BETA

Εύκολη δημιουργία και διαχείριση κωδικών (συστήματος, σελίδων κλπ)

Εικόνα DarkGoth

Τι είναι οι κωδικοί;  Γιατί πρέπει να με νοιάζει;

Για να ρωτάς κάτι τέτοιο, μάλλον δεν έχεις χρησιμοποιήσει ποτέ... ΧΡΗΣΤΗ...
Για να καταλάβεις, είναι αυτό που γράφεις για να μπεις στο φέισμπούκ σου (το αναφέρω μιας που σαν ΧΡΗΣΤΗΣ, μόνο από φέισμπουκ ξέρεις). Που αν τον παραβιάσουν, θα βρουν μέχρι και τι βρακί φοράς. Και επειδή είσαι και ΧΡΗΣΤΗΣ, μάλλον θα έχεις κάναν κωδικό του τύπου «1234567890» (αν είναι πιο δύσκολο, προφανώς δεν το θυμάσαι).
Γενικά εκτός από τους ΧΡΗΣΤΕΣ, αυτό είναι μια αλήθεια. Πολλοί έχουν τόσους κωδικούς πολλές φορές, που είναι σχεδόν αδύνατο να τους θυμούνται όλους. Θα με πει τώρα κάποιος, ότι υπάρχουν και οι password managers. Και πάλι, όμως, θα πρέπει να θυμάσαι κάποιον κωδικό.

Ωραία, και τι μπορώ να κάνω;

Αυτό που μπορείς να κάνεις, είναι η πανεύκολη λύση που λέγεται hash (hash λέγεται, όχι hashtag, βρε τρεντοχίπστερ του twitter).

Τι είναι το hash;

Είναι ένα «κλειδί» (αν μπορείς να το πεις σαν κάτι τέτοιο) που δημιουργείται από τα περιεχόμενα ενός αρχείου και βοηθάει στον έλεγχο του περιεχομένου του (αν, ας πούμε, έχει κατεβεί σωστά).

Και αυτό μπορούμε να το χρησιμοποιήσουμε εύκολα σαν κωδικό. Ναι, το ίδιο το hash λόγω τυχαίου χαρακτήρα (δεν σχηματίζει καμία λέξη, οπότε τα dictionary attacks είναι εντελώς ανίσχυρα απέναντί του), και του μήκους του, αποτελεί έναν πολύ ισχυρό κωδικό. Και, πάνω απ' όλα, πανεύκολο να το θυμόμαστε.
Την άκουσες, ε;... Έλα, παραδέξου το...«Καλά όλο αυτό είναι πάνω από 20 χαρακτήρες. Πώς ακριβώς μπορώ να θυμάμαι έστω και ένα από δαύτα?» Η κλασσική ερώτηση που καθένας θα κάνει.

Πώς;

Πανεύκολο.
Αν βγάλεις το hash ενός τυχαίου αρχείου (που να θυμάσαι όμως ποιο είναι, και να μην το πετάξεις), δεν χρειάζεται καν να θυμάσαι τίποτα. Απλά μόνο το αρχείο από το οποίο έβγαλες το hash. Αν θέλεις να μπεις σε κάποια σελίδα (π.χ. εδώ μέσα), βρίσκεις το αρχείο που χρησιμοποίησες για να φτιάξεις τον κωδικό σου, βγάζεις το hash, και το κάνεις copy/paste εδώ για να μπεις.
Το αρχείο μπορεί να είναι οτιδήποτε (ένα iso για παράδειγμα, ή, ακόμα και ένα screenshot της σελίδας, ανοιχτό σε κάποιο άρθρο)Και πώς ακριβώς γίνεται; Φαίνεται εύκολο, ΕΙΝΑΙ εύκολο.

Θα χρειαστείς μόνο 3 πραγματάκια. το αρχείο από όπου θα βγάλεις το hash, το terminal (σε λίνουκς είσαι, σιγά που θα γλίτωνες), και μερικές εντολίτσες (2-3 είναι για την ακρίβεια που βγάζουν διαφορετικό μήκος hash).
Θα κάνεις το παρακάτω:

Βρίσκεις το αρχείο που θέλεις. Ανοίγεις terminal και γράφεις μέσα αυτό:

shasum //path/to/file

με τον ίδιο τρόπο μπορεί να χρησιμοποιηθεί και η εντολή «md5sum»

Και αυτό θα βγάλει κάτι σαν αυτό:

[email protected]:~$ shasum '//mnt/vdi2/ .iso'
4c840c7677fb6951c9ed1a553e69db0744c7259b  //mnt/vdi2/ .iso
[email protected]:~$

Αυτό το μακρυνάρι, μαζί με το path του αρχείου, (ακόμα καλύτερα αν το αρχείο έχει κάποιο τελείως random όνομα), δηλαδή ολόκληρη τη 2η σειρά όπως είναι, μπορείτε να το χρησιμοποιήσετε σαν κωδικό.

Οπότε κάθε φορά που θα θέλετε τον συγκεκριμένο κωδικό για να μπείτε στη σελίδα, απλά δίνετε την εντολή και το χρησιμοποιείτε.
Αν πάλι δεν σας φτάνει αυτό παραπάνω (και αν υποστηρίζει και η σελίδα πολύ μεγάλους κωδικούς), μπορείτε με την εντολή «sha512sum», να καταφύγετε στο παρακάτω, παρανοϊκό, «overkil»l, διεστραμμένο, ακαθόριστο αντικείμενο (και πάλι θα χρησιμοποιήσετε ολόκληρη η 2η σειρά όπως είναι, μαζί με το path του αρχείου):

[email protected]:~$ sha512sum '//mnt/vdi2/ .iso'
1d66804b9a35d2bdd491a5ac7e086f6ecbcef5dbd3a594d113212feea9f280acf19a69a666e5e219c1f208d5de5eecbe544fbb4cbd7b083a1896731c95d12da7  //mnt/vdi2/ .iso
[email protected]:~$

Γιατί είναι αποτελεσματικό αυτό;

Σε συνδυασμό ότι δεν πρόκειται να ξεχάσετε τον κωδικό σας, ένα άλλο καλό, είναι ότι, σε σοβαρές σελίδες που αποθηκεύουν τους κωδικούς σε hash με salting**, το παραπάνω διεστραμμένο πράγμα θα δυσκολέψει απίστευτα περισσότερο τον κακόβουλο.
Για τα hashes προτιμώνται «επιθέσεις» dictionary attack. δηλαδή λεξικά με λίστες από γνωστά hashes κωδικών που αποτελούνται από λέξεις.
Με αυτοματοποιημένα εργαλεία, συγκρίνουν το hash που βρήκαν με τα hashes του λεξικού, και όταν βρεθεί αυτό που ταιριάζει, απλά βλέπουν σε τι κωδικό αντιστοιχεί (κάτι που αποκλείεται με το παραπάνω πράγμα, γιατί δεν είναι καν λέξη, και είναι και τεράστιο).
Οι brute force επιθέσεις σε hashes είναι ουσιαστικά εντελώς αναποτελεσματικές, αφού το hash είναι παράγωγο του κωδικού (αυτό που χρειάζεται ο επιτιθέμενος είναι ο κωδικός, αφού αυτό «καταλαβαίνει» η σελίδα).

Και τέλος, η άχρηστη πληροφορία της ημέρας:

** Αν και άσχετο με το άρθρο, το salting είναι ένα παράδειγμα εισαγωγής τυχαιότητας σε κωδικούς και αρχεία, προκειμένου να γίνουν πιο απρόβλεπτα και πιο δύσκολα σε παραβίαση. Ένα παράδειγμα salting είναι τα προφίλ στον γκοτζίλλα. Αν δείτε, έχουν άκυρες ονομασίες τύπου «76g89fjh.default». Οπότε αν έχετε 2-3 και παραβιαστεί το ένα από κάποιο σκουπίδι, τα άλλα 2 θα μείνουν ανέπαφα.
Το σκουπίδι δεν θα «περιμένει» αυτή την τυχαιότητα στο όνομα φακέλων του προφίλ, για να «ξέρει» πού βρίσκονται και να τους μολύνει και αυτούς. Ούτε και «ξέρει» με ποια διαδικασία κάνει το salting ο γκοτζίλλας, για να μπορεί να «προβλέψει» ενδεχόμενες ονομασίες, τις οποίες θα αναζητήσει για να μολύνει

.>>> #passwords.

  • Σχόλια

8 Comments:

  1. Εικόνα O γνωστός
    O γνωστός (χωρίς επαλήθευση)Ιουλ 29, 2016 12:18 ΜΜ

    Η μέθοδος που προτείνεις έχει εγγενή μειονεκτήματα: πρέπει, για να θυμάσαι το εκάστοτε password, να έχεις φυσική πρόσβαση στο αρχείο για να κάνεις generate το hash, αν δεν έχεις και θέλεις να μπεις σε έναν σημαντικό λογαριασμό, πχ το ebanking σου, από άλλο υπολογιστή, πως θα το κάνεις; Θα πρέπει να έχεις κάπου ανεβασμένο το αρχείο, να το κατεβάζεις, να βρίσκεις τρόπο στον εκάστοτε υπολογιστή να κάνεις generate με τον ίδιο αλγόριθμο το hash κλπ, πράγμα όχι πάντα εύκολο.
    Επίσης, πολλές υπηρεσίες (και πάλι φέρνω ως παράδειγμα το ebanking) ζητούν κάθε τόσο να αλλάζεις κωδικό, τι θα κάνεις θα κρατάς έναν φάκελο με διαφορετικά αρχεία να κάνεις hash για κάθε μια υπηρεσία, που θα τα αντικαθιστάς κάθε τόσο;
    Την λύση την είπες, και ακούει στο όνομα password manager. Μπορεί να έχεις όλα τα passwords σου κρυπτογραφημένα, ταξινομημένα, και με ενσωματωμένο αλγόριθμο να σου παράγει δυνατά passwords, αν δεν θες να εισάγεις δικό σου.
    Με ένα δυνατό password που θα πρέπει να θυμάσαι (τι να κάνουμε...), είναι κάτι πολύ απλό και συνάμα αποδοτικό σαν επιλογή.
    Επίσης αν έχεις ένα smartphone, περνάς την αντίστοιχη mobile εφαρμογή, και τηρείς ενημερωμένο το αρχείο των κωδικών σου και το έχεις πάντα μαζί σου...Και να σου κλέψουν το κινητό, θα πρέπει να σου το ξεκλειδώσουν, και να σπάσουν την κρυπτογράφηση του αρχείου των κωδικών (μέχρι τότε, θα έχεις αλλάξει εννοείται όλους τους κωδικούς στις σημαντικές υπηρεσίες).

    Προσωπικά χρησιμοποιώ το keepassX δεν ξέρω αν υπάρχει και κανένα καλύτερο!

  2. Εικόνα DarkGoth
    DarkGothΙουλ 29, 2016 15:44 ΜΜ

    "Η μέθοδος που προτείνεις έχει εγγενή μειονεκτήματα: πρέπει, για να θυμάσαι το εκάστοτε password"

    ποιο εκαστωτε password? το αρχειο αρκει να θυμασαι. δεν χρειαζεται να θυμασαι καποιον κωδικο. βγαζεις το hash και το κανεις copy/paste με middle click (ΕΝΝΟΕΙΤΑΙ ΟΧΙ με control-c control-v) εκει που θελεις (και απλα μετα κανεις midle click σε καποια ασχετη λεξη, για να διαγραψεις τον κωδικο απο την προσωρινη «μνημη» του clipboard)

    "να έχεις φυσική πρόσβαση στο αρχείο για να κάνεις generate το hash"

    αυτο εννοειται οτι ειναι πλεονεκτημα και οχι μειονεκτημα. να υπαρχει μονο φυσικη προσβαση, αρα μηδαμηνη πιθανοτητα και υποκλοπης του, και ευρεσης του, το ποιο ακριβως αρχειο εχει χρησιμοποιηθει για ποιον λογαριασμο.

    "αν δεν έχεις και θέλεις να μπεις σε έναν σημαντικό λογαριασμό, πχ το ebanking σου, από άλλο υπολογιστή, πως θα το κάνεις;"

    γιατι να μπεις σε σοβαρους/σημαντικους λογαριασμους απο αλλο πισι? πολυ απλα δεν θα το κανεις, αν θελεις να εισαι ασφαλης. σε τετοια ευαισθητα στοιχεια μπαινουμε ΜΟΝΟ απο δικο μας ελεγμενο συστημα, και ΜΟΝΟ απο καλωδιακο, οχι ασυρματο. elementary my dear watson, οπως λεει και ο sherlock. εχω εδω και 5 χρονια εναν ακυρο λογαριασμο μειλ, για να τρολλαρω σπαμερ, και τον εχω με εναν ηλιθιο κωδικο της κακιας ωρας γιατι δεν τον χρησιμοποιω για τιποτα αλλο. οποτε δεν με νοιαζει και να τον παραβιασουν. το πιστευεις οτι ακομα δεν εχει παραβιαστει? ακομα και σε αυτον συνδεομαι ΜΟΝΟ απο το δικο μου συστημα.

    "Επίσης, πολλές υπηρεσίες (και πάλι φέρνω ως παράδειγμα το ebanking) ζητούν κάθε τόσο να αλλάζεις κωδικό, τι θα κάνεις θα κρατάς έναν φάκελο με διαφορετικά αρχεία να κάνεις hash για κάθε μια υπηρεσία, που θα τα αντικαθιστάς κάθε τόσο"

    γιατι πρεπει να εχω φακελο με διαφορετικα αρχεια? μπορει να εχω ηδη τα αρχεια (ενα σκασμο φωτογραφιες, η, αρχεια μουσικης, η, οτιδηποτε, ακομα και καποια random αρχεια συστηματος, που δεν αλλαζουν, η, ακομα και ενα αρχειο output απο το //dev/random), οποτε επιλεγω ενα αλλο αρχειο να κανω τη δουλεια μου. αλλωστε για μια φορα το μηνα να πω οτι αλλαζω κωδικο, δεν ειναι και τοσο φασαρια.

    "Επίσης αν έχεις ένα smartphone, περνάς την αντίστοιχη mobile εφαρμογή, και τηρείς ενημερωμένο το αρχείο των κωδικών σου και το έχεις πάντα μαζί σου..."

    εχω «smartphone», αλλα ΕΝΝΟΕΙΤΑΙ οτι σε αυτον τον ρουφιανο, δεν προκειται να περασω ΠΟΤΕ κωδικους για ΤΙΠΟΤΑ. δεν τα εμπιστευομαι για τετοια σοβαρα θεματα και δαυτα. πες οτι με το κλεβουν, αργα η γρηγορα θα βρουν τους κωδικους, αν και προφανως θα τους εχω αλλαξει μεχρι τοτε. αν ομως υποθεσουμε οτι με κλεβουν το πισι, αντε να βρουν ποιο αρχειο εχω χρησιμοποιησει, για ποιον λογαριασμο, τι λογαριασμους χρησιμοποιω, η, ακομα και αν οντως εχω χρησιμοποιησει καποιο αρχειο για κωδικο.

    γενικα αυτα που για'σενα θεωρουνται μειονεκτηματα γιατι δεν ειναι ευκολα, για μενα (και για οποιον ειναι διατεθιμενος να φτασει στα ακρα για την ασφαλεια και ιδιωτικοτητα του), ειναι πλεονεκτηματα ακριβως γι'αυτο. ειναι δυσκολα, απροβλεπτα και εντελως random, αρα και πολυ δυσκολοτερα (αν οχι σχεδον ακατορθωτα) να παραβιαστουν. αν θελεις να εισαι 100% σιγουρος για την ασφαλεια και ιδιωτηκοτητα σου, καμια φορα χρειαζεται και πιο ακραιες λυσεις.

    αν σε κλεψουν το κινητο-ρουφιανο, θα τα βρουν αποκρυπτογραφωντας ενα αρχειο. σε εμενα πρεπει να ξερουν ΤΑΥΤΟΧΡΟΝΑ:...

    και ποιο αρχειο εχω χρησιμοποισει (εχω κατι εκατονταδες απο δαυτα εδωμεσα. καλη τυχη να βρουν το σωστο για τον καθε λογαριασμο)

    και την τοποθεσια του αρχειου (γιατι περιλαμβανεται στον κωδικο μαζι με το hash. διασπαρτα σε ολο το συστημα. ας τα βρουν ενα-ενα)

    και σε ποιον λογαριασμο το εχω χρησιμοποιησει (πες οτι βρηκαν ενα αρχειο που τους φαινεται να «φωναζει». σε ποιο λογαριασμο το εχω χρησιμοποιησει, αν βεβαια το εχω χρησιμοποιησει)

    και τι λογαριασμους εχω και χρησιμοποιω (μειλ, λογαριασμους σε σελιδες, κλπ. γιατι κανω αυτοματα purge στο μηρυκαστικο οταν κλεινει)

    και ποιον αλγοριθμο εχω χρησιμοποιησει στο αρχειο (sha, md5, sha512, κλπ)

    και απαραιτητα να εχουν και φυσικη προσβαση στο πισι και τα αρχεια, για να βρουν ολα τα παραπανω

    αν κατι απο ολα αυτα λειπει, καλη τους τυχη. δεν προκεται να βρουν τον κωδικο ουτε του αγιου φ0υ+$0υ

  3. Εικόνα Ο γνωστός του ξάδερφου του μπατζανάκη του γνωστού.
    Ο γνωστός του ξ... (χωρίς επαλήθευση)Αυγ 01, 2016 15:00 ΜΜ

    Πω ρε φίλε. Το τερματίζεις!

  4. Εικόνα DarkGoth
    DarkGothΑυγ 02, 2016 03:53 ΠΜ

    αν ριξεις μια ματια στα αλλα αρθρα που εχω ανεβασει (βαλε στην αναζητηση να σε βγαλει αρθρα με συντακτη darkgoth), θα δεις οτι ανεβαζω σχεδον αποκλειστικα τεχνικα αρθρα, με απιστευτες καφριλες και μοντες, που κανω με το λινουκς. ναι ειναι overkill και καφριλες, αλλα εχουν σιγουρο αποτελεσμα, και πολλα ειναι και εξαιρετικα χρηστικα.

    αν ειχες διαβασει και τα αλλα δικα μου αρθρα, τιποτα απο ολα αυτα τα σουρεαλιστικα καφριλικια δεν θα σε φαινοταν παραξενο. αναφερεσαι σε αρθρα ενως λινουκσακια, και γκοθα. αυτο ειναι απολυτως φυσιολογικο με δαυτα. για να καταλαβεις, το πιο «φυσιολογικο» μου αρθρο ειναι αυτο:... http://osarena.net/node/102080 ... ουδεν σχολιο :D :P

  5. Εικόνα my name
    my name (χωρίς επαλήθευση)Αυγ 04, 2016 11:53 ΠΜ

    Άμα θες να το κάνεις τόσο πολύπλοκο (???!!!??!!!) έστω γιατί απλά δεν κάνεις hash το 123456789 πάλι μακρινάρι θα βγάλει.
    αν και πιο ασφαλές είναι να βάλεις το my_very_long_strong_password και το θυμάσε εύκολα και δεν πρόκειται να σπάσει με brute force τα επόμενα 100 χρόνια

  6. Εικόνα gothlinuks
    gothlinuks (χωρίς επαλήθευση)Αυγ 18, 2016 21:30 ΜΜ

    Γιατι πολυ απλα, ολα τα hash του 1234567890, υπαρχουν σε ΟΛΑ τα λεξικα που χρησιμοποιουνται. Οποτε προφανως δεν μπορει να χρησιμοποιηθει. Ακομα και το πιο απλο dictionary attack θα το σπασει αμεσως.

    Το myverylongpasswordblabla σιγουρα δεν θα παραβιαστει ευκολα, αλλα και παλι θα πρεπει να το θυμαμαι για να βγαλω το hash του. Οποτε γιατι να μην χρησιμοποιησω το ιδιο? Ετσι ομως δεν γλιτωνω και τιποτα.

  7. Εικόνα hlias
    hlias (χωρίς επαλήθευση)Αυγ 18, 2016 11:53 ΠΜ

    παρα πολυ ασφαλης τροπος αλλα πως γινεται να μην μπορει ο οποισδηποτε να βλεπει τις εντολες στο τερματικο μου(υποκλεπτοντας μεσω liv-usb το αρχειο .bash_history..................) ,οποτε εκει μπορει να δει και το αρχειο που χρησιμοποιω για hash και την διαδρομη του ακομη και τον αλγοριθμο hash.Πρεπει οποσδηποτε να τις διαγραφει μετα απο καθε χρηση;
    ΕΥΧΑΡΙΣΤΩ

  8. Εικόνα gothlinuks
    gothlinuks (χωρίς επαλήθευση)Αυγ 18, 2016 21:12 ΜΜ

    Αν βαλεις καναδυο spaces πριν την εντολη, δεν την κραταει στο ιστορικο. Η, αν δεν σε νοιαζει να εχεις ιστορικο, μπορεις να το απενεργοποιησεις εντελως. Να διαγραψεις το αρχειο, δεν χρειαζεται. Αν παρολα αυτα θελεις να το αδειασεις, αν δωσεις

    Echo "">".bash_history"

    Το αδειαζει τελειως

Scroll to Top