Przez lata tłuczono do głowy biednym użytkownikom, by pod żadnym pozorem nie zapisywali swoich haseł... Chyba trzeba zrewidować ten pogląd. Ja w każdym razie swoje hasła zapisuję. Szczerze mówiąc, to większość swoich haseł nie widuję nawet na oczy...
Zapisz swoje hasła
Nie, nie zapisuję swoich haseł na żółtych karteczkach i nie przyklejam ich pod klawiaturą/laptopem/do monitora. Zapisuję swoje hasła w narzędziu PasswordMinder. Moje hasła chronione są kluczem generowanym na podstawie mojego "hasła głównego", które jest jednym z nielicznych haseł jakie pamiętam. Klucz jest generowany z wykorzystaniem PKCS#5, czas generowania klucza to jakieś 3 sekundy (jestem w stanie tyle zaczekać), co skutecznie utrudnia poszukiwanie wykorzystywanego przeze mnie hasła przez bruteforce. W narzędziu tym mam ponad 40 różnych haseł, z czego większość nawet nie widziałem na oczy. Są one generowane losowo, mają zwykle długość 20 znaków, zawierają duże litery, małe litery, znaki specjalne, cyfry... Narzędzi tego typu jest sporo. Można wspomnieć jeszcze o dwóch: PasswordSafe oraz KeePass. Zasada ich działania jest podobna - wykorzystanie master password (niektóre narzędzia wykorzystują również pliki "kluczy"), szyfrowanie poszczególnych haseł (najlepiej z odzielnym saltem dla każdego rekordu)... Dlaczego używam akurat PasswordMinder? Dlatego że jest wystarczająco dobry. Może nie jest piękny, nie ma ładnych ikonek, a przy pierwszym starcie nieco ociężały (w końcu napisany jest w .NET), ale podoba mi się prosty sposób w jaki mogę "wkleić" hasło w odpowiednie pole. Po prostu ustawiam kursor w polu, w którym należy wpisać hasło, uruchamiam program skrótem klawiaturowym, wpisuję master password, wybieram hasło, które jest mi potrzebne, naciskam enter i... i hasło ładnie wpisuje się w pożądane pole, a program się zamyka. Tak, wiem. Można przechwycić hasło wpisywane w ten sposób, tylko to oznacza, że na moim komputerze musi działać obcy kod. A jeśli działa obcy kod, którego nie chciałem, to znaczy, że to nie jest już mój komputer. Wówczas nie ważne, czy korzystam z wymienonych programów, czy łykam lecytynę na poprawę pamięci, to z chwilą wpisania hasła ktoś obcy może je przechwycić...
Ciekawy opis zasady działania narzędzia PasswordMinder znajduje się tutaj. A tu jest ciekawa dyskusja o zapisywaniu haseł.
...dla każdego systemu. Znaczy się oddzielne hasło do każdego systemu. A dlaczego? Na przykład dlatego. Niezidentyfikowany na razie włamywacz zdołał sforsować zabezpieczenia serwera Szwedzkiego Towarzystwa Komputerowego i przejął hasła oraz
Przesłany: Mar 03, 17:25