Parolele sunt cheile virtuale de la universul nostru digital oferindu-ne acces la conturile de email si de retele sociale, la platformele de home banking sau de streaming, la servicii ca Uber sau Glovo, la datele salvate in cloud si practic la orice aspect din viata noastra din online. Tot parolele reprezinta in acelasi timp si singurul lucru care stau intre datele noastre personale si financiare si persoane mai putin bine intentionate 🙂
Cum poate un hacker sa ne afle parola?
- trimitandu-ne un email de phishing care contine un URL care ne trimite catre o pagina unde suntem solicitati sa introducem informatii sensibile despre identitatea noastra
- folosind tehnici de inginerie sociala prin care hacker-ul pozeaza ca o persoana/entitate de incredere si incearca sa ne convinga sa ii divulgam informatii confidentiale
- infectandu-ne sistemul cu un malware de tip keylogger care inregistreaza tot ceea ce introducem de la tastatura sau care poate face screenshot-uri
- folosind baze de date de credentiale publicate pe Internet care au fost furate in urma unei brese de securitate
- ghicind parola pur si simplu, iar cu 123456 fiind cea mai folosita parola la nivel global in ultimii ani, iar “password” fiind un candidat serios la podium, nicidecum nu ingreunam munca atacatorilor
Ce poate face un hacker cu un set de credentiale pe care a reusit sa le compromita?
- hacker-ul poate sa ne fure identitatea si informatiile personale si sa le vanda pe piata neagra a Internetului (Dark Web) celui care liciteaza mai mult
- hacker-ul poate sa vanda credentialele in sine pentru un anumit cont compromis oferind unei alte persoane acces la serviciile oferite de contul respectiv
- hacker-ul poate incerca sa foloseasca parola ca sa obtina acces la alte conturi care folosesc aceeasi parola
Pana cand vom putea renunta complet la parole si pana cand vom folosi autentificari de tipul passwordless pentru a ne verifica identitatea (Google, Microsoft si Apple lucreaza deja in acest sens la standardul WebAuthn impreuna cu FIDO Alliance) vom depinde si vom folosi in continuare parole. Asa ca va trebui sa facem tot ce ne sta in putere pentru a le securiza cat de bine se poate.
Checklist-ul de mai jos contine 10 recomandari care pot fi folosite pentru a evalua postura de securitate pentru parolele conturilor noastre pe care le folosim la serviciu si acasa:
- Foloseste parole puternice (minim 16 caractere, sau si mai bine expresii de acces – passphrase) si unice pentru fiecare cont in parte, in special pentru cele de homebank, email si pentru retelele sociale.
- Activeaza optiunea de autentificare in doi pasi (2FA) oriunde este posibil acest lucru.
- Foloseste un manager de parole care te va ajuta sa generezi parole puternice si unice pentru fiecare site si cont in parte, usurand procesul de login. Unele managere te pot ajuta si sa verifici daca credentialele actuale au aparut intr-o bresa de securitate.
- Schimba-ti parola de indata ce ai suspiciunea ca a fost compromisa (activitate neobisnuita in cont, incercari de login nerecunoscute, etc.).
- Foloseste doar HTTPS pentru procesul de login si pentru tranzactii online
- Nu da click pe URL-urile din mailuri nesolicitate si nici nu deschide fisierele anexate
- Descarca si instaleaza aplicatii doar din magazinele oficiale si din surse cunoscute (fara Windows download-at de pe torrrente sau Adobe Professional crack-uit).
- Aplica patch-urile de securitate pentru sistemul de operare si programele folosite de indata ce sunt facute disponibile de producator
- Nu te conecta in conturi de pe o retea Wi-Fi publica; daca totusi e musai sa iti accesezi emailul, foloseste un serviciu de VPN care iti va cripta traficul.
- Instaleaza-ti o solutie de endpoint protection/antivirus/antimalware pe sistemul pe care il folosesti, dar si pe dispozitivele tale mobile.
Mihai Dumitrascu, Sr Systems Engineer