Pe 7 mai, în fiecare an, se sărbătorește Ziua Mondială a Parolei - prima joi din luna mai. Nu e genul de sărbătoare pentru care îți iei liber sau mănânci tort, dar e un bun prilej să te oprești o clipă și să te gândești la ceva ce cei mai mulți dintre noi ignorăm cu brio: cât de sigure sunt conturile noastre online.
Povestea acestei zile a început în 2005, când cercetătorul în securitate Mark Burnett a scris în cartea sa Perfect Passwords că fiecare ar trebui să aibă propria „zi a parolei" - un moment în care să schimbe parolele importante. Ideea a prins, Intel Security a preluat-o și în 2013 a declarat oficial prima joi din mai drept Ziua Mondială a Parolei. Deci suntem la peste un deceniu de când ne tot reamintim că „parola123" nu e chiar cea mai inspirată alegere.
De ce contează asta cu adevărat
Știu că sună a lecție pe care ai mai auzit-o, dar lasă-mă să îți povestesc altfel. Gândește-te câte conturi ai: email, bancă, rețele sociale, platforme de streaming, magazine online, poate și câteva servicii de la muncă. Acum gândește-te câte dintre ele au aceeași parolă sau variații ale aceleiași parole. Dacă răspunsul e „mai mult de una", ești în companie bună - dar asta nu înseamnă că ești în siguranță.
Când o bază de date este compromisă undeva - și se întâmplă constant, poți verifica pe HaveIBeenPwned dacă adresa ta de email a apărut în vreun astfel de leak - parolele furate ajung în liste pe care atacatorii le folosesc automat pe zeci de alte servicii. Se numește credential stuffing și funcționează tocmai pentru că oamenii refolosesc parolele. Nu e nevoie să fii o țintă. Ești prins în plasa unui atac de masă.
Un manager de parole schimbă totul
Soluția nu e să îți antrenezi memoria să rețină parole complexe pentru fiecare cont în parte - e imposibil și nici nu ar trebui să fie treaba ta. Soluția e un manager de parole, și nu, nu e complicat pe cât pare.
Eu folosesc Vaultwarden, o implementare open-source a serverului Bitwarden pe care o găzduiesc singur - datele rămân la mine, nu la cineva altcineva. Ca backup, folosesc și Bitwarden oficial, tocmai pentru siguranță suplimentară. Există și KeePassXC dacă preferi ceva complet local, fără cloud deloc. Ideea e simplă: memorezi o singură parolă principală, puternică, și lași aplicația să genereze și să stocheze parole unice, lungi și aleatoare pentru fiecare cont. Dintr-odată nu mai contează dacă un serviciu este spart - parola ta de acolo nu funcționează nicăieri altundeva.
Autentificarea în doi pași nu e opțională
Parola singură, oricât de bună, nu e suficientă. Autentificarea în doi pași (2FA) adaugă un al doilea strat: chiar dacă cineva îți află parola, mai are nevoie de un cod generat de telefonul tău sau de o cheie fizică pentru a intra în cont. Aproape toate serviciile importante o suportă, și activarea ei durează câteva minute.
Dacă vrei să faci asta cum trebuie, evită variantele prin SMS când poți - sunt vulnerabile la atacuri de tip SIM swapping - și folosește o aplicație dedicată precum Aegis pe Android (open-source, local, fără cloud) sau Ente Auth dacă vrei backup criptat. Pentru conturile cu adevărat critice, o cheie hardware precum YubiKey este cel mai sigur nivel la care poți ajunge în momentul de față.
Passkeys - spre ce ne îndreptăm
Dacă tot suntem la zi cu subiectul, merită menționat că industria se îndreaptă încet-încet spre passkeys - un sistem în care te autentifici fără parolă deloc, folosind criptografie cu cheie publică legată de dispozitivul tău. Google, Apple, Microsoft și tot mai mulți alți furnizori le suportă deja. Nu e ceva ce trebuie să implementezi azi neapărat, dar e bine să știi că direcția e asta și că pe termen lung parolele clasice vor deveni din ce în ce mai puțin relevante.
Până atunci, Ziua Mondială a Parolei e un bun moment să faci un singur lucru concret: dacă nu ai deja un manager de parole, instalează Bitwarden astăzi - e gratuit, open-source și funcționează pe orice dispozitiv. Dacă ești ceva mai tehnic și vrei control total, Vaultwarden pe propriul server e pasul următor. Durează câteva ore să pui totul la punct, dar după aceea ești cu adevărat stăpân pe datele tale.
Comentarii