Паролите са отживелица

В предходния материал стигнахме до извода, че сигурността е процес, а не продукт или състояние. Затова и се твърди, че не можем да си купим или да постигнем някакво ниво на сигурност еднократно. Тя ще си остава цел, която се опитваме да догоним. И ще продължи да бъде без общовалидни параметри или дефиниция.

Най-важното, което трябва да имаме наум, преди да заменим един софтуер, телефон или компютър с друг, е, че не съществува такова устройство или инструмент, който да гарантира абсолютна защита при всички обстоятелства. Когато обмисляте своята стратегия за сигурност, трябва да я разглеждате като система от компоненти, в която не бива да забравяте дори личностните си характеристики, като доверчивост и съобразителност. Не е случайно, че телефонните измамници атакуват именно уязвими хора. Който иска да измъкне нещо от вас, ще опита по най-лесния за него начин, а не по трудния.

Тема на настоящия материал ще бъдат паролите, защото, както се шегуват някои колеги, след 20 години успяхме да възпитаме хората да измислят сложни за запомняне от тях пароли, които се отгатват лесно от компютрите. Всъщност проблемът се изчерпва с едно изречение: паролите са отживелица. Това обаче съвсем не означава, че можем да забравим за тях – уви, все още не.

Проблемът с паролите е, че в ежедневието си ползваме огромен брой онлайн услуги и сме регистрирани в множество сайтове. Достатъчно много, за да е невъзможно да имаме различна парола за всеки от тях и да я сменяме редовно. В същото време много от тези сайтове остаряват, изоставяме ги, дори забравяме за тях. По-лошото е, че те биват изоставени и от хората, които са ги поддържали, с вероятен риск да са били и немарливи или недостатъчно квалифицирани да го правят адекватно. Такива сайтове се превръщат в очевидни жертви на кракерски атаки (лошите, които пробиват сайтове, се наричат кракери, а не хакери; обновете речника си, моля!). Целта на тези атаки е не толкова да пробият някакъв нескопосан сайт, колкото да се измъкнат имена на потребители и техните пароли, за да може същите да се използват за пробиването на акаунти в други сайтове. Понеже е много вероятно същото име и парола да сте използвали и за акаунта си в Gmail например. Така ли е? Замислете се на колко още места използвате същата парола?

А сега си помислете какво ще се случи, ако някой пробие пощата ви в Gmail, особено ако това е основната ви пощенска услуга, както за мнозина е. Освен личната кореспонденция, вероятно там са и паролите ви за много други сайтове и услуги, за които сте се абонирали или регистрирали с този акаунт. Дори и да сте сменили първоначалните пароли, там пристигат писмата за възстановяване на забравени пароли, съответно чрез този механизъм всеки, сдобил се с достъп до вашия имейл, би могъл да се домогне до още една купчина други сайтове, които ползвате. Вероятно сред тях е и електронното ви банкиране…

Какво е нужно да направите като минимум?

Обмислете кои са най-важните платформи, които използвате. Сред тях вероятно ще са електронната ви поща (лична, но и служебна), електронното ви банкиране, други платежни системи (като PayPal, ePay и др.), личният ви сайт, ако имате такъв, социални мрежи, които са важни за вас, и др. Навярно няма да са повече от десетина сайта. Обходете ги един по един и си измислете система – такава, че за никой важен за вас акаунт да нямате обща парола с друг, по-маловажен. Най-добре е по възможност да имате различна парола за всеки сайт от критична важност за вас.

Мениджъри на пароли

За тази цел (понеже има приличен риск да забравите някоя парола) е добра идея да използвате помощник. Това е софтуер, който пази в добре криптирано хранилище всичките ви пароли, като самото то е заключено с главна парола (master password). Вероятно е излишно да казвам, че възможно най-глупавото нещо е да кажете на някого главната си парола или да я ползвате и за нещо друго. Тя трябва да бъде сложна, неочевидна и да не я споделяте с никого. Важно е и да не я забравите, но обикновено ще я ползвате няколко пъти дневно, така че е малко вероятно да не я запомните бързо.

Това хранилище обикновено се държи в сървърен облак (тъй като е сериозно криптирано, рискът да го разбие някой се счита за приемлив), защото, ако стои само на едно място, например на компютъра ви, в случай че дискът ви се повреди или компютърът ви бъде откраднат, ще загубите всичките си пароли. Затова по-добре е да имате синхронизирано копие в мрежата.

Ако използвате такъв софтуер, ще можете да имате наистина различна парола за всеки акаунт и да не се грижите да ги помните. Когато имате нужда от някоя парола, я взимате от мениджъра (повечето от тях предлагат да я попълват автоматично чрез плъгини за браузъра, който използвате – просто трябва да си го инсталирате). Може да синхронизирате хранилището за пароли между всичките си устройства (компютри, смартфони, таблети). Може да имате и споделени пароли със семейството си или колегите. Самите мениджъри предлагат да ви генерират сложни и различни пароли при нова регистрация в сайт или услуга.

Сред популярните мениджъри за пароли са Bitwarden, 1password и LastPass. Но използването на мениджър за пароли разглезва, затова е важно да помните наизуст поне паролата за основния си имейл акаунт, за да можете евентуално да възстановите и други при нужда. Друг риск е да забравите главната си парола и да не успеете да отключите хранилището. Трети риск е да бъде открит пробив и той да компрометира криптографията, с която е заключено хранилището ви – докато авторите на вашия софтуер не вземат мерки, всичките ви пароли ще бъдат уязвими. Поне за тези, които имат достъп до някое копие на вашето хранилище (например облачната услуга, която използвате за съхраняването му).

При всички случаи рисковете, които поемате при използването на мениджър за пароли, са по-приемливи, отколкото да не използвате. За справка, аз към този момент имам 580 акаунта за различни системи и сайтове. Струват ви се много? Повярвайте ми, вашите регистрации също са доста повече, отколкото изобщо предполагате. За 222 от тези акаунти паролите ми не са достатъчно сложни. 260 от акаунтите са с пароли, които съм използвал за повече от една регистрация, а 205 от паролите ми не са променяни в последните три години. Тук трябва да отбележа, че статистиката ми е изкривена от много тестови акаунти на системи, които съм правил или преглеждал за клиенти, пазя ги по исторически причини и голяма част не са валидни. Но все пак цитирам тази статистика, за да покажа сериозността на проблема.

Двуфакторна идентификация

Друго решение за подобряване на сигурността е т.нар. двуфакторна идентификация (на англ. two-factor authentication, или 2FA). Идеята е следната: когато се представяме с потребителско име и парола пред някоя система, тя да поиска от нас да въведем допълнителен код (втори фактор), с който да потвърдим, че сме ние, а не някой друг, който се е домогнал до името и паролата ни. Това се прави най-често по два начина: единият е платформата да изпрати до мобилния ни номер случаен код, който трябва да бъде въведен в дадено поле, а другият е специално приложение или устройство с точен часовник да генерира през около половин минута такива случайни кодове. Така, ако някой се е сдобил с името и паролата ни, ще му е нужно да открадне и телефона ни например, за да влезе от наше име в дадена система. Неудобството за нас като потребители е, че трябва да носим тези устройства със себе си. Но имайки предвид, че не се разделяме с телефоните си, това не е нещо, което би ни затруднило особено.

Популярно приложение за двуфакторна идентификация е Authy – то поддържа всички сайтове, работещи с Google Authenticator, който също е опция, но определено не е за препоръчване по цял куп причини.

Силно препоръчително е използването на двуфакторна идентификация за всички сайтове, които предлагат това, а те стават все повече. Неудобствата са пренебрежими (малко по-бавно и досадно става логването), но плюсовете за личната онлайн сигурност са доста.

Процедурата за активиране е относително лесна и еднотипна, макар и да е възможно различните сайтове да имат свои нюанси в имплементацията ѝ. Обикновено въвеждате мобилния си номер и сканирате регистрационния QR код, а ако ви бъдат предоставени думички или кодове за резервна идентификация, си ги запишете. Или ги добавете в мениджъра си на пароли (там обикновено можете да съхранявате и важни бележки).

Паролите още дълго време ще бъдат около нас и ще са част от механизмите за идентификация и достъп до различни информационни системи, но вече отдавна не са достатъчни. Покупката на лиценз за мениджър на пароли или допълнителните усилия по използването на двуфакторна идентификация са оправдани и при правилна употреба ще вдигнат нивото на личната ви дигитална сигурност. А тя все повече се превръща във фактор, който никак не бива да подценяваме.

Заглавна снимка: Katy Belcher

Всичко от рубриката „Аз, киборгът“