Pasahitz

erabiltzaile batek gune pertsonal edo pribatu batean sartzeko eman behar duen kodea

Pasahitza (ingelesez: password) baliabide baterako sarbidea kontrolatzeko balio duen karaktere-kate sekretua da. Orokorrean, software baliabide baterako sarrera babesteko ezartzen da: sistema horretan sartu behar denak bakarrik jakin behar du eta beste pertsona guztientzat sekretua izan behar du. Gehienetan, erabiltzaile-izen batekin lotuta egoten da eta biak idatzi behar izaten dira.[1][2]

Pasahitza eskatzeko leihoa Euskal Wikipedian

Pasahitzen erabilera antzinakoa da: posizio bat zaintzen zuten zaindariek pasatu nahi zuen edonori "santua eta seinalea" eskatzen zioten. Seinalea ezagutzen zuenari bakarrik uzten zioten sartzen. Aro teknologikoan, pasahitzak asko erabiltzen dira konputagailuen (telefono mugikorrak, kable bidezko telebista-deskodetzaileak, eskudiruzko kutxazain automatikoak...) sistema eragileetarako sarbidea babesteko. Ordenagailu tipiko batek hainbat helbururekin erabil ditzake pasahitzak, erabiltzaile-kontuetarako konexioak barne, zerbitzarien posta elektronikora joz, datu-baseetara, sareetara eta web-orrietara sartuz, baita egunkari elektronikoetan albisteak irakurtzeko ere.

Historia

aldatu

Pasahitzak antzinatetik erabili dira. Eremu batean sartu nahi zutenei pasahitz bat edo hitz-gako bat emateko eskatzen zieten zaindariek, eta pasahitza ezagutuz gero bakarrik uzten zioten pertsona edo talde bati pasatzen. Polibiok honela deskribatzen du kontsignak erromatar armadan banatzeko sistema:

Gauerako kontsignaren pasabidea ziurtatzeko modua honako hau da: infanteriako eta zalditeriako klase bakoitzeko hamargarren unitatetik (manipulotik), kalearen beheko muturrean kanpatuta dagoen manipulotik, gizon bat aukeratzen da guardia-zerbitzutik salbuetsia izateko, eta arratsaldero joaten da tribunoaren dendara, eta harengandik kontsigna bat jasotzen du — hitz bat idatzirik duen egurrezko oholtxo bat dena—. Agur esan eta bere geletara itzultzean kontsigna eta ohola lekukoen aurrean pasatzen dizkio hurrengo manipuloko komandanteari, eta honek berriro hurrengokoari, Denek gauza bera egiten dute lehen manipuloetara iristen den arte, tribunoaren dendatik gertu kanpatutakoak. Azken horiek taula eman behar diote tribunoari, ilundu baino lehen. Beraz, jaulkitako guztiak itzuliak badira, tribunoak badaki kontsigna manipulo guztiei emana izan dela, eta guztiengandik pasatu dela berarengana itzultzeko bidean. Horietakoren bat falta bada, berehala ikertzen du, marken arabera badakielako zein alderditatik ez den taula itzuli, eta gelditzearen arduradunak merezi duen zigorra jasotzen du.[3]

Erabilera militarreko pasahitzak eraldatu egin ziren pasahitz bat ez ezik, pasahitz bat eta kontrapasahitz bat ere sortuz; adibidez, Normandiako guduko lehen egunetan, Estatu Batuetako 101. dibisioko paraxutistek pasahitz bat erabili zuten —flash— erronka gisa adierazten zen, eta erantzun egokia eman behar zitzaion —thunder. Erronka eta erantzuna hiru egunetik behin aldatzen ziren. Paraxutista amerikarrek ere "cricket" bezala ezagutzen zen gailu bat erabili zuten E-egunean, aldi baterako identifikazio-metodo bakar gisa; gailuak pasahitz baten ordez emandako klik metaliko bati bi klikekin erantzun behar zitzaion.[4]

Ordenagailuekin informatikaren lehen egunetatik erabili izan dira pasahitzak. 1961ean MITen sartutako CTSS (Cmpatible Time-Sharing System ) sistema eragilea pasahitzen bidezko sartzea inplementatu zuen lehen sistema informatikoa izan zen.[5][6]l LOGIN komando bat zuen CTSSk, erabiltzaile-pasahitz bat eskatzen zuena. "PASSWORD hitza erakutsi ondoren, sistemak inprimatzeko mekanismoa itzaltzen du, ahal bada, erabiltzaileak bere pasahitza pribatutasunez tekleatu ahal izateko"[7] 1970.eko hamarkadaren hasieran, Robert Morrisek sarbide pasahitzak hash moduan gordetzeko sistema bat garatu zuen, Unix sistema eragilearen parte gisa. Sistema Hagelin errotorea zuen makina kriptografiko simulatu batean oinarritzen zen, eta lehen aldiz Unixen 6. edizioan agertu zen 1974an.

Azken urteetan, erabltzaile-izenak eta pasahitzak ia beti erabiltzen dira konputagailuen (telefono mugikorrak, kable bidezko telebista-deskodetzaileak, eskudiruzko kutxazain automatikoak...) sistema eragileetarako sarbidea babesteko. Ordenagailu-erabiltzaile tipiko batek pasahitzak edukitzen ditu hainbat helburutarako: erabiltzaile-kontuetarako konexioak, posta elektronikoa bilatzeko, atzipenetarako aplikazioetara, datu-baseetara, sareetara eta web-orrietara sartzeko, baita goizero egunkari elektronikoetan albisteak irakurtzeko ere.

Aukeratu pasahitz seguru eta gogoangarri bat

aldatu

Jabearentzat pasahitz bat zenbat eta errazagoa izan gogoratzeko, orduan eta errazagoa izango da erasotzailearentzat pasahitza asmatzea.[8] Hala ere, gogoratzeko zailak diren pasahitzek ere murriztu dezakete sistema baten segurtasuna; izan ere: a) erabiltzaileak pasahitza idatzi edo elektronikoki gorde behar izatea ekar dezake, b) erabiltzaileak pasahitza maiztasunez berrezarri beharko du, eta c) litekeena da erabiltzaileak pasahitz bera hainbat kontutan berriro erabiltzea. Era berean, pasahitzaren baldintzak zenbat eta zorrotzagoak izan (maiuskularik, minuskularik, digiturik, karaktere berezirik... baditu), orduan eta handiagoa izango da erabiltzaileak sistema babesteko duen maila.[9] Aldiz, beste batzuek diote pasahitz luzeagoek segurtasun handiagoa ematen dutela (entropiako arrazoiengatik, adibidez) karaktere barietate handia duten pasahitz laburragoek baino.[10]

 
"Maritxu nora zoaz" pasahitza

The Memorability and Security of Passwords lanean,[11] Jeff Yan-ek eta beste batzuek aztertzen dute ea zer eragina duten erabiltzaileei emandako aholkuek pasahitzaren aukeraketa egoki batean.

 
"Bilbo Donostia" pasahitza

Esaldi batean pentsatzean eta hitz bakoitzaren lehen letra hartzean oinarritutako pasahitzak inozoki hautatutako pasahitzak bezain gogoangarriak direla deskubritu zuten, eta zoriz sortutako pasahitzak bezain deszifratzeko zailak.

Erlaziorik gabeko bi hitz edo gehiago elkarrekin konbinatzea eta hizki batzuk karaktere edo zenbaki bereziekin trukatzea beste metodo on bat da,[12] baina hiztegiko hitz bakar bat ez da pasahitz ona. Pasahitzak sortzeko pertsonalki diseinatutako algoritmo bat izatea beste metodo on bat da.

Erabiltzaileei "letra larriz eta xehez egindako karaktere nahasketa batean" datzan pasahitz bat gogoratzeko eskatzea bit-sekuentzia bat gogoratzeko eskatzearen antzekoa da: gogoratzeko zaila eta deszifratzeko pixka bat zailagoa (adibidez, 7 letrako pasahitzetarako 128 aldiz zailagoa da deszifratzea, erabiltzaileak hizki maiuskula bat bakarrik jartzen ez badu behintzat).

Erabiltzaileei letrak zein digituak erabiltzeko eskatzeak erraz asmatzeko moduko ordezkapenak egitea ekarriko du, hala nola "e" → "3" eta " i "→" 1 ". Ordezkapen horiek ondo ezagutzen dituzte erasotzaileek. Era berean, pasahitza teklatu-ilara bat gorago idaztea erasotzaileek ezagutzen duten beste trikimailu arrunt bat da.[13]

2013an, Googlek pasahitz mota ohikoenen zerrenda argitaratu zuen, guztiak ere segurtasunik gabekotzat jotakoak, asmatzeko errazegiak direlako (bereziki pertsona baten sare sozialetan ikertu ondoren): [14]

  • Maskota baten izena, ume batena, familiako kide batena, edo lankide batena...
  • Urteurrenen eta urtebetetzeen datak, jaiotza-data adibidez.
  • Jaiolekua.
  • Festa kuttun baten izena.
  • Gustuko kirol talde batekin loturiko zerbait.
  • "pasahitza" "clave", edo "password" hitzak.
  • "12345678", "88888888"...

Pasahitzen sistema baten segurtasuneko faktoreak

aldatu

Pasahitz batek babesten duen sistema batek lortzen duen segurtasun-maila hainbat faktoreren araberakoa da. Sistemak, bere osotasunean, segurtasun sendo baterako diseinatuta egon behar du, birus informatikoen, gizakiak ingurunean egiten dituen erasoen eta antzekoen aurkako babesarekin. Segurtasun fisikoko arazoak ere kezkagarriak dira, sorbalda-surfing-etik hasi eta mehatxu fisiko sofistikatuagoetaraino, hala nola bideo-kamerak eta 'teklatu-usaintzaileak' erabiltzea. Aukeratzen diren pasahitzak erasotzailearentzat asmatzeko zailak izan behar dira, baina baita erasotzailearen eskura dauden eraso-sistema automatikoentzat. Informazio gehiago nahi izanez gero, kontsultatu zibersegurtasun atala.

Gaur egun, praktika arrunta da sistema informatikoek pasahitzak ezkutatzea idazten diren bitartean. Inguruan egon litekeen edonork pasahitza irakurtzea eragoztea da neurri horren helburua; hala ere, batzuek diote praktika horrek akatsak eta estresa eragin ditzakeela, eta horrek pasahitz ahulak aukeratzera bultzatzen ditu erabiltzaileak. Alternatiba bezala, erabiltzaileek pasahitzak erakusteko edo ezkutatzeko aukera izan beharko lukete idazten dituzten heinean (jada, sistema informatiko askok ematen dute aukera hau).[15]

Sarbidea kontrolatzeko xedapen eraginkorrek muturreko neurriak hartzera behartu ditzakete pasahitza edo fitxa biometrikoa eskuratu nahi duten gaizkileen lana eragozteko.[16] Hain muturrekoak ez diren neurrien artean estortsioa, gomazko mahuken bidezko kriptoanalisia eta alboko kanal bidezko erasoa daude.

Jarraian, pasahitzak kudeatzeko alderdi espezifiko batzuk azalduko ditugu, pasahitz bat pentsatu, aukeratu eta erabiltzean kontuan hartu beharrekoak.

Erasotzaile batek pasahitz asmatuak probatzeko duen abiadura

aldatu

Erasotzaile batek asmatutako pasahitzak sistemara bidaltzeko duen abiadura funtsezko faktorea da sistemaren segurtasuna zehazteko. Sistema batzuek segundo batzuetako itxarote-denbora ezartzen dute, pasahitza sartzeko huts egindako saiakera-kopuru txiki baten ondoren (adibidez, hiru). Beste zaurgarritasunik ezean, sistema horiek seguruak izan daitezke modu eraginkorrean pasahitz nahiko errazekin, ondo aukeratu badira eta asmatzen errazak ez badira.[17]

Sistema askok pasahitzaren hash kriptografikoa gordetzen dute. Erasotzaile batek hash pasahitzen artxibora sartzea lortzen badu, igarkizuna lineaz kanpo egin daiteke, benetako pasahitzaren hash balioaren aurkako pasahitz hautagaiak azkar probatuz. Web-zerbitzari baten kasuan, lineako erasotzaile batek zerbitzariak erantzungo duen abiaduran bakarrik asma dezake; lineaz kanpoko erasotzaile batek, berriz, erasoa gauzatzen den ekipo informatikoak mugatutako denboran asma dezake.

Gako kriptografikoak sortzeko erabiltzen diren pasahitzak (diskoak enkriptatzeko edo Wi-Fi segurtasuna bermatzeko, adibidez) ere tasa altuko asmatzaileen xede izan daitezke. Ohizkoen diren pasahitzezko zerrendak oso eskuragarri daude, eta oso eraginkorrak izan daitezke pasahitz-erasoetan. (Ikus pasahitz krakeatze) Egoera horietan, segurtasun-maila konplexutasun egokiko pasahitz edo 'pasaesaldien' erabileraren araberakoa da, eta, horren ondorioz, mota horretako eraso bat bideraezin bihur daiteke erasotzailearentzat. Sistema batzuek, PGP eta Wi-Fi WPA kasu, kalkulu intentsiboko hash bat aplikatzen diote pasahitzari, eraso horiek moteltzeko (key stretching)

Mugak pasahitzen asmakizunen kopuruan

aldatu

Erasotzaile batek pasahitz bat eskuratzeko behar duen abiadura mugatzeko beste aukera bat da pasahitza sartzeko egin daitezkeen aukera kopurua mugatzea da. Pasahitza desaktibatu egin daiteke, berrezartzeko eskatuz, ondoz ondoko saiakera txar gutxi batzuen ondoren (5 esan dezagun); eta erabiltzaileari pasahitza aldatzeko eska dakioke, aukera txar gehiago metatu ondoren (30 esan dezagun), erasotzaile batek nahierara proba txarren kopuru handi bat egin ez dezan, eta, horretarako, aukera horiek tartekatu egin behar ditu jabeak egindako legezko saiakera onen artean. [18] Erasotzaileek, aitzitik, arintze horren ezagutza erabil dezakete erabiltzaileari zerbitzu ukapenaren eraso bat inplementatzeko, erabiltzailea bere gailutik kanpo nahita blokeatuz; zerbitzu-ukatze horrek beste bide batzuk ireki ditzake erasotzaileak egoera manipula dezan bere onurarako, ingeniaritza sozialaren bidez.

Gordetako pasahitzak

aldatu

Sistema informatiko batzuek erabiltzaileen pasahitzak testu-fitxategian gordetzen dituzte, eta horiekin konparatzen dira erabiltzaileen sarbide-saiakerak. Erasotzaile batek pasahitzen barne-biltegi horretara sartzea lortzen badu, pasahitz guztiak -eta, beraz, erabiltzaile-kontu guztiak- arriskuan jarriko dira. Erabiltzaile batzuek pasahitz bera erabiltzen badute beste sistema batzuetako kontuetarako, horiek ere arriskuan jarriko dira.

Sistema seguruenek pasahitz bakoitza kriptografikoki babestutako modu batean biltegiratzen dute, eta, beraz, benetako pasahitza eskuratzeak zaila izaten jarraituko du sistemarako barne-sarbidea lortzen duen kuxkuxero batentzat; erabiltzaileen sarbide-saiakerak baliozkotzea, berriz, posible da oraindik ere. Seguruenek ez dituzte pasahitzak inola ere gordetzen, noranzko bakarreko deribazio bat baizik, hala nola polinomio bat, modulu bat edo hash funtzio aurreratu bat.[19] Roger Needhamek asmatu zuen pasahitzaren "hash" forma bat testu lauan gordetzeko ikuspegia, gaur egun ohikoa dena.[20][21] Erabiltzaile batek horrelako sistema batean pasahitz bat tekleatzen duenean, pasahitzak maneiatzeko softwarea hash kriptografikoko algoritmo baten bidez exekutatzen da, eta erabiltzailearen sarreratik sortutako hash balioa pasahitzen datu-basean gordetako hash balioarekin bat badator, sarbidea baimentzen zaio. Hash balioa, aurkeztutako pasahitzean eta, ezarpen askotan, gatz bezala ezagutzen den beste ausazko balio osagarri bat erabiltzen da hash funtzio kriptografikoa sendoago izateko. Gatzaren bidez, erasotzaileek pasahitz komunetarako hash balioen zerrenda erraz eraikitzea saihesten da.[22] MD5 eta SHA1 maiz erabiltzen diren hash funtzio kriptografikoak dira, baina ez dira gomendatzen pasahitzen hasherako, baldin eta eraikuntza handiago baten zati gisa erabiltzen ez badira, PBKDF2n bezala.[23]

Biltegiratutako datuak —batzuetan "pasahitz-egiaztatzailea" edo "pasahitz-hash" izenekoak— Modular Crypt Format (Kripta Modular Formatuan) edo RFC 2307 hash formatuan biltegiratzen dira, batzuetan /etc/passwd edo etc/shadow fitxategietan.[24]

Pasahitzak biltegiratzeko metodo nagusiak testu laua, hash-fitxategia, hash moduan eta gazia, eta zifratze itzulgarria dira.[25] Erasotzaile batek pasahitzen artxibora sartzea lortzen badu, orduan testu lau gisa biltegiratzen bada, hori krakeatzea ez da beharrezkoa. Hash moduan badago, baina ez gazia, orduan ahula da ostadar-taulako erasoen aurrean (krakeatzea baino eraginkorragoak izaten dira). Enkriptatuta badago modu itzulgarrian, erasotzaileak fitxategiarekin batera desenkriptazio-gakoa lortzen badu, orduan krakeatzeko ez da beharrezkoa; gakoa lortzen ez badu, berriz, krakeatzea ezinezkoa da. Beraz, pasahitzak biltegiratzeko ohiko formatuen artean pasahitzak gatzarekin hash-eratu direnean bakarrik da beharrezkoa eta posible krakeatzea.[26]

Hash kriptografia-funtzio bat ondo diseinatuta badago, bideraezina da ikuspuntu konputazionaletik funtzioa alderantzizkatzea testu-fitxategiko pasahitz bat berreskuratzeko. Hala ere, erasotzaile batek eskura dituen tresnak erabil ditzake pasahitzak asmatzen saiatzeko. Tresna horiek pasahitz posibleen hash bidez funtzionatzen dute, eta asmakizun bakoitzaren emaitza pasahitzaren hash errealarekin alderatzen dute. Erasotzaileak kointzidentzia bat aurkitzen badu, badaki bere suposizioa elkartutako erabiltzailearen benetako pasahitza dela. Pasahitzak deszifratzeko tresnek indar gordinez funtziona dezakete (hau da, karaktere-konbinazio posible guztiak probatuz) edo zerrenda bateko hitz bakoitzaren hash bidez; Interneten hizkuntza askotan aurki daitezke pasahitz posibleen zerrenda zabalak [19] Pasahitzak krakeatzeko tresnak edukitzeak aukera ematen die erasotzaileei gaizki aukeratutako pasahitzak erraz berreskuratzeko. Bereziki, erasotzaileek azkar berreskura ditzakete pasahitz laburrak, hiztegiko hitzak, hiztegiko hitzen aldaera sinpleak edo erraz asma daitezkeen patroiak erabiltzen dituzten pasahitzak.[27] DES algoritmoaren bertsio aldatua lehen Unix sistemetan pasahitzen hashing algoritmoaren oinarri gisa erabili zen.[28] Crypt algoritmoak 12 biteko gatz-balioa erabiltzen zuen erabiltzaile bakoitzarentzat hash bakarra izateko, eta DES algoritmoaren 25 aldiz iteratzen zuen, hash funtzioa moteldu ahal izateko. Bi neurriok asmaketa automatizatuzko erasoak zapuztearren asmatu zituzten.[29] Erabiltzailearen pasahitza balio finko bat zifratzeko gako gisa erabiltzen zen. Unix sistema berrienek edo Unix moduko sistemek (adibidez, Linux edo zenbait BSD sistema) pasahitzetarako hash-algoritmo seguruagoak erabiltzen dituzte, PBKDF2, bcrypt eta scrypt kasu, gatz-balio handiak eta iterazio-kostu edo iterazio kopuru doigarri bat dituztenak.[30] Gaizki diseinatutako hash funtzio batek erasoak egingarriak izatea eragin dezake, pasahitz indartsu bat aukeratuta ere. Ikus hash LM, hedapen handiko baina segurtasunik gabeko adibide bat ikusteko.[31]

Pasahitz bat sare batean egiaztatzeko metodoak

aldatu

Pasahitzaren transmisio soila[32]

aldatu

Pasahitza harrapatua izan daiteke, autentifikatzen duen makinari edo pertsonari transmititzen zaion bitartean, hau da, intertzeptazioarekiko (hau da, "kuxkuxeatua izateko") kaltebera da. Pasahitza seinale elektriko gisa garraiatzen bada erabiltzailearen sarbide-puntuaren eta pasahitzen datu-basea kontrolatzen duen sistema zentralaren artean segurua ez den kable fisiko batean, telefonoz entzuteko metodoen bidez kontrolatuko da. Interneten paketatutako datu gisa garraiatzen bada, saioa hasteko informazioa duten datagramak (datu-paketeak) behatzeko gai den edonork kuxkuxeatu dezake, eta, gainera, bera detektatua izateko probabilitate oso baxuarekin.

Posta elektronikoa pasahitzak banatzeko erabiltzen da batzuetan, baina normalean metodo hori ez da segurua. Mezu elektroniko gehienak testu-fitxategietan bidaltzen direnez, pasahitz bat duen mezu bat erraz irakur dezake edozein kuxkuxerok mezua garraiatu bitartean. Gainera, mezua testu-fitxategi gisa gordeko da gutxienez bi ordenagailutan: bidaltzailearena eta hartzailearena. Bidaietan bitarteko sistemetatik igarotzen bada, seguru asko han ere biltegiratuko da, denbora batez gutxienez, eta segurtasun-kopiako, katxeko edo historialeko fitxategietan kopiatu ahal izango da sistema horietako edozeinetan.

Bezeroarenean zifratzeak babesten soilik posta maneiatzeko sistemaren zerbitzaritik bezeroaren makinara transmisioa. Posta elektronikoaren aurreko edo ondorengo emankizunak ez dira babestuta egongo, eta mezu elektronikoa, ziurrenik, hainbat ordenagailutan gordeko da, jatorri- eta helmuga-konputagailuetan, gehienetan testu huts moduan.

Kanal zifratuen bidezko transmisioa[32]

aldatu

Internetez bidalitako pasahitzak atzemateko arriskua murriztu egin daiteke, besteak beste, babes kriptografikoa erabiliz. Erabiliena Transport Layer Security (TLS, lehen SSL deitua) da, gaur egungo Interneteko nabigatzaile gehienetan txertatua. Nabigatzaile gehienek erabiltzailea TLS/SSLk babestutako truke batez ohartarazten dute zerbitzaria giltzarrapoko ikono itxi bat erakutsiz, edo beste zeinuren bat, TLS erabiltzen denean. Beste teknika batzuk ere erabiltzen dira; ikus kriptografia.

Hash-ean oinarritutako erronka-erantzun metodoak

aldatu

Tamalez, gatazka dago gordetako hash pasahitzen eta hash-ean oinarritutako erronka-erantzun autentifikazioaren artean; azken horrek eskatzen du bezero batek zerbitzari bati erakustea badakiela zein den sekretu partekatua (hau da, pasahitza), eta, horretarako, zerbitzariak bere forma biltegiratuaren sekretu partekatua lortzeko aukera izan behar du. Urrutiko autentifikazioa egiten duten sistema askotan (Unix motakoak barne), partekatutako sekretua hash forma bihurtu ohi da, eta pasahitzak lineaz kanpoko asmakizun-erasoen eraginpean jartzeko muga larria du. Gainera, hash hori sekretu partekatu gisa erabiltzen denean, erasotzaile batek ez du jatorrizko pasahitza behar bere burua urrutitik kautotzeko, urrutitik autentifikatzeko; hash hori baino ez du behar.

Zero ezagutzako pasahitzaren probak[32]

aldatu

Pasahitz bat transmititu beharrean, edo pasahitzaren hash-a transmititu beharrean, pasahitz bidez kautotutako gakoak adosteko sistemek zero ezagutza-pasahitzaren proba bat egin dezakete, pasahitza azaldu gabe ezagutzen dutela frogatzeko.

Urrats bat harago joanez, pasahitz bidez kautotutako gakoak adosteko sistema areagotuek (adibidez, AMP, B-SPEKE, PAK-Z, SRP-6) gatazka- zein hash-sisteman oinarritutako metodoen mugak saihesten dituzte. Sistema areagotu batek bezero bati pasahitzaren ezagutza zerbitzari bati frogatzeko aukera ematen dio, non zerbitzariak hash pasahitz bat bakarrik ezagutzen duen, eta sartzeko hash gabeko pasahitza behar den.

Pasahitzak aldatzeko prozedurak

aldatu

Oro har, sistema batek pasahitz bat aldatzeko modua eman behar du, dela erabiltzaile batek uste duelako egungo pasahitza konprometitua izan dela (edo izan zitekeela), dela zuhurtasun-neurri gisa. Zifratu gabeko sistemara pasahitz berri bat pasatzen bada, segurtasuna gal daiteke (adibidez, telefono-entzuketen bidez) pasahitz berria pasahitzen datu-basean instalatu baino lehen, eta pasahitz berria langile konprometitu bati ematen bazaio, gutxi irabazten da. Webgune batzuek erabiltzaileak hautatutako pasahitza zifratu gabeko berrespen-mezu elektroniko batean sartzen dute, zaurgarritasuna nabarmen areagotuz.

Nortasuna kudeatzeko sistemak gero eta gehiago erabiltzen dira galdutako pasahitzen ordezkoak automatizatzeko. Ezaugarri horri autozerbitzuko pasahitza berrezartzea esaten zaio. Erabiltzailearen nortasuna egiaztatzeko, galderak egiten dira eta erantzunak aurrez gordetakoekin alderatzen dira (hau da, kontua ireki zenean).

Pasahitza berrezartzeko galdera batzuek hedabide sozialetan aurki daitekeen informazio pertsonala eskatzen dute, amaren ezkongabe-abizena, adibidez. Ondorioz, segurtasun-aditu batzuek norberaren galderak asmatzea edo erantzun faltsuak ematea gomendatzen dute.[33]

Pasahitzaren bizi-luzera

aldatu

"Pasahitzaren zahartzea" sistema eragile batzuen ezaugarria da, eta erabiltzaileak pasahitzak maiz aldatzera behartzen ditu (adibidez, hiru hilean behin, hilero edo are maizago). Politika horiek protestak eragiten dituzte kasurik onenean, eta etsaitasuna txarrenean. Askotan handitu egiten da pasahitza idazten duten eta erraz aurki daitekeen lekuan uzten duten pertsonen kopurua, bai eta laguntza teknikoko zerbitzura egindako deiak ere, ahaztutako pasahitza berrezartzeko. Erabiltzaileek pasahitz sinpleagoak erabil ditzakete edo gai sendo baten gaineko aldakuntza-patroiak garatu, pasahitz gogoangarriak mantentzeko.[34] Gai horiek direla eta, nolabaiteko eztabaida dago pasahitzen zahartzea aplikatzea ea eraginkorra ote den zehazteko.[35] Pasahitz bat aldatzeak ez du gehiegikeria saihestuko kasu gehienetan. Hala ere, norbaitek pasahitza baliabideren baten bidez eskuratu ahal izan badu, pasahitzaren aldaketak abusurako leihoa mugatzen du. [36]

Erabiltzaile kopurua pasahitz bakoitzeko

aldatu

Sistema bateko erabiltzaile bakoitzari bere pasahitza esleitzea hobe da sistemaren erabiltzaile legitimoek pasahitz bakarra partekatzea baino, segurtasunaren ikuspuntutik, hain zuzen ere. Horren arrazoia da erabiltzaileak prestago daudela beste pertsona bati pasahitz partekatu bat esateko, pasahitz esklusibo bat baino. Pasahitz bakarrak ere ez dira hain egokiak aldatzeko, pertsona askori aldi berean esan behar baitzaizkie, eta zaildu egiten dute erabiltzaile jakin bati sarbidea kentzea, adibidez, graduazioaren edo dimisioaren kasuan. Saio-hasiera bereiziak ere askotan erabiltzen dira kontuak emateko, adibidez, datu bat nork aldatu duen jakiteko.

Pasahitzen segurtasun-arkitektura

aldatu

Pasahitz batek babesten duen sistema informatiko baten segurtasuna hobetzeko erabiltzen diren teknika ohikoen artean, honako hauek daude:

  • Ez erakustea pasahitza bistaratze-pantailan, izartxoak (*) edo buletak (•) erabiliz idazten ari garen bitartean.
  • Luzera egokia duten pasahitzak baimentzea. (Heredatutako sistema eragile batzuek, Unix eta Windowsen lehen bertsioak barne, gehienez 8 karakterera mugatzen zituzten pasahitzak, eta horrek segurtasuna murrizten zuen).
  • Erabiltzaileei pasahitza berriz sartzeko eskatzea jarduerarik gabeko aldi baten ondoren (erdi deskonexioko politika bat).
  • Pasahitzen politika aplikatzea, horien indarra eta segurtasuna areagotzeko.
  1. Pasahitza aldatu behar izatea aldian-aldian.
  2. Ausaz aukeratutako pasahitzak esleituz.
  3. Pasahitzaren gutxieneko luzerak eskatzea.[23]
  4. Sistema batzuek eskatzen dute pasahitz batean hainbat motatako karaktereak sartzea; adibidez, "Gutxienez letra larri bat eta letra xehe bat izan behar ditu". [37]
  5. Erabili pasahitzen zerrenda beltz bat pasahitz ahulen eta asmatzeko errazen erabilera blokeatzeko.
  6. Teklatu bidezko sarrerari beste aukera bat ematea (adibidez, ahozko pasahitzak edo identifikatzaile biometrikoak).
  7. Autentifikazio-sistema bat baino gehiago eskatzea, hala nola bi faktore kautotzea, bi faktore autentifikatzea (erabiltzaileak duen zerbait eta ezagutzen duen zerbait).
  • Tunel zifratuak edo pasahitz bidez kautotutako gakoak adosteko sistema erabiltzea, sareari egindako erasoen bidez guk transmititutako pasahitzetara inor sartzea saihesteko
  • Denbora-tarte jakin batean baimendutako akatsen kopurua mugatzea (kanpoko batek pasahitza asmatzeko egin litzakeen saioei muga jartzeko). Behin mugara iritsita, ondorengo saiakerek huts egingo dute (pasahitza zuzentzeko saiakerak barne) hurrengo denbora-tartea hasi arte. Hala ere, hori kaltebera da kanpoko inork zerbitzu horren erabilera guri nahita blokeatu nahi badigu.
  • Pasahitzak bidaltzeko saiakeren artean atzerapen bat sartzea, pasahitzak asmatzeko programa automatikoak moteltzeko.

Politika zorrotzagoak aplikatzeko neurri batzuek erabiltzaileak kexatzeko arriskua ekar dezakete, eta, ondorioz, segurtasuna murriztu.

Pasahitza berrerabiltzea

aldatu

Ordenagailu-erabiltzaileen artean ohikoa da pasahitz bera hainbat lekutan berrerabiltzea. Horrek segurtasunerako arrisku handia dakar, erasotzaile batek leku bakarra jarri behar baitu arriskuan biktimak erabiltzen dituen beste leku batzuetara sartu ahal izateko. Arazo hori larriagotu egiten da erabiltzaile-izenak berrerabiltzeagatik eta saioa posta elektronikoz hastea eskatzen duten webguneengatik, erasotzaileari erabiltzaile bakar baten jarraipena hainbat gunetan egitea errazten baitio. Pasahitzak berrerabiltzea saihestu edo minimizatu egin daiteke teknika mnemoteknikoak erabiliz, pasahitzak paper batean idatziz edo pasahitz-kudeatzaile bat erabiliz.[38]

Redmondeko Dinei Florencio eta Cormac Herley ikertzaileek, Carletongo Unibertsitateko (Kanada) Paul C. van Oorschotekin batera,adierazi dute ezin dela pasahitzen berrerabilera ekidin, eta erabiltzaileek segurtasun txikiko webguneetako pasahitzak berrerabili beharko lituzketela (datu pertsonal gutxi eta finantza-informaziorik ez dutenak, adibidez), baina kontu garrantzitsu batzuetarako bai, horietarako pasahitz luzeak eta konplexuak gogoratzeko ahalegina egin beharko luketela. Forbesek antzeko argudioak aurkeztu zituen, norberaren pasahitz guztiak maiz ez aldatzearen alde, giza memoriaren mugak direla eta.[34]

Pasahitzak paperean idaztea

aldatu

Historikoki, segurtasun arloko aditu askok beren pasahitzak buruz ikasteko eskatzen zioten jendeari: "Inoiz ez idatzi pasahitz bat". Duela gutxi, segurtasun-aditu askok, Bruce Schneierrek kasu, gomendatzen dute jendeak memorizatzeko zailegiak diren pasahitzak erabiltzea, paper batean idaztea eta diru-zorro batean gordetzea. [39] [40] [41] [42][43][44][45]

Pasahitzak kudeatzeko softwareak ere pasahitzak modu seguru samarrean gorde ditzake, pasahitz nagusi bakarra duen artxibo zifratu batean.

Heriotzaren ondoren

aldatu

Londresko Unibertsitateko inkesta baten arabera, hamar pertsonatik bat bere pasahitzak testamentuetan uzten ari da, hiltzen direnean informazio garrantzitsu hori helarazteko. Inkestaren arabera, pertsonen heren bat ados dago pasahitz bidez babestutako datuak testamentuan pasatzeko bezain garrantzitsuak direla.[46]

Faktore anitzeko autentifikazioa

aldatu

Faktore anitzeko autentifikazio-planek pasahitzak ("ezagutza-faktore" gisa) autentifikazio-bitarteko batekin edo gehiagorekin konbinatzen dituzte, autentifikazioa seguruagoa izan dadin eta konprometitutako pasahitzekiko zaurgarritasun txikiagoa izan dezan. Adibidez, bi faktoreko saio-hasiera soil batek testu-mezu bat, posta elektroniko bat, telefono-dei automatizatu bat edo antzeko alerta bat bidal lezake saio bat hasi nahi den bakoitzean, agian kode bat emanez, pasahitz batez gain [47] sartu behar dena. Faktore sofistikatuenen artean hardware tokenak eta segurtasun biometrikoa daude.

Pasahitzen erregelak

aldatu

Erakunde gehienek pasahitz-politika bat zehazten dute, eta pasahitzak osatzeko eta erabiltzeko baldintzak ezartzen dituzte. Normalean, gutxieneko luzera, eskatutako kategoriak (adibidez, maiuskulak eta minuskulak, zenbakiak eta karaktere bereziak), debekatutako elementuak (adibidez, izen propioaren erabilera, jaioteguna, helbidea, telefono-zenbakia) ezartzen dituzte. Gobernu batzuek autentifikazio-esparru nazionalak dituzte [48], eta horiek definitzen dituzte gobernu-zerbitzuen erabiltzaileen autentifikazio-baldintzak, pasahitzen eskakizunak barne.

Webgune askok arau estandarrak aplikatzen dituzte, hala nola gutxieneko eta gehieneko luzera, baina konposizio-arauak ere izan ohi dituzte, hala nola gutxienez letra larri bat eta zenbaki edo ikur bat sartzea. Azken arau horiek, zehatzenak, Arauen eta Teknologiaren Institutu Nazionalaren (NIST) 2003ko txosten batean oinarritzen ziren neurri handi batean. Txosten horren egilea Bill Burr da [49], eta bertan, jatorrian, zenbakiak, karaktere ilunak eta letra larriak erabiltzea eta aldizka eguneratzea proposatzen zen. 2017ko Wall Street Journal egunkariaren artikulu batean, Burrek proposamen horiek deitoratzen zituela jakinarazi zuen eta akats bat egin zuela horiek gomendatzerakoan [50].

NISTen txostenaren 2017ko berridazketa baten arabera, webgune askok beren erabiltzaileen segurtasunean kontrako eragina duten arauak dituzte. Horrek konposizio-arau konplexuak barne hartzen ditu, baita denbora-tarte jakin batzuen ondoren pasahitza nahitaez aldatzea ere. Arau horiek luzaroan orokortu badira ere, erabiltzaileek eta zibersegurtasuneko adituek ere gogaikarritzat eta ez-eraginkortzat jo dituzte [51]. NISTek esaldi luzeagoak pasahitz gisa erabiltzea gomendatzen die pertsonei (eta webguneei pasahitzaren gehieneko luzera handitzeko aholkatzen die), "Ilusiozko konplexutasunez" gogoratzeko zailak diren pasahitzen ordez, "PA55w+rd" bezala [52]. "pasahitz" pasahitza erabiltzea galarazten zaion erabiltzaile batek "Pasahitz1" aukera dezake zenbaki bat eta letra larri bat sartzeko eskatzen bazaio. Pasahitzaren aldizkako aldaketa behartuekin konbinatuta, gogoratzeko zailak baina deszifratzeko errazak diren pasahitzak ekar ditzake horrek. [49]

Paul Grassik, 2017ko NISTen txostenaren egileetako batek, xehetasun gehiago landu zituen: "Mundu guztiak daki harridurazko zeinu bat 1, edo I bat dela, edo pasahitzaren azken karakterea dela. $ S edo 5 bat dela. Trikimailu ezagun hauek erabiltzen baditugu, ez dugu aurkaririk engainatzen. Pasahitzak gordetzen dituen datu-basea engainatzen ari gara besterik gabe, erabiltzaileak zerbait ona egin duela pentsa dezan. "[51]

Pasahitzak krakeatzea

aldatu

Pasahitzak deszifratzen saiatzea, denborak eta diruak ahalbidetzen duten adina aukera bilatuz, indar gordineko erasoa da. Lotutako metodo bat, kasu gehienetan dezente eraginkorragoa dena, hiztegi eraso bat da. Hiztegi eraso batean, hiztegi baten edo gehiagoren hitz guztiak probatzen dira. Baita pasahitz komunen zerrendak ere.

Pasahitzaren indarra pasahitz bat asmatu edo aurkitu ezin izateko probabilitatea da, eta erabilitako eraso-algoritmoaren arabera aldatzen da. Kriptologoek eta informatikariek indarra edo "gogortasuna" aipatu ohi dute entropia terminoetan. [19]

Erraz deskubritzen diren pasahitzei ahulak edo zaurgarriak deitzen zaie; oso zailak edo deskubritzeko ezinezkoak diren pasahitzak indartsutzat jotzen dira. Hainbat programa daude eskura pasahitzak erasotzeko (baita sistemetako langileek ikuskatzeko eta berreskuratzeko ere), hala nola L0phtCrack, John the Ripper eta Cain; horietako batzuek pasahitzen diseinuaren ahuleziak erabiltzen dituzte (Microsoft LANManager sisteman daudenak, adibidez) eraginkortasuna handitzeko. Programa horiek, batzuetan, sistemen administratzaileek erabiltzen dituzte erabiltzaileek proposatutako pasahitz ahulak detektatzeko.

Produkzio-sistema informatikoen azterketek sistematikoki frogatu dute erabiltzaileek aukeratutako pasahitz guztien frakzio handi bat erraz asmatzen dela modu automatikoan. Adibidez, Columbiako Unibertsitateak erabiltzaileen pasahitzen %22 ahalegin gutxirekin berreskura zitezkeela jakin zuen [53]. Bruce Schneierren arabera, 2006ko phishing eraso baten datuak aztertzean, MySpaceko pasahitzen %55 8 ordutan deszifratu zitekeen, merkatuan eskuragarri zegoen pasahitzak berreskuratzeko tresnen kit bat erabiliz, 200.000 pasahitz segundoko probatzeko gai zena 2006an [54]. Pasahitz ohikoena "pasahitz1" zela ere jakinarazi zuen, eta horrek, beste behin ere, erabiltzaileen artean pasahitzak aukeratzerakoan informatutako zaintza falta orokorra berresten duela. (Hala ere, datu horietan oinarrituta, pasahitzen kalitate orokorra urteetan zehar hobetu zela adierazi zuen; adibidez, batez besteko luzera zortzi karakterekoa zen, aurreko inkestetako zazpi karaktereen aldean, eta % 4 baino gutxiago hiztegiko hitzak ziren [55]).

Gertakariak

aldatu

1998ko uztailaren 16an, erasotzaile batek 186.126 pasahitz zifratu aurkitu zituela jakinarazi zuen CERTek. Erasotzailea aurkitu zuten unean, jada 47.642 pasahitz deszifraturik zituen. [56]

2001eko irailaren 11ko atentatuetan New Yorkeko 960 langile hil ondoren, Cantor Fitzgerald finantza-zerbitzuetako enpresak, Microsoften bidez, hildako langileen pasahitzak hautsi zituen bezeroen kontuen zerbitzurako beharrezko artxiboetara sartzeko. [57] Teknikariek indar gordineko erasoak erabili zituzten, eta elkarrizketatzaileak familiekin harremanetan jarri ziren informazio pertsonalizatua lortzeko, pasahitzak bilatzeko denbora murriztu zezakeelakoan.

2009ko abenduan, Rockyou.com webgunearen pasahitzak nabarmen urratu ziren eta 32 milioi pasahitz askatu ziren. Pirata informatikoak, 32 milioi pasahitzen zerrenda osoa filtratu zuen Internetera (bestelako informazio identifikagarririk gabe). Pasahitzak testu argian gorde ziren datu-basean, eta SQL injekzio-zaurgarritasun baten bidez atera ziren. Imperva Aplikazioen Defentsarako Zentroak (ADC) pasahitzen indarraren azterketa egin zuen. [41]

2011ko ekainean, NATOk (Ipar Atlantikoko Itunaren Erakundea) segurtasun-arrakala izan zuen, eta, horren ondorioz, bere liburu-denda elektronikoan 11.000 erabiltzaile baino gehiagoren izen-abizenak, erabiltzaile-izenak eta pasahitzak argitaratu ziren. Datuak AntiSec Operazioaren zati bezala filtratu ziren, Anonymous, LulzSec eta beste hacker talde eta banako batzuk barne hartzen dituen mugimendu bat. AntiSec-en helburua informazio pertsonala, sentikorra eta mundura mugatua dagoena azaltzea da, beharrezkoa den edozein bitarteko erabiliz [58].

2011ko uztailaren 11n, Booz Allen Hamiltoni, Pentagonoarentzat lan egiten duen aholkularitza enpresa bati,  Anonymousek bere zerbitzariak hackeatu zizkion eta egun berean infiltratu zen. "La fugak, 'Military Meltdown Monday' ezizenekoak, langile militarren 90.000 sarrera barne hartzen ditu, USCENTCOM, SOCOM, Ameriketako Estatu Batuetako Marinelen Gorputza, Aire Armadako zenbait instalazio, Segurtasun Nazionala, Estatu Saila, eta, sektore pribatuko kontratistak diruditenak" [59] Iragazitako pasahitz horiek azkenean SHA1 sisteman deszifratu ziren, eta geroago ADCren Impervako taldeak deszifratu eta aztertu zituen, langile militarrek ere pasahitzaren eskakizunak saihesteko bidezidorrak eta moduak bilatzen dituztela jakinaraziz. [60]

Autentifikaziorako pasahitzen alternatibak

aldatu

Pasahitz iraunkor edo erdi-iraunkorrak konprometitzeko modu ugariek beste teknika batzuen garapena bultzatu dute. Tamalez, batzuk desegokiak dira praktikan, eta, edonola ere, gutxi iritsi dira alternatiba seguruagoa bilatzen duten erabiltzaileentzat unibertsalki eskuragarri egotera. 2012ko dokumentu batean [61] aztertzen da pasahitzak zergatik diren hain zailak ordezten (nahiz eta laster iraganeko gauza izango direla dioten iragarpen ugari egin [62]); ordezkariek segurtasunari, erabilerraztasunari eta hedapen-gaitasunari buruz proposatutako hogeita hamar ordezkapen aztertzean, ondorioztatzen da "horietako bakar batek ere ez duela gordetzen heredatutako pasahitzek jada ematen dituzten onura guztiak ere".

  • Erabilera bakarreko pasahitzak. Behin bakarrik baliozkoak diren pasahitzak edukitzeak eraso potentzial asko eraginkortasunik gabe uzten ditu. Erabiltzaile gehienek erabilera bakarreko pasahitzak oso desabantailak aurkitzen dituzte. Hala ere, asko inplementatu dira banku elektronikoetan, non transakzioen autentifikazio Zenbakiak (tan) bezala ezagutzen diren. Etxeko erabiltzaile gehienek astero transakzio kopuru txiki bat baino ez dutenez egiten, erabilera bakarraren kontuak ez du bezeroen atsekabe jasanezina eragin kasu honetan.
  • Denboran sinkronizatutako erabilera bakarreko pasahitzak erabilera bakarreko pasahitzen antzekoak dira zenbait alderditan, baina sartu beharreko balioa elementu txiki batean agertzen da (gehienetan poltsikorakoa), eta minuturo aldatzen da, gutxi gorabehera.
  • PassWindow-en erabilera bakarreko pasahitzak erabilera bakarreko pasahitz gisa erabiltzen dira, baina sartu behar diren karaktere dinamikoak erabiltzaile batek erabiltzailearen pantailan erakusten den zerbitzariak sortutako desafio-irudi baten gainean inprimatutako gako bisual bakar bat gainjartzen duenean bakarrik ikus daitezke.
  • Gako publikoko kriptografia asimetrikoan oinarritutako sarbide-kontrolak, adibidez, ssh. Beharrezko gakoak handiegiak izan ohi dira memorizatzeko (baina ikus Passmaze proposamena) [63] eta ordenagailu lokal batean, segurtasun-token batean edo memoria eramangarriko gailu batean gorde behar dira, hala nola flash USB unitate batean edo disketean. Gako pribatua zerbitzu-hornitzaile batean gorde daiteke hodeian, eta pasahitz bat erabiliz edo bi faktore kautotuz aktibatu.
  • Metodo biometrikoek ezaugarri pertsonal aldaezinetan oinarritutako autentifikazioa agintzen dute, baina gaur egun (2008) errore tasa altuak dituzte eta hardware gehigarria behar dute eskaneatzeko, adibidez, hatz-markak, irisak, etab., merkatuan eskuragarri dauden sistemen proba-gertakari ospetsu batzuetan faltsutzeko errazak direla frogatu da, adibidez, gomazko hatz-marken faltsifikazioaren frogapena, [64] Oso garrantzitsua da sarbide-kontrolean; izan ere, sarbide-token konprometitu bat nahitaezkoa da.
  • Saio bakarraren hasierako teknologiak pasahitz ugari izateko beharra ezabatzen duela baieztatzen da. Plan horiek ez dituzte erabiltzailea eta administratzaileak arrazoizko pasahitz bakarrak aukeratzetik salbuesten, ezta sistemen diseinatzaileak edo administratzaileak ere, saio bakarra hastea ahalbidetzen duten sistemen artean transmititzen den sarbide pribatuko kontroleko informazioa erasoen aurka seguru dagoela bermatzeko. Orain arte ez da arau egokirik egin.
  • Ebaluazio-teknologia biltegiratze-gailu erauzgarrietako datuak babesteko modu bat da, hala nola USB memoriak, pasahitz bat erabili beharrik gabe. Erabiltzaileen pasahitzen ordez, erabiltzaileak sareko baliabide batera sartzean oinarritzen da sarbide-kontrola.
  • Testuan oinarritzen ez diren pasahitzak, hala nola pasahitz grafikoak edo saguaren mugimenduan oinarritutakoak [65] Pasahitz grafikoak ohiko pasahitzaren ordez erabili nahi den saioa hasteko autentifikazio-bitarteko alternatiboa dira; irudiak, grafikoak edo koloreak erabiltzen dituzte letra, digitu edo karaktere berezien ordez. Sistema batek erabiltzaileek aurpegi batzuk pasahitz gisa aukeratzea eskatzen du, giza burmuinak aurpegiak erraz gogoratzeko duen gaitasuna erabiliz [66]. Ezarpen batzuetan erabiltzaileak sekuentzia egokian irudi batzuk aukeratu behar ditu [67] pasahitz grafikoen beste soluzio batek erabilera bakarreko pasahitz bat sortzen du ausaz sortutako irudi-lauki bat erabiliz. Erabiltzailea kautotzea eskatzen den bakoitzean, aurrez aukeratutako kategorietara egokitzen diren irudiak bilatzen ditu eta ausaz sortutako karaktere alfanumerikoa sartzen du, irudian agertzen dena, erabilera bakarreko pasahitza osatzeko [68][69] Orain arte, pasahitz grafikoak etorkizun handikoak dira, baina ez dira asko erabiltzen. Gai horren inguruko azterketak egin dira, mundu errealean duen erabilgarritasuna zehazteko. Batzuek pasahitz grafikoak deszifratzeko zailagoak liratekeela uste duten bitartean, beste batzuek iradokitzen dute hain litekeena da jendeak irudi edo sekuentzia arruntak aukeratzea, pasahitz arruntak aukeratzea baino.[70]
  • 2D gakoa (bi dimentsioko gakoa) [71] 2D matrize motako gakoa sartzeko metodo bat da, pasahitz multilinea, gurutzegrama, ASCII/Unicode esaldi-gakoaren estiloak dituena, aukerako testu-zarata semantikoekin, MePKC (Kriptografia Kriptografia) egiteko 128 bitetik gorako pasahitz/gako handi bat sortzeko.
  • Pasahitz kognitiboek galdera eta erantzun pareak erabiltzen dituzte nortasuna egiaztatzeko

Hash-ak [2]

aldatu

Ez da termino oso ezaguna gizartean, baina laburbilduz, hash-ak edo laburpen kriptografikoak hash-funtzio baten bitartez testu bati sortzen zaion identifikatzaileari deritzo.

Adibidez:

  • hash(“sarean.eus”) = 0e556c5f5217166fe6d2c669d47acfe6
  • hash(“abracadabra”) = ec5287c45f0e70ec22d52e8bcbeeb640

Hash funtzioek honako ezaugarriak bete behar dituzte zehazki:

  • Bi identifikatzaile ezberdinak badira, sarrerako testuek ezin dute berdina izan
  • Identifikatzaile batetik ezinezkoa da hasierako testua lortzea
  • Identifikatzaileen kalkulua azkarra izan behar du
  • Bi testu ezberdinak izanez gero, identifikatzaileak ere ezberdinak izan beharko lirateke, alegia, talkak minimizatu beharko lituzke (hau betetzea ia ezinezkoa da, orduan minimizatu terminoa erabiltzen da ekidin esan beharrean).

Hash funtzio mordoa existitzen dira, baina erabilienak SHA eta MD5 (Message-Digest Algorithm 5) familiatakoak dira.[27]

Bereziki, pasahitzak ordezkatzeko erabiltzen dira. Adibide baten bitartez kontzeptu hau hobeto ulertuko da: webgune batean sartzerakoan erabiltzailea eta pasahitza eskatzen dira, gure kasuan, login=Juana eta pasahitza=kaixozermoduz. Puntu horretan, webguneak egiaztatu behar du erabiltzaile horri dagokion pasahitza hori dela. Hori nola egin dezake? Bere datu-basean erabiltzaileari dagokion pasahitza gordez? Ez, izan ere, gaizkileei erraztasunak ematea izango litzateke gordetzea erabiltzailea eta bere pasahitza. Beraz, zer egin dezakete? Hash-ak erabiliz. Webguneak gordeta duen erabiltzailearen hash-a eta jasotakoaren hash-a konparatzen ditu ea berdinak diren ala ez. Berdinak badira pasahitza zuzena da; bestela pasahitza okerra da. Horrela, gaizkileari ere zailtasunak jartzen dizkio; izan ere, lapurtutakoa hash-a da eta ez pasahitza bera.

Bitxikeria moduan, SHA funtzioaren bitartez sortutako hash-a Google bitartez aurkitu daiteke askotan pasahitza ahula bada. Horregatik, gomendatzen da hash-aren hash-a egitea: hau da, hash funtzioa bi aldiz aplikatzea, ohiko lehendabizikoa eta ondoren bigarrena (nahi bada berdina izan daiteke edota ezberdin bat, berdin dio). Horrela, Google-n aurktitzea askoz ere zailagoa izango da.

Sendotasuna

aldatu

Pasahitz sendo batek letra larriak, xeheak, zenbakiak eta karaktere bereziak ditu (hala nola, #, @, _ edo !) eta gutxienez, 8-10 karaktere, asmatzea ezinezkoa izan dadin. Gainera, pasahitza beti-beti sendoa izan dadin, sarri eguneratu behar da. Horregatik, 1234, admin, erabiltzailearen beraren izena, jaiotze-urtea, telefonoa eta antzekoak ahul-ahulak dira.

Pasahitzaren sendotasuna babestu behar duen informazioaren garrantziarekin korrelazioa izan beharko luke. XXI. mendearen lehen hamarkadetan pasahitz bat sendotzat jotzen da 8 karakteretik gora eskatzen direnean eta, batez ere, karaktere horien artean letra xeheak eta letra larriak zenbakiekin nahastu egiten badira. Karaktere bereziek, (hala nola, #, @, %, $, _, · , ç, ñ, / edo !) bereziki hobetzen omen dute pasahitz baten sendotasuna. Baina errazago sor ditzakete problemak teklatu batetik beste batera aldatzerakoan, eta online sistema batzuek ez dituzte horietako batzuk, edo guztiak, onartzen.

Aurreikusten da konputazio kuantikoaren garapenak pasahitzen ahultze handia ekarriko duela. Izan ere, ordenagailu kuantikoek pasahitzak krakeatzeko sekulako potentzia izango dutela espero da[72][73].

Pasahitza duten zerbitzuak

aldatu

Zerbitzu askok erabiltzailea kautotzeko pasahitzak eskatzen dituzte: adibidez, posta elektroniko kontuak, kutxazain automatikoak, telefono mugikorrak, sistema eragileetako sarrerak, eta abar.

Kautotzeko prozesua

aldatu

Pasahitza software baliabide batera sartzeko erabiltzen denean, sistemako fitxategi batean gorde behar da. Modurik sinple eta ahulena testu fitxategi batean gordetzea da. Orokorrean, ordea, ez da horrela egiten eta pasahitzari zifratze funtzio bat aplikatzen zaio fitxategian gordetzeko garaian. Erabiltzaile bat sisteman sartu behar denean, pasahitzari zifratze funtzio bera aplikatzen zaio eta fitxategian dagoenarekin konparatzen da: erabiltzailea eta pasahitza fitxategian daudenekin bat badatoz, sisteman sartzeko baimena ematen da.

Erreferentziak

aldatu
  1. Singh, Simon.. ([2012]). Kodeen liburua : kodeen eta kodeak hausteko sistemen historia sekretua. Elhuyar Fundazioa ISBN 978-84-92457-78-6. PMC 863220059. (Noiz kontsultatua: 2020-04-06).
  2. a b Pereira, Juanan. (2019-10-02). «Abrakadabra! Pasahitzen mundua ezagutu nahi?» Sarean .eus (Noiz kontsultatua: 2020-03-30).
  3. «Polybius on the Roman Military» web.archive.org 2008-02-07 (Noiz kontsultatua: 2020-03-29).
  4. (Ingelesez) Bando, Mark. (2007-09-15). 101st Airborne: The Screaming Eagles in World War II. Voyageur Press ISBN 978-0-7603-2984-9. (Noiz kontsultatua: 2020-03-29).
  5. McMillan, Robert. (2012-01-27). «The World's First Computer Password? It Was Useless Too» Wired ISSN 1059-1028. (Noiz kontsultatua: 2020-03-29).
  6. (Ingelesez) «Passwords Evolved: Authentication Guidance for the Modern Era» Troy Hunt 2017-07-26 (Noiz kontsultatua: 2020-03-29).
  7. «The Programmers’ Guide to Programmers» The Best of Verity Stob (Apress): 5–7. ISBN 978-1-59059-442-1. (Noiz kontsultatua: 2020-03-29).
  8. (Ingelesez) Vance, Ashlee. (2010-01-20). «If Your Password Is 123456, Just Make It HackMe» The New York Times ISSN 0362-4331. (Noiz kontsultatua: 2020-03-29).
  9. «Fred Cohen & Associates» web.archive.org (Noiz kontsultatua: 2020-03-29).
  10. Lundin, Leigh. PINs and Passwords, Part 2. (Noiz kontsultatua: 2020-03-29).
  11. Stobert, Elizabeth. Memorability of assigned random graphical passwords. Carleton University (Noiz kontsultatua: 2020-03-29).
  12. (Ingelesez) Whitman, Michael E.; Mattord, Herbert J.. (2014-11-26). Principles of Information Security. Cengage Learning ISBN 978-1-305-17673-7. (Noiz kontsultatua: 2020-03-29).
  13. Lewis, Dave, 1966-. Ctrl-Alt-Delete. ISBN 978-1-4710-1911-1. PMC 862090486. (Noiz kontsultatua: 2020-03-29).
  14. (Ingelesez) Techlicious. (2013-08-08). «Google Reveals the 10 Worst Password Ideas» Time ISSN 0040-781X. (Noiz kontsultatua: 2020-03-29).
  15. (Ingelesez) «Do We Need To Hide Passwords? - Lyquix» www.lyquix.com (Noiz kontsultatua: 2020-03-29).
  16. (Ingelesez) Malaysia car thieves steal finger. 2005-03-31 (Noiz kontsultatua: 2020-03-29).
  17. «Top 10 Most Common Passwords» web.archive.org 2006-11-08 (Noiz kontsultatua: 2020-03-29).
  18. «Espacenet – search results» worldwide.espacenet.com (Noiz kontsultatua: 2020-03-30).
  19. a b c Lundin, Leigh. PINs and Passwords, Part 2. (Noiz kontsultatua: 2020-03-30).
  20. Sodan, Angela C.. (2009-03-16). Time-Sharing Systems. John Wiley & Sons, Inc. ISBN 0-470-05011-X. (Noiz kontsultatua: 2020-03-30).
  21. (Ingelesez) Schofield, Jack. (2003-03-10). «Roger Needham» The Guardian ISSN 0261-3077. (Noiz kontsultatua: 2020-03-30).
  22. «The Bug Charmer: Passwords Matter» The Bug Charmer 2012-06-20 (Noiz kontsultatua: 2020-03-30).
  23. a b «The Bug Charmer: How long should passwords be?» The Bug Charmer 2012-06-20 (Noiz kontsultatua: 2020-03-30).
  24. «passlib.hash - Password Hashing Schemes — Passlib v1.7.1 Documentation» pythonhosted.org (Noiz kontsultatua: 2020-03-30).
  25. (Ingelesez) Florencio, Dinei; Herley, Cormac; Oorschot, Paul C. van. (2014-11-01). «An Administrator's Guide to Internet Password Research» Usenix LISA (Noiz kontsultatua: 2020-04-05).
  26. (Ingelesez) Florencio, Dinei; Herley, Cormac; Oorschot, Paul C. van. (2014-11-01). «An Administrator's Guide to Internet Password Research» Usenix LISA (Noiz kontsultatua: 2020-03-30).
  27. a b (Ingelesez) «Cracking Story - How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords» Thireus' Bl0g 2012-08-28 (Noiz kontsultatua: 2020-03-30).
  28. «Wayback Machine» web.archive.org 2003-03-22 (Noiz kontsultatua: 2020-04-05).
  29. «Wayback Machine» web.archive.org 2003-03-22 (Noiz kontsultatua: 2020-03-30).
  30. «USENIX | The Advanced Computing Systems Association» www.usenix.org (Noiz kontsultatua: 2020-03-30).
  31. support.microsoft.com (Noiz kontsultatua: 2020-03-30).
  32. a b c (Ingelesez) Password. 2020-03-25 (Noiz kontsultatua: 2020-03-30).
  33. (Ingelesez) Techlicious. «Why You Should Lie When Setting Up Password Security Questions» www.techlicious.com (Noiz kontsultatua: 2020-03-30).
  34. a b (Ingelesez) Steinberg, Joseph. «Why You Should Ignore Everything You Have Been Told About Choosing Passwords» Forbes (Noiz kontsultatua: 2020-03-30).
  35. Alobaidi, Ghada; Mallier, Roland. (2006). «The American straddle close to expiry» Boundary Value Problems 2006: 1–14.  doi:10.1155/bvp/2006/32835. ISSN 1687-2762. (Noiz kontsultatua: 2020-03-30).
  36. «Changing Passwords - Schneier on Security» www.schneier.com (Noiz kontsultatua: 2020-03-30).
  37. «Diceware Passphrase FAQ» world.std.com (Noiz kontsultatua: 2020-03-30).
  38. (Ingelesez) Thomas, Keir; advice, PCWorld | About | Practical security. (2011-02-10). «Password Reuse Is All Too Common, Research Shows» PCWorld (Noiz kontsultatua: 2020-03-30).
  39. «Crypto-Gram: May 15, 2001 - Schneier on Security» www.schneier.com (Noiz kontsultatua: 2020-03-30).
  40. «Endpoint Protection - Symantec Enterprise» community.broadcom.com (Noiz kontsultatua: 2020-03-30).
  41. a b Riley, Shannon; Chaparro, Barbara S.. (2006). «User password generation practices and strong password guideline compliance» PsycEXTRA Dataset (Noiz kontsultatua: 2020-03-30).
  42. (Ingelesez) Kotadia, Munir. «Microsoft security guru: Jot down your passwords» CNET (Noiz kontsultatua: 2020-03-30).
  43. «Choosing Passwords» www.burtleburtle.net (Noiz kontsultatua: 2020-03-30).
  44. Stobert, Elizabeth. Memorability of assigned random graphical passwords. Carleton University (Noiz kontsultatua: 2020-03-30).
  45. «Diceware Passphrase FAQ» world.std.com (Noiz kontsultatua: 2020-03-30).
  46. «Survey: 11% of Brits Include Internet Passwords in Will : Toronto Estate Law Blog» web.archive.org 2011-12-25 (Noiz kontsultatua: 2020-03-30).
  47. (Ingelesez) «There’s a quick and easy way to be more secure online» finance.yahoo.com (Noiz kontsultatua: 2020-03-30).
  48. Wang, Hua; Guo, Yao; Chen, Xiangqun. (2008-12). «DPAC: A Reuse-Oriented Password Authentication Framework for Improving Password Security» 2008 11th IEEE High Assurance Systems Engineering Symposium (IEEE)  doi:10.1109/hase.2008.22. ISBN 978-0-7695-3482-4. (Noiz kontsultatua: 2020-03-30).
  49. a b (Ingelesez) Tung, Liam. «Hate silly password rules? So does the guy who created them» ZDNet (Noiz kontsultatua: 2020-03-30).
  50. (Ingelesez) McMillan, Robert. (2017-08-07). «The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d!» Wall Street Journal ISSN 0099-9660. (Noiz kontsultatua: 2020-03-30).
  51. a b (Ingelesez) «Experts Say It's Time to Ditch Those Stupid Password Rules» Fortune (Noiz kontsultatua: 2020-03-30).
  52. (Ingelesez) «NIST’s new password rules – what you need to know» Naked Security 2016-08-18 (Noiz kontsultatua: 2020-03-30).
  53. dx.doi.org (Noiz kontsultatua: 2020-03-30).
  54. «Real-World Passwords - Schneier on Security» www.schneier.com (Noiz kontsultatua: 2020-03-30).
  55. (Ingelesez) Schneier, Bruce. (2006-12-14). «MySpace Passwords Aren’t So Dumb» Wired ISSN 1059-1028. (Noiz kontsultatua: 2020-03-30).
  56. (Ingelesez) «1998 CERT Incident Notes» resources.sei.cmu.edu (Noiz kontsultatua: 2020-03-30).
  57. (Ingelesez) Urbina, Ian. (2014-11-19). «The Secret Life of Passwords» The New York Times ISSN 0362-4331. (Noiz kontsultatua: 2020-03-30).
  58. (Ingelesez) at 14:37, John Oates 24 Jun 2011. «NATO site hacked» www.theregister.co.uk (Noiz kontsultatua: 2020-03-30).
  59. (Ingelesez) «Anonymous Leaks 90,000 Military Email Accounts in Latest #AntiSec Attack» Gizmodo (Noiz kontsultatua: 2020-03-30).
  60. (Ingelesez) «Military Password Analysis | Imperva» Blog 2011-07-12 (Noiz kontsultatua: 2020-03-30).
  61. (Ingelesez) Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank. (2012-05-20). The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes. (Noiz kontsultatua: 2020-04-01).
  62. (Ingelesez) Kotadia, Munir. «Gates predicts death of the password» CNET (Noiz kontsultatua: 2020-04-01).
  63. Brown, Daniel R. L.. (2005). Prompted User Retrieval of Secret Entropy: The Passmaze Protocol. (Noiz kontsultatua: 2020-04-01).
  64. Matsumoto, Tsutomu; Matsumoto, Hiroyuki; Yamada, Koji; Hoshino, Satoshi. (2002-04-18). «<title>Impact of artificial "gummy" fingers on fingerprint systems</title>» Optical Security and Counterfeit Deterrence Techniques IV (SPIE)  doi:10.1117/12.462719. (Noiz kontsultatua: 2020-04-01).
  65. «Using the ASP.NET AJAX Control Toolkit (Part 2)» Foundations of ASP.NET AJAX (Apress): 165–204. 2007 ISBN 978-1-59059-828-3. (Noiz kontsultatua: 2020-04-01).
  66. «Face in a Crowd» Reliable Face Recognition Methods (Springer US): 121–153. 2007 ISBN 978-0-387-22372-8. (Noiz kontsultatua: 2020-04-01).
  67. (Ingelesez) «What is graphical password or graphical user authentication (GUA)? - Definition from WhatIs.com» SearchSecurity (Noiz kontsultatua: 2020-04-01).
  68. Lin, Yao-Chung; Varodayan, David; Girod, Bernd. (2009-05). «Distributed source coding authentication of images with contrast and brightness adjustment and affine warping» 2009 Picture Coding Symposium (IEEE)  doi:10.1109/pcs.2009.5167473. ISBN 978-1-4244-4593-6. (Noiz kontsultatua: 2020-04-01).
  69. «404 Page» www.globenewswire.com (Noiz kontsultatua: 2020-04-01).
  70. (Ingelesez) Password. 2020-03-31 (Noiz kontsultatua: 2020-04-01).
  71. Lee, Kok-Wah. (2009). «High-Entropy 2-Dimensional Key Input Method for Symmetric and Asymmetric Key Cryptosystems» International Journal of Computer and Electrical Engineering: 1–8.  doi:10.7763/ijcee.2009.v1.1. ISSN 1793-8163. (Noiz kontsultatua: 2020-04-01).
  72. (Ingelesez) «Quantum Computers Will Make Even "Strong" Passwords Worthless» Maven (Noiz kontsultatua: 2020-04-27).
  73. «physics - Will quantum computers be able to easily crack passwords?» Software Engineering Stack Exchange (Noiz kontsultatua: 2020-04-27).

Ikus, gainera

aldatu

Kanpo estekak

aldatu