Celosten razvoj prilagojenih
informacijskih rešitev

Nahajate se tukaj

Kako si nastaviti varno a hkrati uporabniku prijazno geslo?

Upravljanje z gesli je verjetno ena pomembnejših tem, ki jih bomo v prihodnosti obdelali še bolj podrobno. Zato za enkrat na kratko. Uporabniki, ki si izbirajo enostavna in kratka gesla, predstavljajo velik varnostni hendikep vsakega sistema. Uredniki in avtorji vsebin spletnih strani postajajo tako nemalokrat tarča nepridipravov, ki njihovo lahkomiselnost zlorabljajo. Zakaj, kdaj drugič.

Najprej malo (zelo malo) teorije!

Varnostni strokovnjaki so ugotovili, da so med uporabniki najpopularnejša naslednja, izredno nevarna gesla:

1. 123456

2. password

3. 12345

4. 12345678

5. monkey

6. abc123

7. access

8. 111111
 

Taka gesla predstavljajo izredno resen varnostni hendikep za sistem. Posebej nevarno je dejstvo, da uporabnik uporablja isto geslo na različnih sistemih.

 

Zakaj si uporabniki izbirajo taka gesla?

Ker si jih je lahko zapomniti. Uporabnik vedno izbira med uporabnostjo in varnostjo. Uporabnost je eden največjih razlogov za to. Geslo, ki si ga je težko zapomniti, je pravzaprav zelo neuporabno.

 

Zanimiv sistem (ne)varnih gesel

Uporabniki so si zato izmislili zanimiv sistem, kjer črke zamenjujejo s številkami. Primer Tr0ub4dor&3 (črko O zamenjamo z ničlo, A s štirico itd.)

Problem tega gesla je, da je še vedno kratko. Računalniški sitem lahko tako geslo (28 bitna entropija) ugane v 3 dneh, če ugiba s hitrostjo 1000 poizkusov na sekundo.

To geslo se torej enostavno ugane, a vendarle težko zapomni.

 

Varno geslo je torej dolgo geslo, a kako si izbrati tako, ki si ga tudi enostavno zapomnimo?

Geslo sestavimo iz večih besed. Dober primer bi bil npr. stavek:

mama prihaja iz maribora.

Tako geslo si je zelo lahko zapomniti, računalnik pa potrebuje 550 let da ga ugane. Če niste predsednik ZDA, ste s takim geslom povsem varni.

 

Dodatek

Pri svojem delu večkrat naletim na sisteme, ki poleg slabe, nevarne postavitve shranjujejo gesla v sistemu na način, da so lahko berljiva. Zato bi to priliko izkoristil tudi, da opozorim na v nebo vpijoče značilnosti takih sistemov:

- Posebej je potrebno biti pozoren na proceduro Pozabljeno geslo. Sistem vam pod nobenim pogojem ne sme poslati gesla, ki ste ga pozabili. To namreč pomeni, da je geslo v tekstovni obliki shranjeno v bazo. Vsak hacker, ki vdre v tak sistem, bo tako zelo enostavno prišel do velikega števila gesel. Geslo mora biti v bazi shranjeno kot kriptiran zapis.

- Uporabniški del portala mora biti dostopen samo preko varne https povezave.

- Posebej varovani sistemi imajo dvostopenjsko zaščito, preverjanje IP naslova itd.

Čeprav je veljalo, da pri dobro varovanih sistemih trpi uporabnost (uporabniška izkušnja) pa zadnje raziskave kažejo prav nasprotno. Zelo varovani in posledično uporabniku neprijazni sistemi predstavljajo veliko varnostno luknjo. Praksa je namreč pokazala, da uporabniki najdejo pot naokoli in si tako olajšajo delo, s tem pa povzročijo varnostni hendikep sistema.

Najnovejše raziskave na področju varnosti torej ugotavljajo, da so najbolj varni sistemi praviloma vedno tudi uporabniku prijazni.

 

Avtor: Gregor Grajzar

14.05.2015