Zenbateko luzera dauka zure emaileko mezuak irakurtzeko pasahitzak? Zenbat karaktere ezberdin ditu? Letra larriak eta xeheak uztartzen ditu? Pasahitzak… denok ezagutzen dugun kontzeptua, baina askotan beraiekin lotutako segurtasun neurriak alde batera uzten ditugun horietako bat.
Pasahitzen inguruan, askotan entzun dut kexu hau: “ezin ditut hainbeste pasahitz gogoratu!”. Jakin badakigu zein den horren ondorioa: webgune ezberdinetan pasahitza aukeratzerako unean, burua asko nekatu nahi ez eta pasahitz berdintsua aukeratzea ( superpasahitza, ikusietaikasi!, hegoakebakibanizkion2002…). Agian gidoia, azpimarra edo zenbaki sinple bat erantsiz. Edo alderantziz idatzi. Bai, badakit noizbait hori guztia denok egin dugula.
Beste estrategia aurreratuago bat maila ezberdinetako pasahitzak erabiltzea litzateke. Alegia, babestu nahi dudan hori oso garrantzitsua bada, pasahitz sendo bat aukeratuko dut: _?=superpasahitzasinkronikopatologikoa2014! . Ez bada hain garrantzitsua, zerbait errazago: -IkusiEtaIkasietaOndoEntzun-. Eta gainerako webgune guztietarako, pasahitz ziztrin bat: emoiztazumuxutxuemaitie 🙂
Horrela, pasahitz bat esku zikinetan eroriz gero, beno, ez da munduko ezer onik galtzen. Baina ondo pentsatu: zer gerta daiteke? zure izenean bidalitako mehatxuak, mezu -oso- iraingarriak zabaldu, pribatutasun falta… Eta hori guztia kontutan izan gabe batzuetan “maila altuko” pasahitza beste webgune garrantzitsu batean erabili duzula, edo hainbat webgunetan.
1.Irudia: Have I Been Pwned? (haveibeenpwned.com) webguneak gaizkileen eskuetan erortzen diren pasahitzen zerrendak gordetzen ditu. Bertan, zure email-a emanda, jakin dezakezu ea noizbait email horri dagokion pasahitza, online webgune batean kautotzeko erabili duzuna, lapurtutako datu-base batean erori den . Posible da baita ere altan ematea, dohainik, etorkizunean zure konturen bat aurkitzen badute horrelako datu-base batean, email baten bidez jakinarazteko.
Ez baduzu pasahitzak sortu eta kudeatzeko politika sendo bat, zure pasahitzak ez dira inolaz ere sendoak. Are gehiago, zure eta zure inguruko segurtasuna ahultzen ari zara pasahitz bat berrerabiltzen duzun guztietan. Eta bai, ziur asko zure pasahitza, jada, cracker-en eskuetan egongo da. Zuk-zeuk proba dezakezu HaveIBeenPwned webgunean. Egun, jada lapurtutako 8.481 miloi kontuen pasahitzak daude bertan. Edo hobeto esanda, hash-ak (ikus hash-ei buruzko azalpena azpian). Zure kontua bertan agertzen al da? Nirea bai, 14 ALDIZ, leku ezberdinetan. Eta ez da nire errua izan ezta bakar batean ere ez. Nire kontua kudeatzen zuten enpresek ez zuten, ikusten denez, hain ondo kudeatu. Zorionez, webgune bakoitzean pasahitz ezberdin bat erabiltzen nuen, beraz, pasahitz hori aldatu eta kitto.
Zer da hash bat?
Edozein testua emanda, hash funtzio batek testu horren identifikatzaile bat sortzen du. Adibidez:
hash(“sarean.eus”) = 0e556c5f5217166fe6d2c669d47acfe6
hash(“abracadabra”) = ec5287c45f0e70ec22d52e8bcbeeb640
Hash funtzio batek sortzen duen 0e556c5f5217166fe6d2c669d47acfe6 edo ec5287c45f0e70ec22d52e8bcbeeb640 bezalako identifikatzaile bati, “laburpen kriptografikoa” edo “hash”-a deritzo.
Hash funtzio batek hainbat ezaugarri bete behar ditu, besteak beste:
1) bi identifikatzaile ezberdinak badira, sarrerako testuak ezberdinak izan beharko lirateke
2) identifikatzailetik abiatuta ezinezkoa izan behar da hasierako testua lortzea (identifikatzailea sortu duen testua aurkitzea)
3) azkar kalkulatu beharko lituzke identifikatzaileak
4) bi testu ezberdinak izanez gero, identifikatzaileak ezberdinak izan beharko lirateke, alegia, talkak minimizatu beharko lituzke (ezaugarri hau ezinezkoa da beti betetzea, horregatik esaten da minimizatu eta ez ekidin)
Hash funtzio ezagun asko daude, baina ezagunenetarikoak md5 eta sha familiakoak dira.
Eta zertarako erabiltzen dira hash-ak pasahitzen munduan? Pasahitzak ordezkatzeko. Adibidez, demagun webgune batek erabiltzaileak identifikatu nahi dituela. Orokorrean, erabiltzaileari login eta pasahitz bat sartzea eskatuko zaio. Adibidez, login=Juanan, pasahitza=abracadabra. Webguneak orduan egiaztatu egin behar du erabiltzaile horri dagokion pasahitza zuzena dela. Horretarako, datu base baten kontra kontsulta egingo du (Juanan erabiltzailearen pasahitza “abracadabra” al da?). Baina, segurtasuna dela eta, ez da ideia ona jatorrizko erabiltzailea eta pasahitza gordetzea. Gaizkile batek datubase hori lortuko balu, erabiltzaileen pasahitzak ere lortuko lituzkeelako. Orduan nola egiaztatu? Hash-ak erabiliz. Ez dugu pasahitz gordina gordeko, baizik eta bere hash-a. Adibidez:
juanan/0b8c31dd3a4c1e74b0764d5b510fd5eaac00426c.
Horrela, webguneak, erabiltzaileak eman dion pasahitzari hash-a aterako dio eta datu basean gordeta duen hash-arekin konparatuko du. Berdinak badira, pasahitza zuzena da. Hash-ak ezberdinak badira, pasahitza ez da zuzena izango. Eta hoberena, gaizkile batek erabiltzaileen datubasea lapurtzea lortzen badu, ez ditu pasahitzak zuzenean izango, baizik eta hash-ak.
Bitxikeri bat. Adibideko hash-a (0b8…) sha funtzioa erabiliz kalkulatu da. Ez da ideia ona. Izan ere, hash hori Google-n sartuz gero, dagokion pasahitza aurkituko dugu (abracadabra). Noski, pasahitza ere oso ahula da! Baina askotan erabiltzaileen pasahitzak ahulak izango dira… Zer egin? Erraz konpondu daiteke: hash baten emaitzaren hash-a gorde (alegia, bi aldiz aplikatu hash funtzio bera… edo ezberdin bat). Adibidearekin jarraituz,
sha(sha(“abracadabra”)) = 355e028478cacfbf9b4208d3027378fc6be655cb
Eta hori jada ez da Googlen agertzen 🙂
Irakurritakoaren ondoren, ondorioak eta gomendioak garbiak dira. Alde batetik, ez errepikatu pasahitzak. INOIZ. Beste aldetik, pasahitz sendoak hautatu. Eta azkenik, pasahitz-kudeatzaile bat erabili. Azter ditzagun puntu horiek.
Pasahitz sendoak erabili
Noski, pasahitz sendoak erabiltzeak errepikatuko ez dituzula suposatzen du alde batetik. Eta bestetik, asmatzeko errazak ez direnak aukeratuko dituzula: hainbat karaktere ezberdin, letra larri eta xeheak uztartuz, ikurrak eta zenbakiak erantsiz. Nahiko luzeak. Adibidez:
f”E7`zUpsK
(16 karakterez osatutakoa). Nik asmatu dut pasahitz hori? Ez, http://passwordsgenerator.net/ webgunetik hartu dut. Ausaz aukeratzen ditu zuk esandako irizpideak betetzen dituen pasahitzak. Horrelako webgune asko daude, aukeratu nahi duzuna, edo zuk-zeuk asmatu pasahitzak. Edo oraindik hobeto, pasahitz-kudeatzaile bat erabili.
Pasahitz-kudeatzaileak erabili
Aurreko pasahitza gogoratzea posible bada ere (nemonikoak erabiliz, karaktere bakoitzeko hitz bat gogoratuz: fruit ” EGG 7 ` zip USA park skype KOREAN) ez da erraza. Eta ezin baditugu errepikatu (EZ! ezin ditugu errepikatu!) are gutxiago. Orduan zer? Pasahitz-kudeatzaile bat erabili. Asko daude merkatuan, online, lokalak, software jabeduna, software librea… Ez dizut burua nekatu nahi. Nik erabiltzen dudana gomendatuko dizut: KeepassX. Software librea da (GPL), plataforma anitzetan dabil (Win, OSX, Linux). Erraz ikasiko duzu erabiltzen baina hona hemen argibide batzuk.
KeepassX aplikazioak bi fitxategi nagusi erabiltzen ditu: datubasea eta gakoa. Datubasean zure erabiltzaile/pasahitz/webgune hirukote guztiak gordeko ditu, zifratuta (inoiz galdu egiten baduzu, ez da ezer gertatuko). Zifratzeko AES algoritmoa erabiltzen du (Advanced Encryption Standard, AES). Algoritmo hori simetrikoa da, alegia, pasahitz bat behar du zifratzeko eta pasahitz bera deszifratzeko. Segurtasunaren aldetik oso algoritmo sendoa da, lasai erabili dezakegu.
Beraz, KeepassX erabiltzen dugun guztietan gure pasahitzen datubasea deszifratzeko pasahitz nagusia eskatuko digu. Hori da, pasahitz sendo bakar bat buruz ikasi eta gogoratu beharko duzu.
Beste segurtasun neurri gisa gako fitxategi bat eskatuko dizu. Beraz, 2FA (Two Factor Authentication) edo bi faktoreetan oinarritutako kautotze prozesu bat erabiltzen duela esan dezakegu: alde batetik zuk dakizun zerbait behar du (pasahitza) eta bestetik zuk duzun zerbait (key edo gako fitxategia).
KeepassX aplikazio lokala da. Horrek kezkak sortzen ditu erabiltzaileetan: “nik hainbat ordenagailuetan egiten dut lan, nola kudeatuko dut dena modu lokalean egiten badu lan?” Trikimailu bat erabili dezakegu hemen: KeepasX-ek behar dituen fitxategiak (datubasea eta key fitxategia) Dropboxen – edo hodeian partekatutako beste sistema batean – utzi. Gogoratu, fitxategiak zifratuta daude, nahiz eta beste norbaiten eskuetan erori ez litzateke ezer gertatuko. Edo segurtasun neurri sendoago bat jarraituz: datubasea Dropboxen utzi eta key fitxategia USB batean (poltsikoan edo motxilan eramaten duzun USB horretan 😉
2. Irudia: KeepassX edo antzeko aplikazio bat erabiltzea aukeratuz gero, ez dituzu online pasahitz sortzailerik erabili behar. Aplikazioak berak eskainiko dizkizu ausaz sortutako pasahitz sendoak.
Esandakoa, erabili nahi duzun aplikazioa eta segurtasuna politika, baina mesedez, ez berrerabili pasahitzak.
2FA (Bi faktoreetan oinarritutako kautoketa)
Artikuluan aipatu dugu zer den 2FA. Baina ez dugu adibide praktikorik jarri. Bi faktoreetan oinarritutako kautoketa lortzeko askotan gomendatzen den aplikazioa Google Authenticator da. Doako app-a, Android eta iOS sistema eragileetan erabili daitekena. Authenticator-ek 20 segundoro aldatzen den zenbaki bat esleituko dio zure kontu bati. Adibidez, demagun zure GMail-eko kontua babesteko Authenticator erabili nahi duzula. Orduan, GMail-en sartzeko zure erabiltzailea (izena@gmail.com), pasahitza eta Authenticator-en une horretan bistaratzen den zenbakia sartu beharko duzu. Horrela, norbaitek zure erabiltzailea eta pasahitza lapurtzen badizkizu, ezingo da zure Gmail-eko kontuan sartu (Authenticator-en zenbakia falta zaiolako eta hori soilik zure mugikorrean dago). Are gehiago, nahiz eta zenbaki hori ikusi, 20 segundo barru ez dio ezertarako balioko. Benetan gomendagarria da 2FA gaitzea zure online kontuetan eta prozedura ez da batere zaila. Adibidez, GMaileko kasuan (Googleko kontuen kasuan, orokorrean):
https://myaccount.google.com/ sar zaitez. Jarraian, Security aukeratu. Ondoren, 2-Step verification. Bukatzeko Authenticator App aukeratu.
2FA bermatzeko beste metodo batzuk daude, Authenticator erabili ordez. Adibidez, Google-ek berak zure mugikorrera bidali ahal dizu kautotzeko mezu bat zure burua identifikatzeko. Zure hatz-marka edo beste ezaugarri biometriko bat ere erabili daiteke. Bankuetxeetan askotan erabiltzen dira SMS-ak ere. Eta gero eta gehiago ikusten dira “Security key” delakoen USB gailuak (USB giltza bat bezalakoa, kautotzean ordenagailuan konektatuta -edo gertu, NFC delako teknologia erabiliz gero, autobidean erabiltzen dugun Via-T bezalakoa – izan behar duzuna).
3. Irudia: Solo Key (solokeys.com) software eta hardware askea erabiltzen duen soluzio interesgarria (USB. 20€etan, edo USB+NFC, 35€etan). Dena den, 2FA USB giltzen artean, puntuazio altuena duena Yubico key da (USB+NFC), 55€etan eros daitekeena.