...dla każdego systemu. Znaczy się oddzielne hasło do każdego systemu. A dlaczego? Na przykład dlatego. Niezidentyfikowany na razie włamywacz zdołał sforsować zabezpieczenia serwera Szwedzkiego Towarzystwa Komputerowego i przejął hasła oraz loginy do kont pocztowych specjalistów należących do organizacji.
I dlatego warto mieć jedno hasło...
Zakładając w dowolnym miejscu konto (bank, konto pocztowe, blog, nasza-klasa...) zostawiamy swoje dane. Tutaj pomijam kompletnie dane osobowe, istotne na w tym wypadku są dwie sprawy:
- login,
- hasło,
O ile unikalność loginu może być pewną przesadą (choć może utrudnić powiązanie jednej danych dotyczących tej samej osoby dostępnych w różnych miejscach), to hasło powinno być unikalne. Dlaczego? Choćby dlatego, że nie wiadomo jak poszczególne systemy przechowują hasła. Czy w formie jawnej, formie zaszyfrowanej (odwracalnie), w postaci skrótu? Jeśli jest to skrót kryptograficzny, to jaki jest to skrót, czy MD5, SHA1, SHA256, czy wykorzystany jest salt... Nie wiadomo kto ma dostęp do danych systemu, do kopii zapasowych tych danych. Ogólnie - nie wiadomo najczęściej nic. Zakładanie kont w różnych miejscach z tymi samymi hasłami można obrazowo porównać do zapisywania tego hasła na karteczce i "gubienia" tej karteczki w różnych miejscach.
Ja jeszcze raz będę gorąco zachęcał do korzystania z długich, złożonych haseł, na przykład takich: $mVaCbErWC#xqGeM. Druga sprawa, do której (ponownie) zachęcam, to zapisywanie swoich haseł, oczywiście w sposób bezpieczny. Na przykład korzystając z programów:
Na schemacie, który umieściłem w pierwszym poście O implementowaniu haseł zaznaczone są dwa data store. Jednym z nich są logi. Po co znalazł się on na schemacie i jaki ma związek z (poprawną) implementacją haseł?Logi są prowadzone po to, by zapewnić rozli
Przesłany: Jul 01, 21:56
Tak, znowu będzie o hasłach. Tym razem o przechowywaniu haseł. A bezpośrednią inspiracją jest (tak, zgadliście) to: Allegro: kontrowersje wokół sposobu przechowywania haseł, ale od razu uprzedzam - na ten temat nie napiszę nic.Krótkie wprowadzenie Na poc
Przesłany: Aug 08, 10:15
Chodzi oczywiście o wyciek danych z Wykop.pl. Piotrek Konieczny już napisał kilka słów na ten temat, więc ja trochę inaczej: a nie mówiłem?! I dlatego warto mieć jedno hasło..., O przechowywaniu haseł, Napiszę to jeszcze raz: użytkowniku, nie masz
Przesłany: Sep 05, 21:58
Ciekawa lektura: Anonymous speaks: the inside story of the HBGary hack. Warto przeczytać i zobaczyć jak wiele "małych" błędów prowadzi do całkiem sporej wtopy. A błędy były proste i typowe: wykorzystanie "autorskiego", podatnego na SQL injection CMS (a
Przesłany: Feb 21, 07:29