални символи, с или без цифри (или само букви) и т.н.

[Pat]

Когато ми се налага да сложа парола някъде, ползвам Quick Password Generator v1.2. Генерира от 4- до 20-символни пароли с възможност за настройка на предпочитанията - с или без специални символи, с или без цифри (или само букви) и т.н.

Акато ти се наложи да я запомниш какво правиш?

[BerkStock]

Акато ти се наложи да я запомниш какво правиш?

Ми как - ползвам 2-3 пароли като цяло, които смесвам по различен начин и си правя комбинации от тях. Когато мога да разделя паролата на три части от по три символа например, запомнянето на комбинациите е лесно.

[ru-boy]

Един познат си лепи листче с паролите на монитора, обаче листчето съдържа само половината парола. Примерно на листа пише Ф7тР5Д49 и той добавя BaBaQga преди или след паролата.

Ф7тР5Д49BaBaQga
BaBaQgaФ7тР5Д49

Другия начин за написване на дълга и сложна парола е като се запомни някакво изречение и се махнат гласните букви след което може да се поукраси с големи и малки букви и специални символи. Примерно:

"Куче лочи суроватка а до него поп тулуп, тупа лупа кратка схватка, попа лочи суроватка." ще стане-
"кчлчсрвткднгпптлптплпкртксхвткпплчсрвтк" или по-сложно "кЧлЧсрвТкднгпПтлптПлпкртксхвТкпплчСрвтк" и т.н.

Предполагам сте схванали идеята, макар и примерите да не са от най-добрите.

[Lukan]

Аз като слагам пароли слагам думи по неправилен начин така както се изговарят, а не както се пишат дори с правописна грешка, като еднта буква е малка следващата голяма, следва малка и така, за по-голяма трудност слагам отзад и специален символ, може и някъде по средата.

[zlatev]

Пример:
M0qtY parolY n1ko1 ne q znae

Можете да си измислите колкото си искате такива изречения

Не знам защо се пренебрегва ролята на интервала в паролите?!

[dark]

защото не винги е позволен, а е глупаво да са ти различни стандартите на паролите...

[zlatev]

защото не винги е позволен, а е глупаво да са ти различни стандартите на паролите...

Къде не е позволен?

[superfly]

В ICQ например

[zlatev]

В ICQ например

То ICQ-то и парола над 8 символа не дава, ако става въпрос...

[ru-boy]

Къде не е позволен?

ъъъ ... почти навсякъде, където става дума за парола

[Pat]

ъъъ ... почти навсякъде, където става дума за парола

E...чак пък.... честно казано, рядко съм попадал на места където не приемат интервала като символ.
уйндоса, офиса, уинрар, уинзип, truecrypt,.....и още доста които съм ползвал, позволяват.

[ru-boy]

Възможно е, просто аз по навик никога не слагам интервал, а в най-лошия случай го замествам с "_" долно тире.
Само да напомня, че парола с интервал лесно се разбива. :-)))