Paroles, drošība un apollo.lv/antivirus.lv versija par to

Šodien ieskatījos apollo.lv IT ziņu sadaļā un atradu tur mazu rakstiņu par “tīklā populārākajām parolēm”. Ieinteresēts, es izlasīju to. Raksts sastāvēja no divām rindkopām, kur pirmā ir iepazīšanās ar paroļu publicētāju, Brūsu Šneieru, phishing noziedznieku, kas regulāri izmāna datus no MySpace lietotājiem. Otrā rindkopa sekoja pēc divdesmit populārāko paroļu saraksta kā secinājumi, ka agrāk populārākā parole ir bijusi “password” un tagad situācija ir uzlabojusies. Laikam tiek lietotas 20 paroles tā viena nabaga “password” vietā. Kā arī ir secināts, ka tiekot ņemti vērā speciālistu atgādinājumi par burtu un ciparu kombināciju ievērošanu parolēs, taču kautkāds “process” ir diezgan lēns.

Man radās mežonīgi daudz jautājumi pēc tā raksta. Piemēram, kas ir noziedznieks Brūss Šneiers, kuram patīk tīksmināties par saviem varoņdarbiem publicējot tos un kāpēc varas iestādes viņu nav paņēmušas pie dziesmas. Kas tad īsti ir notikušas par pārmaiņām? Kādas tad ir pārējās paroles aiz populārāko desmitnieka? Paņēmu gūgli un sāku meklēt Šneiera kungu. Pēc otrā pieprasījuma, es atradu viņa blogu. Izlasot to, man radās divi secinājumi. Pirmais – apollo.lv (un pirmajā publikatorā antivirus.lv) ir ļoti nožēlojams informācijas kvalitātes radīšanas un uzraudzīšanas kā arī pārbaudes līmenis. Otrais – gandrīz visa informācija rakstā ir meli vai krietni sagrozīta.

Fakti salīdzinājumam. Brūss Šneiers (Bruce Shneier) ir starptautiski pazīstams drošības tehnologs un ar drošību saistīto rakstu autors. Dati nav iegūti no tieša uzbrukuma, bet tos droši vien ir nosūtījis kāds draugs no Netcraft drošības uzņēmuma, kas atklāja phishing uzbrukumu, vai arī kāds no MySpace administratoriem, vai arī tiem uzlauzējiem no Francijas vai Spānijas. Katrā ziņā, dati ir no MySpace logiem – kopā 34 000 ierakstu ar īstām parolēm no tām vairāk kā 100 000 parolēm, kas tika uzlauztas.

Apgalvojums, ka iekrituši tikai lētticīgie lietotāji arī ir meli. Metode, kādā tika vākti dati, bija kreisa lietotāja profila izveidošana “login_home_index_html”, kas kopā kā adrese izskatītos http://myspace.com/login_home_index_html. Loģiski, ka tur tika attēlota viltota sākuma lapa, kur ievadot lietotājvārdu un paroli, tiek gan ieiets iekšējās lapās, bet persona n arī visu uzzina. Citējot Netcraft: “pat drošībā uzmanīgie lietotāji riskē kļūt par upuriem”.

Pirmais antivirus.lv (apollo.lv) secinājums bija, ka agrāk populārākā parole bija password. Tā bija pieņemta kā visizplatītākā parole līdz šim. 1989. gadā tika uzskatīts, ka vidējā parole ir 6.4 simbolus gara. 1992.gadā 6.8 simbolus gara, 2006. gada novembrī veiktā citā pētījumā kādā korporācijā paroles esot bijušas 7.8 simbolus garas. Tagadējie MySpace dati rāda, ka paroles ir 8 simbolus garas. Tā kā MySpace auditorija ir ļoti jauna (ti jaunieši, bērni), tiek secināts, ka situācija uzlabojas un uzlabosies arī nākotnē. Kas attiecas uz popularitāti, “password1” ir 0,22% lietotāju, otrā vieta “abc123” un “myspace1” bija 0,11% lietotājiem, bet “soccer” – 0,04%. Tātad “password1” lieto ~75 cilvēki no 34 tūkstošiem. 65% no lietotājiem ievada 8 simbolu paroli, 17% ievada sešus un mazāk simbolus garu paroli. Lūk šādu informāciju es saucu par lasāmvielu nevis iebarojumu

No tāda viedokļa situācija itkā uzlabojas. No otras puses tiek analizēts, ka paroļu lauzēji kļūst arvien ātrāki un ātrāki. Šķiet viens “Password Recovery Tool” analizēja 200 – 340 tūkstošus paroļu kombināciju sekundē! No kā izsecināts, ka ja MySpace aizkodēto paroļu datubāze būtu pieejama kādam uz sava datora, tad katrā stundā vai pusstundā viņš varētu atkodēt vienu paroli.

antivirus.lv itkā simbolizē drošību aizsargājošu iestādi, apollo.lv itkā esot nopietns ziņu portāls. Brūsa Šnaidera blogā rakstītā informācija ir kā diena pret nakti ar šo skricelējumu. IT ziņu nodaļu drošvien lasa arī daudz ar IT nozari saistīto, ne tikai ikdienas lietotāji, tātad vajag arī kautkādu kvalitāti! Šitas raksts pat neietveras kategorijā “vienkāršojam priekš masām”. Nekur nav ņemts arī vērā, ka minētais pētījums apskata ASV iedzīvotāju (MySpace) paradumus, mūsu gadījumā būtu jāapskata, piemēram, draugiem.lv paroles. Stipri šaubos, ka neizskaidrojamā “monkey” parole pie mums būtu populāra. Par “qwerty”, “parole” un lietotājvārdu kā paroli gan varētu padomāt. antivirus.lv rakstu rakstīšana gan nav laikam primārais bizness, bet vismaz varētu nepublicēt neko, ja nemāk rakstīt un pat izlasot savilkt kopsavilkumu.