Vai Tava parole ir drošībā?

Autors: S. K. (iksandra@inbox.lv)
Kategorija: Drošība

Parole.

Parole ir paredzēta identitātes apliecināšanai, jeb autentifikācijai - mēs ievadām savu lietotāja vārdu un mums vien zināmo paroli. Sistēma pārbauda, vai ievadītā parole ir pareiza un attiecīgi pieņem lēmumu, vai mēs esam tie, par ko uzdodamies.

Šajā rakstā aplūkosim svarīgākās pamatlietas, kas jāievēro web lapas izstrādātājiem, kā arī lietotājiem attiecībā uz autentifikācijas procesa drošību. Turklāt drošības pasākumi attiecas uz abām šīm iesaistītajām pusēm.

Web lapas izstrādātājam jārūpējas ne tikai par pašas lapas drošību, bet jānodrošina arī apmeklētāju privāto datu saglabāšana slepenībā. Attiecībā uz paroles drošību būtu jāievēro sekojoši pamatprincipi:

Datu bāzē paroli nedrīkst glabāt atklātā veidā. Tā vietā jāizmanto vienpusējās šifrēšanas algoritmi (piemēram, md5) un visas paroles jāglabā tikai šifrētā veidā. Tādā gadījumā arī apstākļos, kad kādam ir izdevies ar SQL injekcijām vai kā citādi iegūt datu bāzes saturu, viņš nespēs uzzināt īstās paroles un tās izmantot.

Paroles nedrīkst atklātā veidā parādīties arī citās vietās. Tas attiecas, piemēram, uz lietotāja datu rediģēšanas formām, log failiem.

Jāierobežo pieļaujamais atkārtotu paroles ievadīšanas mēģinājumu skaits. Tas neļaus izmantot dažādas speciālas paroļu minēšanas programmas. Viens no ierobežošanas paņēmieniem ir likt lietotājam ievadīt formas laukā simbolu virkni no blakus esoša attēla. Tas ļaus pārliecināties, ka mums tiešām ir darīšana ar reālu lietotāju, nevis automatizētu rīku, jo automātiski atpazīt un nolasīt attēlā redzamus simbolus, ir pietiekoši sarežģīti.

Papildus drošībai var nodalīt lietotājvārdu, kas tiek izmantots autentifikācijas formā un segvārdu, kas parādīsies publiski, piemēram, zem lietotāja rakstītiem komentāriem utt. Šis drošības pasākums kavē automātisko paroļu minēšanas sistēmu izmantošanu, jo nepieciešams uzzināt ne tikai pašu paroli, bet arī lietotājvārdu, kas rakstāms autentifikācijas formā. Turklāt tas atsevišķos gadījumos pasargā arī lietotājus, kam patīk izmantot paroli tādu pašu kā lietotājvārdu.

Papildus drošībai būtu labi nodrošināt, lai lietotājs nevarētu piereģistrēt paroli, kas sakristu ar lietotājvārdu.

Lietotājam arī jārūpējas par savas paroles drošību. Galvenie pamatprincipi, kas būtu jāievēro:

Neglabāt savas paroles atklātā veidā. It sevišķi kaut kur datora tuvumā. Ja nav pārliecības, ka paroli varēs atcerēties, to var pierakstīt kādā sev vien zināmā vietā. Nu kaut vai telefongrāmatā, tās lappuses apakšā, kurā ir pirmās skolas laika mīlestības telefona numurs.

Neizvēlēties paroli tādu pašu kā lietotājvārds. Un ja web lapa piedāvā tādu iespēju, tad arī izvēlēties publiski redzamo vārdu atšķirīgu no lietotājvārda.

Nelietot viegli uzminamas un vispārzināmas paroles, kā, piemēram, "password", "parole", "1234", "asdf", utt. Nav ieteicams lietot arī savu telefona numuru, dzimšanas datus u.c. datus, ko nav sarežģīti uzzināt gandrīz jebkuram.

Nelietot visur pilnīgi vienādus lietotājvārdus un paroles. Tas galvenokārt saistīts ar apstākli, ka atsevišķu web lapu īpašnieki var glabāt paroles nešifrētā veidā. Līdz ar to pastāv iespēja, ka visas paroles kopā ar lietotājvārdiem var iegūt kāda trešā persona, un nekas neliegs šai personai pārbaudīt, vai, piemēram, portālos inbox.lv, one.lv vai draugiem.lv nav reģistrēts tāds pats lietotājvārds ar atbilstošo paroli.

Mūsdienās aktīvi interneta lietotāji var būt reģistrējušies desmitiem, ja ne simtiem dažādu web lapu, līdz ar to nav iespējams pilnīgi visur piereģistrēt un atcerēties unikālas paroles. Tomēr būtu jāizdomā un jālieto vismaz pāris dažādas paroles.

Pieredzējuši interneta lietotāji diez vai šajā rakstā atrada kaut ko jaunu, tomēr ir vērts arī viņiem lieku reizi pārliecināties, ka vismaz elementāri drošības pasākumi tiek ievēroti, lai saglabātu savu paroli noslēpumā.

Lai pievienotu komentāru, autorizējies!