Kaspersky - īpaša aizsardzība pret šifrējošajiem izspiedējvīrusiem!
Sākumlapa » Apdraudējumi » Nākotne bez parolēm

Nākotne bez parolēm

Šodien diez vai izdosies atrast kaut jel vienu interneta lietotāju, kuram nebūtu kaut kāda tiešsaistes pakalpojuma konta un līdz ar to arī paroles. Lielai daļai no mums ir vismaz daži konti. Piemēram, pāris e-pasta, pāris sociālo tīklu, kāds interneta bankas konts utt. Līdz ar to arī pieejas paroļu, kuras mums jālieto, ir diezgan daudz un, attīstoties interneta pakalpojumiem, to kļūst arvien vairāk. Te ir pilnīgi saprotama cilvēciska vēlme visu to ķēpu ar sarežģītu, dažādu, bet līdz ar to drošu, paroļu lietošanu vienkāršot un padarīt kaut cik ērtu. Kas no tā sanāk, mēs varam secināt no nesenā skandalozā notikuma ar Swedbank interneta bankas lietotāju datu publicēšanu. Izrādījās, ka vairāk kā 5000 lietotāju ir izvēlējušies paroli 123456. Un, ja Jūs domājat, ka tā ir pati vienkāršākā parole pasaulē, tad Jūs ļoti maldāties, jo nesen atklājās, ka ASV 20 gadus no vietas kodolraķešu palaišanas iekārtām kods ir bijis vienkārši astoņas nulles. Jā, 00000000!

Ļoti vāja parole - www.drosaparole.lv

Ļoti vāja parole – bieži sastopams verdikts paroļu pārbaudes vietnē www.drosaparole.lv.

Nu jau ne tikai speciālistiem ir skaidrs, ka paroles ir viena no interneta un datortehnoloģiju drošības vājajām vietām. Un, lai gan eksistē tādas programmas kā paroļu pārvaldnieki, arī tās nerisina drošības problēmu pilnībā. Tāpēc datortehnoloģiju pasaules varenie jau ne pirmo reizi lauza galvas, kā atrisināt paroļu problēmu. Tā 2012. gada jūlijā ir radusies FIDO (Fast IDentity Online) Alliance, un tās dalībnieki cer, ka viņu izstrādātās drošības ierīču un pārlūkprogrammu spraudņu specifikācijas izplatīsies visā IT nozarē. Viņu pūliņu rezultāti ir atkarīgi no tā, cik daudz uzņēmumu un organizāciju labprātīgi piekritīs sadarboties. Pagaidām FIDO sastāvā ir tādi smagsvari kā Google, MasterCard, Lenovo, Infineon, LG Electronics. Tiem nupat ir pievienojusies arī korporācija Microsoft.

Tehnoloģijai, kas varētu aizstāt paroles, tiek izvirzītas augstas prasības: tai jābūt efektīvai, bet vienkārši lietojamai. FIDO plāno izmantot programmatūras klientu, kas lietos publisko atslēgu kriptogrāfiju. No lietotāja puses tas viss būs maksimāli vienkārši – nepieciešamības gadījumā būs jānovelk pirksts pāri pirkstu nospiedumu lasītājam vai jāpalūkojas webkamerā vai jāierunā mikrofonā vai vienkārši jāievada PIN kods. Risinājums tālāk jau pats veiks uz publisko atslēgu metodes bāzēto lietotāja autentifikāciju atbilstoši izvēlētajam interneta resursam. Ir paredzēta arī divu faktoru lietotāja autentifikācija.

FIDO Alliance plāno iesniegt savu protokolu organizācijām, kuras izstrādā tīmekļa standartus, piemēram, Internet Engineering Task Force vai World Wide Web Consortium. Kad mēs varētu ieraudzīt šo pūliņu rezultātus reāli lietojamu risinājumu veidā? Tiek izteikti minējumi, ka pēc 2-3 gadiem. Atliek vien novēlēt FIDO Alliance sekmes.

FIDO Alliance bezparoļu risinājums

FIDO Alliance sola interneta lietotājiem vienkāršu un drošu viena vai divu faktoru autentifikāciju.

Bet, kamēr gaišā bezparoļu nākotne vēl nav iestājusies, es ļoti iesaku visiem palūkoties pēc paroļu pārvaldības programmām (Password Manager). Tādu internetā ir atrodams liels daudzums, gan komerciālu, gan bezmaksas. Kā izejas punktu komerciālu risinājumu meklējumiem var ņemt to pašu labi zināmo Top Ten Reviews. Patiesību sakot, laba paroļu pārvaldības programma jau šodien lielā daļā gadījumu var nodrošināt lietotājam tās ērtības, kuras tiek solītas no FIDO Alliance, un vienlaicīgi ļauj izvairīties no viegli uzminamām taustiņu kombinācijām 123456, qwerty utt.

Paroļu un paroļu pārvaldības programmu tēma tuvākajos rakstos tiks apskatīta sīkāk, bet pagaidām neaizmirstiet savu izvēlēto paroļu drošumu pārbaudīt www.drosaparole.lv.

 

Birkas:
Iepriekšējais raksts
Nākošais raksts

3 Komentāri

  1. Kamēr FIDO Alianse sola risinājumu pēc 3 gadiem, DPA ar risinājumu CaptureIn piedāvā drošu un vienkāršu risinājumu jau šodien. CaptureIn ir ne vien drošs, bet arī daudz vienkāršāks par jebkuru no līdz šim radītajiem “lielajiem standartiem” (piem., OAuth). Paroļu pārvaldnieki vai agregatori nav risinājums. Tie nerisina pakalpojumu sniedzēju problēmu un paši kļūst par lielāko risku – ‘visas olas vienā groziņā’ problēma. Uzlaužot šādu servisu vai programmu, ļaunprātis var iegūt uzreiz visas lietotāja paroles. Savukārt paroļu agregatoru drošības problēmas ir daudzkārt un plaši apzinātas (piem., sk. http://www.elcomsoft.com/PR/PK_120316_en.pdf)
    Papildus – un tas ir ļoti svarīgi, neviens lietotājs nedrīkstētu izmantot drosaparole.lv vai līdzīgus servisus, jo tādējādi lietotāji var atklāt savu paroli ļaunprāšiem – vai nu negodīgam līdzīga servisa operatoram, vai kādam, kas pārtver uz šādiem servisiem nosūtītus datus.

    • AntiVirus.LV novēl Jums veiksmi un panākumus ar risinājumu CaptureIn! Un, lai viņā neatklātos neviena vājā vieta vai ievainojamība 😉

      Kas attiecas uz drosaparole.lv, tad pirms kritizēt un izteikt apgalvojumus, mēs iesakam rūpīgāk iepazīties ar šī resursa darbības principiem. Pārbaudāmā parole nekur netiek sūtīta. Paroles pārbaude notiek paša lietotāja datorā! Tāpēc paroles pārtveršanas iespēja sūtīšanas procesā ir izslēgta, jo nosūtīšana neeksistē.

      Attiecībā uz operatoru vai izstrādātāju godīgumu. Kur tad ir atšķirība starp CaptureIn un Dropbox izstrādātāja piedāvāto bezmaksas brīvi pieejamo risinājumu, kas izmantots servisā drosaparole.lv? 🙂

    • Un kā tad ar Gibson Research Corporation, kuras lapā https://www.grc.com/sqrl/sqrl.htm tiek piedāvāts CaptureIn dubultnieks?

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

11 − 2 =

Kaspersky - īpaša aizsardzība pret šifrējošajiem izspiedējvīrusiem!
Uz augšu