Bezpieczeństwo haseł


Hasło

Bez wątpienia w dzisiejszych czasach każdy z nas korzysta z dziesiątek różnych portali, aplikacji i tym podobnych miejsc, w których jesteśmy proszeni o zakładanie kont tak, aby otrzymywać bardziej spersonalizowane treści. Login i hasło zabezpieczają dostęp do naszych danych tak, abyśmy tylko my mieli do nich wgląd. Należy więc postawić sobie pytanie – czy to zabezpieczenie jest wystarczające?

W poniższym wpisie postaramy się przybliżyć Ci temat bezpieczeństwa haseł. Przedstawimy kilka zasad, którymi należy kierować się tworząc nowe, bezpieczne hasło oraz obalimy jeden z mitów dotyczący zmiany hasła.

Mocne hasło

Czym jest mocne hasło? Zapewne znasz podstawowe reguły tworzenia silnego hasła, w końcu wiele portali internetowych, na których musimy stworzyć hasło wymaga od niego określonych cech. Poniżej znajdują się najważniejsze z nich:

  1. Długość – czyli ilość znaków, jakie musi mieć hasło. Mocne hasło powinno składać się z co najmniej 10 znaków. Można by powiedzieć: czym dłuższe, tym lepsze, jednak i z tym nie należy przesadzać – niektóre aplikacje czy strony mogą nie obsługiwać bardzo długich haseł. Przyjmijmy, że 15 znakowe hasło to mocne hasło.
  2. Zróżnicowanie – tworząc hasło mamy do dyspozycji litery (małe i wielkie), cyfry oraz znaki specjalne takie jak np. !@#$%&* itp. Często popełnianym błędem jest dodawanie znaku specjalnego na końcu lub początku hasła tylko dlatego, że bez tego znaku nie jesteśmy w stanie przejść dalej. Nasze hasło powinno być złożone tak, by znak specjalny i/lub cyfra znalazły się w losowych miejscach hasła, może być ich nawet kilka.
  3. Losowość – w celu ułatwienia sobie zapamiętania haseł mamy w zwyczaju umieszczać znane nam słowa czy frazy. Niestety bardzo osłabia to nasze hasło ułatwiając jego złamanie czy nawet odgadnięcie przez osoby z naszego otoczenia. Zatem silne hasło powinno być całkowicie losowe i nie zawierać żadnych słów w jakimkolwiek języku.
  4. Unikalność – pod żadnym pozorem nie stosujmy jednego hasła w kilku miejscach. Dla każdego konta, dla każdej strony internetowej powinniśmy używać innego hasła. Zmiana hasła nie powinna też obywać się  na zasadzie zmiany jedynie kilku pierwszych lub ostatnich znaków, podczas gdy “baza” hasła pozostaje bez zmian.  W przypadku wycieku lub złamania unikalne hasło pozwoli zminimalizować szkody do jedynie tego miejsca, gdzie było użyte.

Brute force

Dlaczego w ogóle tworzymy tak długie i złożone hasła? Jest to najprostsza ochrona przed atakami typu brute force, czyli siłowego łamania haseł. Polega ono na przetestowaniu wszystkich możliwych kombinacji znaków, aż do natrafienia na tę właściwą opcję. Nietrudno się zatem domyślić, że czym więcej znaków ma hasło tym więcej możliwych kombinacji należy przetestować, aby w końcu trafić na tę prawidłową. Dodatkowo czym większy zasób znaków, które należy przetestować, tym szybciej wzrasta liczba możliwych kombinacji. Posłużmy się przykładem:

Hasło składa się z 5 znaków, które są wyłącznie małymi literami. Mamy zatem 26^5 kombinacji czyli 11881376 (26 to liczba liter w angielskim alfabecie). Wydaje się, że to dużo… ale nic bardziej mylnego! Współczesne komputery wyposażone w szybkie, wielordzeniowe procesory są w stanie wykonywać miliony operacji na sekundę. W konsekwencji tak zbudowane hasło zostanie złamane zaledwie w przeciągu kilku sekund!

W drugim przykładzie hasło składa się również z 5 znaków, ale zawiera już małe i wielkie litery, cyfry oraz znak specjalny. Tak więc mamy teraz 94^5 czyli 7339040224 kombinacji. Jest to nieporównywalnie większa liczba, nieporównywalnie większy byłby również czas potrzebny na złamanie takiego hasła.

Słownikowe łamanie haseł

Łamanie haseł przy pomocy metody siłowej jest przy odpowiednio długim haśle bardzo powolne. Dlatego też specjaliści od łamania haseł próbowali znaleźć metody na jego przyspieszenie. Wspomnieliśmy już dziś o tym, że hasła nie powinny zawierać wyrażeń, które są słowami, nazwami, imionami itp. Jest to obrona przed słownikowym łamaniem haseł przez hakerów. Na czym ono polega? W internecie można znaleźć wiele różnych zbiorów słów, które na potrzeby tego wpisu nazwijmy słownikami. Łamanie tą metodą polega na podstawianiu słów z tych zbiorów w miejscu hasła, dodając ewentualnie do nich cyfry i/lub znaki specjalne w najczęściej do tego wykorzystywanych miejscach np. na końcu hasła. Dlatego też jeśli nasze hasło konstantynopolitańczykowianeczka1337 to pomimo iż jest bardzo długie, może zostać szybko odgadnięte przy użyciu metody słownikowej.

Zmieniać hasła czy nie?

Odpowiedź na to pytanie mogłaby wydawać się prosta – oczywiście, że tak! Nie jest to jednak tak oczywista kwestia i należy rozpatrzeć ją pod dwoma względami Do niedawna rekomendowana była regularna zmiana haseł. Miała ona na celu utrudnienie ich siłowego łamania. Załóżmy, że mamy odpowiednio mocne hasło, którego złamanie na przeciętnym komputerze trwa 40 dni ciągłej pracy. Zmieńmy zatem hasło co 30 dni, wówczas zanim ktoś teoretycznie byłby w stanie złamać nasze hasło, my będziemy mieć już nowe, a czas jego łamania trzeba by zacząć liczyć od nowa. W teorii brzmi to logicznie, praktyka pokazuje jednak, że w naturze człowieka jest minimalizowanie swoich wysiłków np. wysiłku zapamiętania nowego hasła. Zatem gdy jakiś system zmusza nas do cyklicznej zmiany hasła, nasza zmiana często polega jedynie na zastąpieniu ostatniej cyfry w haśle na np. cyfrę odpowiadającą bieżącemu miesiącowi. Podstawa hasła jest taka sama, a zmieniają się jedynie cyfry i to w tak oczywisty sposób, o którym hakerzy zdają sobie sprawę. Zatem naszym zdaniem lepszym wyborem od podatnego na złamanie, łatwego do zapamiętania i cyklicznie “zmienianego” hasła jest hasło, którego nie modyfikujemy za to jest na tyle silne, by oprzeć się wymienionym wyżej metodom ich łamania.

Odrębną sytuacją jest zmiana hasła w sytuacji gdy podejrzewamy, iż mogło ono wyciec. Niestety dość często w mediach możemy usłyszeć o wyciekach danych z różnych portali. Jeśli tym razem sprawa dotyczy portalu, na którym i my mieliśmy konto to niezwłocznie powinniśmy zmienić nasze hasło. Serwisem, który umożliwia sprawdzenie czy nasz email brał udział w wycieku danych jest Have I Been Pwned? Jeśli po wpisaniu w wyszukiwarkę na powyższej stronie swojego adresu email otrzymamy komunikat “Oh no — pwned!” to należy koniecznie zmienić hasło do tego maila i najlepiej wszelkich kont z nim powiązanych.

 

Ofiar przestępczości w sieci wciąż przybywa, co jest efektem m.in. lekceważenia zagrożeń, poprzez stosowanie nieskomplikowanych haseł. Mamy zatem nadzieję, że powyższy artykuł przekonał Cię do tego jak istotne jest tworzenie bezpiecznych haseł. Wystrzegając się podstawowych błędów jesteś w stanie uniknąć przekazania dostępu w niepowołane ręce! Pamiętaj, że i w tej kwestii zdecydowanie lepiej jest zapobiegać niż leczyć 🙂