Nu știu dacă faptul că primul meu contact cu Internetul a fost în 1994 mă plasează în categoria “internauților” experimentați sau a moșnegilor demult iesiți din perioada de garanție. Cert este că unul dintre primele mesaje primite de mine pe email era ceva de genul “Dă-mi te rog IP-ul, contul și parola ta ca să văd și eu cum merg Sun Sparc-urile astea.“. Chiar dacă anterior prin România nici măcar nu “mirosisem” un computer conectat la Internet cumva mi-a dat prin cap că n-ar fi tocmai o treabă ok și i-am spus glumețului din țară câteva cuvinte de duh (Emile, sper că ești ok oriunde ai fi, multă baftă…).

În timp trebuit să rețin mai multe parole pentru că aveam acces la din ce în ce mai multe sisteme și aplicații, marea majoritate expuse direct la Internet. Dar, nu-i așa, Internetul la acea vreme era doar o metodă de comunicare între instituțiile universitare și nu se putea întâmpla nimic rău. Corect? Corect? Iar pentru că nu vroiam să-mi stresez neuronii (ai mei fiind deficitari după cum cititorii blogului au observat în mod repetat) memorând parole, metoda mea “infalibilă” de protecție la ora respectivă era să folosesc o singură parolă peste tot. Nu știu dacă faptul că era un șir de caractere mai complex îmi dă vreo circumstanță atenuantă.

Fast forward spre sfârșitul primei decade din secolul curent cu sumedenie de conturi mai mult sau mai puțin folosite la activ. Sigur că aplicațiile sensibile precum e-banking, VPN și accesul la servere sunt protejate cu tokenuri sau cu chei private dar rămân conturi de email, administrare de bloguri, conturi la site-uri de rezervări turistice online, shopping online și evident de câțiva ani inevitabilele rețele sociale (clasicul trio Twitter, Facebook, LinkedIn plus mărunțișuri gen Path folosite o săptămână și apoi abandonate). Un studiu din 2007 sponsorizat de Microsoft a constatat că utilizatorii au în medie 25 de conturi pentru care folosesc un set de aproximativ 6 parole pe care le partajează. Ei bine, anul trecut eu aveam în jur de 100 de conturi pentru care foloseam un număr de “combinații”. Niscaiva cifre și semne de punctuație inserate după reguli simple într-un set de 4 cuvinte – un mirobolant total de 12-16 parole pe care le puteam reconstitui rapid. Dacă mă gândesc bine cuvintele erau binișor alese, de genul “vârlăvie”: un substantiv inventat cândva în studenție stând cu niște amici în jurul unui foc de tabără și-al unui recipient de țuică de – evident – Zalău. Aveam 2-3 astfel de cuvinte pentru site-urile mai puțin importante, 2-3 pentru celelalte și atunci când nu-mi aminteam parola roteam regulile până mă puteam conecta. Infailibil, nu?

Da, infailibil până prin toamna lui 2011 când mi s-au spart în rafală Twitter, Facebook urmate de două bloguri printre care cel pe care-l citiți în acest moment iar eu am început să mă gândesc la celelalte zeci de conturi  care ar putea fi compromise dacă atacatorii au intrat în posesia parolelor.

Și când spun asta mă gândesc la numeroasele breșe de securitate din ultimii ani, uneori cu expunerea de parole în clar pentru milioane de utilizatori: EHarmony, Gawker Media (rețea de bloguri care deține printre altele Lifehacker și Gizmodo), Zappos, Last.fm, RockYou, Blizzard, LinkedIn, forumurile nVidia, Yahoo ba chiar și prestigiosul institut IEEE. Capacul pe ceaun îl pun cele 77 de milioane de conturi cu tot cu carduri bancare furate de pe Sony Playstation Network. Nu-i de mirare că Drobox au observat activitate ilegală crescută (spam, phishing) pe sistemele lor și au constatat ca sunt conturi cu parolele compromise “din alte surse”.

Aveți/aveați cont la vreunul din site-urile de mai sus cu parola refolosită în altă parte? Gândiți-vă bine. Gândiți-vă și câte alte site-uri au fost poate penetrate și fie n-au aflat nici până în ziua de azi fie au mușamalizat (scandalurile de mai sus fiind majoritatea declanșate de fișiere cu conturi găsite “la liber” pe Internet și nu de anchete interne ale acelor servicii). Să admitem că astăzi cam toți furnizori de servicii fac lucrurile corect și nu păstrează parola în clar ci o semnătură criptografică a acesteia. Și-acum să ne uităm la performanțele unor sisteme gen Project Erebus care pot trece prin întreg spațiu de parole de 8 caractere în aproximativ 12 ore. Este drept că asta se întâmplă pentru algoritmi considerați slabi dpdv criptografic gen NTLM, MD5 sau SHA1 (care totuși toți încă sunt folosiți destul de intens) dar “spargerea unei parole” nu este o activitate nici exorbitantă și nici exagerat de lungă.

O singură concluzie am putut trage din toate acestea. Nu îmi pot permite să utilizez parole suficient de scurte sau simple de ținut minte și în plus nu este recomandat să refolosesc aceeași parolă pe mai multe servicii importante. Și-atunci, care e soluția? Parole diferite pe care un program să le țină minte pentru mine!

Sunt multe softuri de gestiune a parolelor, dar eu folosesc 1Password (și ca să fie mulțumit și amicul Alex Brie, 1Password este unul dintre cele mai scumpe produse de acest gen de pe piață). Iată de ce l-am achiziționat în pofida alternativelor:

  • Povesteam și într-un post precedent că lucrez cu tot soiul de dispozitive și aveam nevoie de o soluție care să meargă și pe Windows, Android, iOS și OSX (pe Android este un viewer gratuit, celelalte platforme necesitând achiziția unei licențe).

  • Are (și) extensie de Chrome (Win+OSX), care este browserul meu de bază. Practic extensia generează parole aleatoare pe care le folosesc la crearea de noi conturi, apoi le stochează și le folosește la conectare. Nu numai că nu trebuie să țin minte parolele, dar nici măcar nu le mai văd vreodată după aceea.

  • Se sincronizează în mod deștept prin Dropbox folosind fișiere criptate. Un nou cont creat în browserul de acasă va fi instant disponibil și pe mobil, pe tabletă, etc. (ca să nu-i vină nimănui vreo idee tâmpită, pe Dropbox am parolă mai lungă de 10 caractere și two-factor activat).
  • Poate stoca o varietate de informație, nu doar conturi de site-uri: note private, conturi pe baze de date sau sisteme care nu oferă acces web. De exemplu tot acolo țin și cheia pentru criptarea BitLocker de pe hard disk, de care am avut odată nevoie la o reinstalare pe laptop și nu vă pot spune cât de ușurat am fost s-o am la îndemână pe mobil.
  • 1Password necesită o singură plată la achiziție și nu abonament. Deși sunt convins de utilitatea modelului SaaS, un astfel de soft care nu utilizează alte resurse decât cele puse la dispoziție de mine nu mă convinge să plătesc o sumă periodică.

Singurul “punct sensibil” al 1Password (și al tuturor celorlalte programe de acest gen) este parola principală. Cu această parolă pornesc programul sau extensia Chrome și mai folosește la criptarea tuturor fișierelor scrise pe Dropbox. Am avut grijă să aleg una suficient de lungă și complexă la instalare, iar în caz de problemă există posibilitatea de a o schimba (mai laborios, dar fezabil).

Acum am stocate nu mai puțin de 132 de “loginuri” în 1Password și nu cred că mai știu parola la vreunul dintre acestea. Mai țin acolo și câteva zeci de variate conturi, licențe software și o “identitate” ca să-mi completeze automat coordonatele la câte un vânzător online din România. Mă simt mult mai confortabil din punct de vedere al securității conturilor mele și cred că am micșorat substanțial șansele unor belele de genul acelora de anul trecut.

Iar pentru cine a rezistat până la finalul articolului, voi încheia cu o melodie tematică. Parole lungi și complexe vă doresc!