Przez lata tłuczono do głowy biednym użytkownikom, by pod żadnym pozorem nie zapisywali swoich haseł... Chyba trzeba zrewidować ten pogląd. Ja w każdym razie swoje hasła zapisuję. Szczerze mówiąc, to większość swoich haseł nie widuję nawet na oczy...
Czwartek, maj 25. 2006
Zapisz swoje hasła
Nie, nie zapisuję swoich haseł na żółtych karteczkach i nie przyklejam ich pod klawiaturą/laptopem/do monitora. Zapisuję swoje hasła w narzędziu PasswordMinder. Moje hasła chronione są kluczem generowanym na podstawie mojego "hasła głównego", które jest jednym z nielicznych haseł jakie pamiętam. Klucz jest generowany z wykorzystaniem PKCS#5, czas generowania klucza to jakieś 3 sekundy (jestem w stanie tyle zaczekać), co skutecznie utrudnia poszukiwanie wykorzystywanego przeze mnie hasła przez bruteforce. W narzędziu tym mam ponad 40 różnych haseł, z czego większość nawet nie widziałem na oczy. Są one generowane losowo, mają zwykle długość 20 znaków, zawierają duże litery, małe litery, znaki specjalne, cyfry... Narzędzi tego typu jest sporo. Można wspomnieć jeszcze o dwóch: PasswordSafe oraz KeePass. Zasada ich działania jest podobna - wykorzystanie master password (niektóre narzędzia wykorzystują również pliki "kluczy"), szyfrowanie poszczególnych haseł (najlepiej z odzielnym saltem dla każdego rekordu)... Dlaczego używam akurat PasswordMinder? Dlatego że jest wystarczająco dobry. Może nie jest piękny, nie ma ładnych ikonek, a przy pierwszym starcie nieco ociężały (w końcu napisany jest w .NET), ale podoba mi się prosty sposób w jaki mogę "wkleić" hasło w odpowiednie pole. Po prostu ustawiam kursor w polu, w którym należy wpisać hasło, uruchamiam program skrótem klawiaturowym, wpisuję master password, wybieram hasło, które jest mi potrzebne, naciskam enter i... i hasło ładnie wpisuje się w pożądane pole, a program się zamyka. Tak, wiem. Można przechwycić hasło wpisywane w ten sposób, tylko to oznacza, że na moim komputerze musi działać obcy kod. A jeśli działa obcy kod, którego nie chciałem, to znaczy, że to nie jest już mój komputer. Wówczas nie ważne, czy korzystam z wymienonych programów, czy łykam lecytynę na poprawę pamięci, to z chwilą wpisania hasła ktoś obcy może je przechwycić...
Ciekawy opis zasady działania narzędzia PasswordMinder znajduje się tutaj. A tu jest ciekawa dyskusja o zapisywaniu haseł.
Zobacz też
- (Prawie) każde szyfrowanie można złamać (piątek, 5 marzec 2010)
- Phishing na PKO BP (sobota, 21 czerwiec 2008)
- Iptables na "poważny" firewall? (środa, 14 czerwiec 2006)
- Tunele IPSec w Windows (niedziela, 4 czerwiec 2006)
- Podszyjmy się pod Radio Maryja (poniedziałek, 22 maj 2006)
- Jak nie siekierą, to IE (środa, 17 maj 2006)
- Następny wpis: Windows Vista będzie miało ASLR.
- Poprzedni wpis: Gdzie my żyjemy???
...dla każdego systemu. Znaczy się oddzielne hasło do każdego systemu. A dlaczego? Na przykład dlatego. Niezidentyfikowany na razie włamywacz zdołał sforsować zabezpieczenia serwera Szwedzkiego Towarzystwa Komputerowego i przejął hasła oraz
Przesłany: Mar 03, 17:25