Nu stiu daca faptul ca primul meu contact cu Internetul a fost in 1994 ma plaseaza in categoria "internautilor" experimentati sau a mosnegilor demult iesiti din perioada de garantie. Cert este ca unul dintre primele mesaje primite de mine pe email era ceva de genul "Da-mi te rog IP-ul, contul si parola ta ca sa vad si eu cum merg Sun Sparc-urile astea". Chiar daca anterior prin Romania nici macar nu "mirosisem" un computer conectat la Internet cumva mi-a dat prin cap ca n-ar fi tocmai o treaba ok si i-am spus glumetului din tara cateva cuvinte de duh, scrie Adrian Spinei, pe blogul lui.

In timp trebuit sa retin mai multe parole pentru ca aveam acces la din ce in ce mai multe sisteme si aplicatii, marea majoritate expuse direct la Internet. Dar, nu-i asa, Internetul la acea vreme era doar o metoda de comunicare intre institutiile universitare si nu se putea intampla nimic rau. Corect? Corect? Iar pentru ca nu vroiam sa-mi stresez neuronii (ai mei fiind deficitari dupa cum cititorii blogului au observat in mod repetat) memorand parole, metoda mea "infalibila" de protectie la ora respectiva era sa folosesc o singura parola peste tot. Nu stiu daca faptul ca era un sir de caractere mai complex imi da vreo circumstanta atenuanta.

Fast forward spre sfarsitul primei decade din secolul curent cu sumedenie de conturi mai mult sau mai putin folosite la activ. Sigur ca aplicatiile sensibile precum e-banking, VPN si accesul la servere sunt protejate cu tokenuri sau cu chei private dar raman conturi de email, administrare de bloguri, conturi la site-uri de rezervari turistice online, shopping online si evident de cativa ani inevitabilele retele sociale (clasicul trio Twitter, Facebook, LinkedIn plus maruntisuri gen Path folosite o saptamana si apoi abandonate). Un studiu din 2007 sponsorizat de Microsoft a constatat ca utilizatorii au in medie 25 de conturi pentru care folosesc un set de aproximativ 6 parole pe care le partajeaza. Ei bine, anul trecut eu aveam in jur de 100 de conturi pentru care foloseam un numar de "combinatii". Niscaiva cifre si semne de punctuatie inserate dupa reguli simple intr-un set de 4 cuvinte - un mirobolant total de 12-16 parole pe care le puteam reconstitui rapid. Daca ma gandesc bine cuvintele erau binisor alese, de genul "varlavie": un substantiv inventat candva in studentie stand cu niste amici in jurul unui foc de tabara si-al unui recipient de tuica de - evident - Zalau. Aveam 2-3 astfel de cuvinte pentru site-urile mai putin importante, 2-3 pentru celelalte si atunci cand nu-mi aminteam parola roteam regulile pana ma puteam conecta. Infailibil, nu?

Da, infailibil pana prin toamna lui 2011 cand mi s-au spart in rafala Twitter, Facebook urmate de doua bloguri printre care cel pe care-l cititi in acest moment iar eu am inceput sa ma gandesc la celelalte zeci de conturi care ar putea fi compromise daca atacatorii au intrat in posesia parolelor.

Si cand spun asta ma gandesc la numeroasele brese de securitate din ultimii ani, uneori cu expunerea de parole in clar pentru milioane de utilizatori: EHarmony, Gawker Media (retea de bloguri care detine printre altele Lifehacker si Gizmodo), Zappos, Last.fm, RockYou, Blizzard, LinkedIn, forumurile nVidia, Yahoo ba chiar si prestigiosul institut IEEE. Capacul pe ceaun il pun cele 77 de milioane de conturi cu tot cu carduri bancare furate de pe Sony Playstation Network. Nu-i de mirare ca Drobox au observat activitate ilegala crescuta (spam, phishing) pe sistemele lor si au constatat ca sunt conturi cu parolele compromise "din alte surse".

Aveti/aveati cont la vreunul din site-urile de mai sus cu parola refolosita in alta parte? Ganditi-va bine. Ganditi-va si cate alte site-uri au fost poate penetrate si fie n-au aflat nici pana in ziua de azi fie au musamalizat (scandalurile de mai sus fiind majoritatea declansate de fisiere cu conturi gasite "la liber" pe Internet si nu de anchete interne ale acelor servicii). Sa admitem ca astazi cam toti furnizori de servicii fac lucrurile corect si nu pastreaza parola in clar ci o semnatura criptografica a acesteia. Si-acum sa ne uitam la performantele unor sisteme gen Project Erebus care pot trece prin intreg spatiu de parole de 8 caractere in aproximativ 12 ore. Este drept ca asta se intampla pentru algoritmi considerati slabi dpdv criptografic gen NTLM, MD5 sau SHA1 (care totusi toti inca sunt folositi destul de intens) dar "spargerea unei parole" nu este o activitate nici exorbitanta si nici exagerat de lunga.

O singura concluzie am putut trage din toate acestea. Nu imi pot permite sa utilizez parole suficient de scurte sau simple de tinut minte si in plus nu este recomandat sa refolosesc aceeasi parola pe mai multe servicii importante. Si-atunci, care e solutia? Parole diferite pe care un program sa le tina minte pentru mine!

Citeste continuarea articolului si comenteaza pe Netuality.