Jan
07
2011
Web security via Strong Password Generator & xmarks

Πριν από λίγο καιρό έγραψα ένα άρθρο για να εξηγήσω πως μπορείτε να έχετε διαφορετικό συνθηματικό σε κάθε εφαρμογή και παρόλα αυτά να τα θυμάστε μέσω μοτίβων: Security & passwords via patterns. Το άρθρο ήταν αρκετά δημοφιλή κι υπήρχαν σχόλια για να το κάνουν ακόμα καλύτερο.

Σήμερα θα ήθελα να προτείνω μια εναλλακτική λύση, που αφορά κυρίως web sites & web applications.
Αποτελεί μία από τις ασφαλέστερες λύσεις και είναι εξαιρετικά εύκολη στην χρήση.

Βήμα 1ο: Secure Password Sync

Στους υπολογιστές μας (επιτραπέζιους και μη) έχουμε έναν λογαριασμό με τις δικές μας ρυθμίσεις. Χρησιμοποιούμε σχεδόν πάντα τον ίδιο web browser γιατί πολύ απλά μας βολεύει. Είτε είστε fun του firefox είτε του chrome σίγουρα έχετε επιλέξει να αποθηκεύει τα συνθηματικά των web applications στην μνήμη του.

Εάν χρησιμοποιείτε πολλούς διαφορετικούς υπολογιστές (σπίτι, γραφείο, laptop, tablet, smartphone) τότε σίγουρα θέλετε συνθηματικά και bookmarks να είναι συγχρονισμένα σε όλους τους browsers σε όλα τα συστήματα. Έτσι λοιπόν καταλήγουμε σε δύο δημοφιλή plugins: xmarks & Firefox Sync.

Πριν από λίγο καιρό, για οικονομικούς λόγους το xmarks ανακοίνωσε ότι σταματά. Εξαγοράστηκε την τελευταία στιγμή από την εταιρεία: last pass. Τότε διάβασα τις οδηγίες κι εγκατέστησα έναν web dav server (οδηγίες εδώ για να εγκαταστήσω μία δική μου βάση για τα συνθηματικά και bookmarks μου.

Η σύνδεση είναι κρυπτογραφημένη κι έτσι πλέον όλοι οι browser μου, μιλάνε με τον δικό μου dav server.

Βήμα 2ο: Strong Password Generator

Αφού λοιπόν ΔΕΝ χρειάζεται να θυμόμαστε κάθε φορά το συνθηματικό που βάζουμε σε ένα web site/application γιατί να μην το κάνουμε διαφορετικό για κάθε login! Για όπου δεν υπάρχει επιλογή για OpenID χρησιμοποιείστε το παρακάτω site:

http://strongpasswordgenerator.com

Επιλέξτε ένα τυχαίο και δύσκολο συνθηματικό για κάθε online εφαρμογή.
Ακόμα κι εάν γίνει populate η database με τα συνθηματικά στο site που μόλις συνδεθήκατε, το συνθηματικό που θα διαρεύσει είναι μοναδικό και ΔΕΝ μπορεί να χρησιμοποιηθεί πουθενά αλλού.

Προβλήματα ?

  • Χρησιμοποιείτε browser σε δημόσιο υπολογιστή ή στο σύστημα ενός φίλου.

Πατήστε το κουμπί: I forgot the password που έχει κάθε online εφαρμογή και κάντε reset σε ένα νέο συνθηματικό εκείνη την στιγμή. Όταν θα βρεθείτε στον υπολογιστή σας, μην ξεχάσετε να το κάνετε και πάλι reset.

  1. Avatar di DG DG

    Friday, January 7, 2011 - 19:12:33

    Για να λαμβάνονται οι κωδικοί όμως, πρέπει ο web dav server να βρίσκεται online πάντα;

  2. Avatar di ebal ebal

    Friday, January 7, 2011 - 19:15:52

    Μα φυσικά!
    Εάν δεν θέλεις να εγκαταστήσεις έναν dav server (είναι υπερβολικά πολύ εύκολο κι απλό), τότε απλά χρησιμοποίησε το default του xmarks ή εάν χρησιμοποιείς firefox, το firefox sync.

    Προσωπικά χρησιμοποιώ δικό μου dav server, just to be safe!

  3. Avatar di Sotiris Tsimbonis Sotiris Tsimbonis

    Friday, January 7, 2011 - 21:22:59

    Αυτό το σύστημα πολύ καλύτερο από το προηγούμενο με τα patterns, well thought :-)

    Τώρα να δούμε πότε θα μπορούμε να έχουμε εύκολο two-factor authentication παντού..

  4. Avatar di ebal ebal

    Friday, January 7, 2011 - 21:29:06

    bullet proof ΔΕΝ είναι, απλά μεταφέρεις centralized την ευθύνη της απομνημόνευσης των συνθηματικών. Για την ώρα χρησιμοποιώ πολλαπλά & υβριδικά συστήματα για να μπαίνω σε συστήματα, εφαρμογές, online εφαρμογές κ.α. δεν έχω βρει μία λύση ή μία λογική για όλα. Αυξάνω την πολυπλοκότητα, καταμερίζοντας τις ευθύνες όμως !