S strokovnjaki, ki se ukvarjajo z varnostjo pri elektronskem poslovanju, nisem v najboljših odnosih. Večinoma imam občutek, da po eni strani pretiravajo z uporabo najnovejših super varnih rešitev po drugi strani pa ne naredijo dovolj za trivialne zadeve, ki krajo podatkov vsej tehnologiji navkljub dejansko olajšajo. Saj ne, da ne bi dovolj opozarjali na to, kako je potrebno varovati gesla, kako jih je potrebno izbirati, menjati, …. , ampak, če že vedo, kakšni smo uporabniki, potem bi pač morali temu primerno vložiti več časa in energije v to, da začnemo dejansko sami skrbeti za varnost, namesto da se igrajo z dragimi igračami.
Ja, še to, nimam se za strokovnjaka za varnost in če se bo kateremu med vami zdelo, da je tole napisano preveč poljudno, se zagotovo z njim ne bom spuščal v razpravo. Moj namen je, da vam pokažem, da mora za varnost dejansko skrbeti vsak sam.
Pred leti, ampak res pred precej leti, še v prejšnjem stoletju, sem bil na razgovoru pri direktorju slovenske banke, kateri je moje podjetje Gambit trade postavljalo zaščito njihovega omrežja. Prenosi podatkov so se takrat merili še v kB/s, cene opreme pa v deset tisočih današnjih evrov. Po podpisu pogodbe sva se zapletla v krajši pogovor o Ljubljani in mimogrede pogledala skozi okno. Spodaj sem opazil telefonsko omarico katere vrata so bila na široko odprta. V trenutku me je prešinilo, da tam skozi potekajo tudi bančne linije. Poskrbeli smo za varnost na koncu linije, vmes pa je bila izpostavljena morebitnim napadalcem. Čez nekaj dni je bila z novimi vrati in ključavnico varnost zagotovljena.
Vemo, da nas ključavnice naših domov ne morejo zaščititi pred tatovi, ki so se odločili, da vlomijo v naš dom. Tudi matematično dejstvo, da že kodiranje gesel s 128 bitnim ključem omogoča neverjetno kompleksnost z 2 na 126.1 potenco kombinacij, zadošča zgolj za lažni občutek varnosti. Res je, da bi za razkritje kode moral zmogljiv računalnik delati toliko in toliko let, dni, …. , ampak: zamislite si, da je vaše geslo dolgo le ena črko. Koliko poskusov potrebujem za vdor? Največ 25. Z dvema črkama 625, s štirimi črkami nekaj več kot 390 tisoč. Tu se bom ustavil. Večina mojih znancev ima štirimestna gesla. Tako kot na starih ključavnicah za kolesa. Preprost program jih razbije v desetinki sekunde. Sam uporabljam vsaj 8 mestna gesla, kombinacijo številk, znakov, … in se počutim varno. Oziroma: sem se počutil varno. Pred nekaj dnevi sem izgubil geslo mojega poštnega nabiralnika, katerega bi mi ponudnik te storitve vrnil po pošti po daljšem preverjanju moje identitete. Hmm. Nisem imel časa. Deset dni je zame tisočletje.
Prijatelj mi pošlje odgovor:
daj probaj tole, link za download je: http://securityxploded.com/download-file.php?id=8521
Naložim, poženem in v trenutku se mi na ekranu izpišejo gesla vseh mojih poštnih predalov na mojem računalniku. Program me sploh ni nič vprašal. Samo gumb sem pritisnil. Enostavno je poiskal vsa gesla na mojem računalniku, ki sem jih celo jaz videl samo kot ********* in jih dekodiral ter prikazal kot tekst. Lepo urejeno, v vsaki vrstici eno uporabniško ime in pripadajoče geslo. Tudi štirinajst mestno geslo.
Toliko o tem, kako varni so naši podatki, če recimo pozabimo računalnik vklopljen na mizi. V manj kot minuti lahko s tem programom kdorkoli prebere naša uporabniška imena in gesla.
Ponovno sem obiskal stran ponudnika tega brezplačnega programa in našel vrsto drugih podobnih programov, katerih nisem preizkusil. Raje ne vem, da res delajo:
Moje navodilo:
• vsakokrat, ko zapustite računalnik, uporabo preprečite z uporabniškim imenom in geslom, če ga že ne izklopite
• za vsako aplikacijo uporabljajte svoje geslo
• gesla naj ne bodo slovenske, angleške ali katerekoli druge besede, temveč neka čudna kombinacija, ki nikomur v tem vesolju ne pomeni nič
• gesla naj bodo čim daljša
• nikoli se ne zanašajte na strokovnjake, ki skrbijo za varnost vašega informacijskega sistema
Kako si vse to zapomniti in kam shraniti, da bo varno, pa tudi jaz ne vem.
Make sure you enter the * required information where indicated. Comments are moderated – and rel="nofollow" is in use. Please no link dropping, no keywords or domains as names; do not spam, and do not advertise!
Copyright 2024 Aljoša Domijan
gregor Says: June 2, 2014 at 11:50 am
očitno ta gesla niso zakriptirana. sicer bi program potreboval dalj časa za dekodiranje. lahko da jih samo poišče na računalniku. kar je isti problem, če nekdo vdre v sistem.
tudi uporabniško geslo za windows se lahko s pomočjo mavričnih tabel dobi zelo hitro.
torej če se računalnik pušča prižgan in zaklenjen je obvezna enkripcija celotnega diskovnega pogona. sicer bo orhpcrack hitro opravil z njim.
glede pomnjenja različnih dolgih gesel pa je najbolje uporabiti kak program kot je npr keepass, kjer z enim geslom odklenemo vsa gesla. pa vse varnostne nastavitve vklopit v njem in dobro glavno geslo izbrat pa bo.
pa ne windows poganjat. Tails ali Liberte za tiste z malo več paranoje. Kali ali Backbox za tiste ki želijo sprožat paranojo pri drugih… 😛
Eva Says: February 22, 2015 at 10:47 am
Dober program za Mac za shranjevanje gesel, ki tudi izgleda precej varno, je Dashlane
Roken Says: February 24, 2015 at 12:57 pm
Khmmm… tale link v tekstu…
Moj antivirus je znorel in blokiral prenos. A je preverejno OK, ali je že tudi tu kakšne škrat vtaknil svoj grdi nos?
Aljoša Says: February 24, 2015 at 1:14 pm
še vedno je vse tako kot je bilo.