Slo-Tech - Kot kaže, nekatere slovenske banke uvajajo nove standarde na področju informacijske varnosti. Konkretno, na področju gesel.

Geslo je osnovni in najpogosteje uporabljan zaščitni mehanizem, zato morajo biti gesla praviloma dovolj kompleksna in dovolj dolga, da zagotavljajo želeni nivo varnosti. Težava pri geslih je, da si je kompleksna gesla težko zapomniti, zato pri oblikovanju gesel trčimo ob dilemo ali si želimo večjo varnost ali pa enostavnejšo uporabo. Vsekakor je pri geslih pomembno, da morajo biti čim daljša in čim bolj kompleksna (mešanica črk in številk, po možnosti tudi mešanica velikih in malih črk ter številk in "posebnih" znakov). Prekratka gesla je namreč mogoče razbiti z metodo grobe sile (angl. brute force attack – gre za ugibanje vseh možnih kombinacij črk in številk) ali pa napada s slovarjem (angl. dictionary attack – gre za ugibanje gesel na podlagi besed iz slovarja).

Seveda pa navedeno velja zgolj za pomembna gesla. Za geslo, ki ga uporabimo za prijavo na neko...

Slashdot - Odlično nadaljevanje današnje novice o za več razredov večji ranljivosti gesel pri napadu z močnimi grafičnimi procesorji je analiza ukradenih gesel pri napadu na Sony. Ker so več kot milijon gesel hranili v tekstovni obliki, so gesla odprta na vpogled vsakomur, ki ukrade bazo podatkov. Analiza pokaže, da so nič hudega sluteči uporabniki izbirali šibka gesla.

Analizirali so dolžino gesel, uporabljene vrste znakov (male in velike črke, številke, ločila, posebne znake), slovarskost in unikatnost. Ugotovili so, da smo ljudje še vedno leni, kar se tiče pomnjenja gesel. Velika večina (93 odstotkov) je imela od šest do deset znakov, polovica gesel pa je bilo krajših od osem znakov. Prav tako ima polovica gesel le male črke, nekaj več pa jih ima še...

PC Pro - Vse od prihoda programljivih grafičnih procesorjev (GPGPU) poslušamo, da so uporabni za reševanje problemov, za katere so centralni procesorji prepočasni. Že pred tremi leti so se začeli pojavljati superračunalniki, ki izkoriščajo tudi moč grafičnih procesorjev, opazne pohitritve pa z GPGPU dosežemo tudi na namiznih računalnikih. Eno izmed početij, ki jih opazno pospešijo, je razbijanje gesel.

Jon Honeyball s PC Pro je uporabil grafično kartico Radeon 5770 in brezplačni program ighashgpu za razbijanje gesel z grobo silo (brute-force) z GPU-jem in Cain & Abel za uporabo CPU-ja. Ugotovil je, da je prijavno geslo za NTLM, ki sestoji iz šestih znakov (male in velike črke ter številke), moč zlomiti v vsega štirih sekundah na grafičnem procesorju, medtem ko CPU porabi poldrugo uro. Jasno, kompleksnost problema...

The Wall Street Journal - Vsakokrat, ko ukradejo kakšno veliko bazo podatkov, se prej ali slej na internetu pojavijo analize gesel. Katero geslo je najpogostejše, kakšne napake delajo uporabniki pri izboru gesel, koliko so ta predvidljiva in podobno, so klasični izsledki. Žalostno je, da ostajajo več ali manj enaki. In če bi pomislili, da so uporabniki Gawkerja nekolikanj tehnološko bolje osveščeni, bi se grdo zmotili. Njihova gesla so prav tako predvidljiva kot drugod.

The Wall Street Journal je objavil analizo 188.279 gesel, ki so jih uspeli dešifrirati in analizirati. Vodilno je še vedno geslo 123456, ki se pojavi več kot 3000-krat. Sledijo password, 12345678, lifehack, qwerty, abc123, 111111 in monkey. Nekaj izbranih gesel je tipičnih za stran, v tem primeru...

Infosec.si - Gorazd Žagar je na svojem blogu Infosec.si tokrat objavil zanimiv prispevek o geslih, ki jih za različne internetne storitve izbiramo uporabniki.

Na spletu najdemo kar nekaj analiz gesel, vendar gre večinoma zgolj za gesla iz angleškega govornega področja. Gorazd Žagar pa je tokrat pripravil analizo gesel slovenskih uporabnikov. Seznam zajema skupno 55.096 gesel, pridobljenih v letih od 2001 do 2006 iz različnih virov.

Najpogostejše slovensko geslo je 123456, precej pa jih vsebuje tudi lastna imena. Vsekakor gre za zanimivo analizo, ki kaže na pogoste napake uporabnikov pri izbiri gesel, zato si jo vsekakor velja ogledati.

HotHardware - Varnostno podjetje Imperva je podrobneje analiziralo bazo 32 milijonov gesel, ki so postala javna zaradi varnostne luknje na strani RockYou.com in prišli do nadvse zanimivih ugotovitev. Večina gesel je daleč od varnih in zanje pravzaprav ni potrebno razbijanje, saj je dokaj visoka verjetnost za pravilen rezultat že ugibanje. Deset najpogosteje uporabljanih gesel v bazi je (številka v oklepaju pove število uporabe):

• 123456 (290,731)
• 12345 (79,078)
• 123456789 (76,790)
• Password (61,958)
• iloveyou (51,622)
• princess (35,231)
• rockyou (22,588)
• 1234567 (21,726)
• 12345678 (20,553)
• abc123 (17,542)

Skoraj tretjina gesel je tako dolgih le 6 ali celo manj znakov, skoraj dve tretjini jih vsebuje zaporedje številk oz. črk (npr. qwerty, 20. najpogostejše geslo z dobrimi 13.000...

CNet - Prejšnji mesec smo pisali o malomarnosti skrbnikov strani RockYou, ki so uporabniška imena in gesla hranili kar v tekstovni obliki v bazi, ki je bila povrhu še občutljiva na napad SQL injection. Kdor izziva nesrečo, si je kriv sam, in tudi v tem primeru se je našel nepridiprav, ki je izkoristil na stežaj odprta vrata in odtujil 30 milijonov uporabniških podatkov. RockYou je reagiral slabo, saj so najprej poskusili vse skupaj zamolčati, nato pa so uporabnike obvestili z veliko zamudo.

Alan Claridge iz Indiane je mnenja, da je takšno varovanje podatkov nedopustno, zato podjetje RockYou toži, ker niso uspeli zagotoviti zaščite podatkov. Tožbo je vložil v ponedeljek na sodišču v San Franciscu, prizadeva pa si, da bi dobila status skupinske tožbe (class action). V tožbi piše, da je RockYou lahkomiselno in zavedno opustil najosnovnejše korake za zaščito podatkov, uporabnike pa obvestil šele 12 dni po vdoru. V devetih točkah jim očita malomarnost, kršitev pogodbe, kršitev kalifornijskih...

TechCrunch - Zlikovci so vdrli v uporabniško bazo podatkov podjetja RockYou Inc., ki izdeluje aplikacije za socialno mreženje (npr. vtičnike za Facebook), in odtujili 30 milijonov podatkov o uporabniških računih. Podatki so bili shranjeni v tekstovni obliki v kompromitirani podatkovni bazi, pri čemer so bila uporabniška imena enaka, kot so jih imeli uporabniki za dostop do spletnega poštnega predala (Gmail, Yahoo, Hotmail ...). Ker mnogo ljudi še vedno uporablja isto geslo za več različnih strani, to proži še dodatne probleme.

Podjetje Imperva je ta konec tedna RockYou opozorilo, da je z njihovo podatkovno bazo nekaj resno narobe, saj je občutljiva na napad SQL injection. RockYou naj bi luknjo hitro zakrpal, a so nadebudni heker pred tem uspeli prebrati prav vse podatke iz baze podatkov - 32.603.388 parov imen in gesel. Del tega so tudi objavili, za zdaj z ustrezno zakritimi gesli, in zagrozili RockYou, naj ne lažejo, sicer bodo objavili celoten seznam. Slednji so se odzvali in javno priznali,...

Projekt9 - Ste prepričani, da je vaše geslo res tako dobro? Ste se prav ta trenutek nasmejali, ker je vaše geslo pravzaprav bedasto (abc123. asdfasdf, 123456, janeznovak1980,...). Ne bojte se, niste edini. V bistvu je vam podobnih več kot 90%. Pa kaj bi se obremenjevali, ne? Kdo bi pa ugotovil vaše geslo? Saj nima veze z vašim imenom.

Če ste tako prepričani, potem ni potrebe, da bi vam razlagali o tem, da bi geslo "123456" razbili v eni sekundi? Oziroma "abc123" v manj kot pol ure (časi so odvisni od računalniškega procesorja oz. procesorja grafične kartice). Znate prebrati naslednje besede: greg0r, m4rko, ml3ko, let@lo, mavr!ca?

Vse se začne z gesli, podatki, ki jih hranite za njimi pa NISO zaman "zaščiteni".

Tokrat vam na projekt9 predstavljamo malo šolo varnosti, pri čemer vam v prvem delu predstavljamo nekaj koristnih informacij o tem, kako izboljšati geslo, ter kako je Milan prišel do slik na vašem računalniku!

Članek lahko v celoti preberete tukaj.

Slashdot - Ta teden so neznanci vdrli na stran phpBB.com in svoj napad natančno popisali. S pedagoškega vidika je opis poučen, s psihološkega pa je zanimivejša analiza gesel uporabnikov, ki so jih odtujili. Še enkrat več se je izkazalo, da uporabniki kaj pretirano inovativni niso, saj je najpogostejše geslo 123456, ki mu sledijo password, phpbb, qwerty, 12345 in 12345678. Podatki še kažejo, da je 16 odstotkov gesel enakih kot je ime uporabniku, 14 odstotkov predstavljajo vzorci na tipkovnici (denimo 1234, asdf ipd.), štiri odstotke gesel je variacij na temo password (passw0rd, password1 ipd.), pet odstotkov je pobranih iz popkulture (pokemon, blink182 ipd.). Tretjina gesel vsebuje šest znakov, samo poldrugi odstotek ljudi pa uporablja geslo z vsaj desetimi znaki.

BBC - Pri BBC News so ugotovili, da uporabinki (predvsem za pošto in forume) [uporaBinki? Očitno je res nekaj na tem [>:D] --Ziggga] prepogosto uporabljamo enostavna in hitro razpoznavna gesla. Priporočajo tudi, da vedno uporabimo vedno druga gesla. Stanje v ZDA, kar se tiče gesel, je po tisočih pregledanih, táko:

• 23% - otrokovo ime
• 19% - partnerjevo ime
• 12% - rojstni datum
• 9% - najbojl priljubljena nogometna ekipa
• 9% - najljubša skupina/band
• 9% - najbojl priljubljen prostor
• 8% - lastno ime
• 8% - ime hišnega ljubljenčka

Kot vidimo, je stanje precej kritično. Potem pa se nekateri jezijo, ko jim drugi berejo pošto [:D].

ZDNet - Zanimiv članek na ZDNetu. Znano nam je, da so za krekerje težko uganljiva gesla - za nas prav tako težko zapomnljiva :D. V gesla naj bi uporabnik dodajal nesmiselno zaporedje številk, malih ter velikih črk ter ločil, tako da naj bi popolno geslo izgledalo nekako takole: eJ4)b"aSAqg/3ag. No, Microsoftovci sedaj dodelujejo nov princip lažjega pomnenja gesel. Uporabnik na zaslonu vidi, recimo, veliko zastav. Zapomni si zaporedje klikanja, program pa nato vsaki zastavi priredi poljuben znak. Tako je geslo za krekerje dosti težje uganljivo, a hkrati dosti bolje vidno za vse, ki vam radi špegajo za rame. Se bo nova tehnologija prijela?

Jaz - Danes sem zbral pogum in ukinil preverjanje velikih in malih črk. Tako, da od sedaj naprej ni več pomembno s kakšnimi črkami se logirate. Vsak, ki mi od danes naprej izjavi, da mi sistem ne dela, ker njemu vrača "napačno geslo", bo ustreljen.[:D]

Jaz - Ponovno vas obveščamo, da sistem pri prijavi RAZLIKUJE VELIKE in male ČRKE. V primeru, da takoj po vnosu novega uporabnika sistem javi "Napačno geslo", to pomeni, da NISTE PRAVILNO vnesli svojega uporabniškega imena in gesla (z vsemi velikimi in malimi črkami ter presledki vred)[:D]