Bezpieczeństwo: Silne hasło to jeszcze za mało
Co łączy serwisy internetowe Sony Pictures, Gawker oraz RockYou? Głównie to, że wszystkie stały się ostatnio celami ataków hakerskich, podczas których wykradziono dane (w tym hasła) użytkowników. Po każdym z tych ataków owe hasła zostały później udostępnione w Internecie i przeanalizowane. Wniosek z tych analiz jest jeden - zdecydowana większość użytkowników korzysta z naprawdę kiepskich haseł.
Polecamy:
"Tak naprawdę jest niewiele sytuacji, w których siła hasła ma rzeczywiste znaczenie" - komentuje Matt Weir, specjalista ds. bezpieczeństwa i współautor raportu".
Fakty i mity
Weir i jego koledzy sprawdzali, czy entropia może być wyznacznikiem siły danego hasła. Bo tak naprawdę w większości współczesnych przypadków, hasła łamie się z wykorzystaniem metod, których podstawą jest odgadywanie popularnych haseł (np. korzystając z rainbow tables). Atak typu brute force - w przypadku którego poziom skomplikowania hasła ma znaczenie - stosuje się znaczniej rzadziej. Zdaniem naukowców, we współczesnej kryptografii niesłusznie przecenia się możliwość łamania słabych haseł. Jednocześnie panuje błędne przekonanie, że złamanie silnych haseł tradycyjnymi metodami jest praktycznie niemożliwe i że są one tym samym absolutnie bezpieczne. Problem w tym, że siła hasła to jeszcze nie wszystko.
Wnioski z tych analiz są następujące: owszem, hasła tradycyjnie uznawane za słabe, czyli składające się z mniej niż 8 znaków i występujące w słownikach, faktycznie można złamać bardzo łatwo. Ale wystarczy je minimalnie zmodyfikować i ich przełamanie stanie zdecydowanie trudniejszym zadaniem.
"Wykazaliśmy, że sesje łamania haseł startują dość sprawnie, podobnie jak wszelkie inne ataki, i na tym etapie łatwe do odgadnięcia hasła są szybko ujawniane. Ale po wyczerpaniu ich puli sprawność tego procesu gwałtownie spada. Niestety, to oznacza, że znaczna część użytkowników - ci, którzy korzystają z najmniej bezpiecznych haseł - jest narażona na proste internetowe ataki" - napisano w dokumencie.
Paradoks silnego hasła
Badacze twierdzą też, że silne hasła nie na wiele się zdadzą, jeśli administrator serwisu, który je przechowuje, nie zadba o odpowiednie zabezpieczenie bazy danych (analizy ataku na Sony Pictures wykazały, że hasła w ogóle nie były szyfrowane). Wtedy przestępcy mogą je łatwo przechwycić w postaci otwartego tekstu i na nic zdadzą się wysiłki użytkownika by uczynić hasło trudnym do złamania.
W takiej sytuacji o wiele lepiej sprawdza się posiadanie unikalnych - nawet niespecjalnie skomplikowanych - haseł do każdego serwisu niż używanie tego samego, silnego hasła na wielu stronach. W razie przeprowadzenia skutecznego ataku użytkownik musi wtedy zmienić tylko jedno hasło w jednym serwisie. Jeśli stosował wszędzie to samo hasło (nawet jeśli było ono sile), będzie musiał zmienić je na wszystkich odwiedzanych stronach.
Niestety, mało kto stosuje taką taktykę - analiza haseł, które wyciekły z Gawkera, wykazała, że 76% użytkowników tego serwisu używała w co najmniej kilku miejscach tego samego hasła. Co więcej - 67% użytkowników, którzy korzystali zarówno z serwisu Gawker, jak i Sony Pictures, w obu przypadkach używało tej samej kombinacji hasła i loginu.
Problem jest poważny i trudno tu stosować inne metody zapobiegawcze niż edukowanie użytkowników. Do korzystania z silnych haseł można użytkowników zmusić bez większego problemu - wystarczy wymusić pewne parametry hasła definiowanego przy zakładaniu konta. A zablokowanie możliwość wykorzystywania tego samego hasła w wielu serwisach jest praktycznie niemożliwe...
Komentarze (3)
@Andrzej Przyjmijmy, że długość hasła i zestaw użytych znaków determinuje to na ile będzie ono skomplikowane. Może to nie jest jakaś super definicja, ale chyba możemy się z nią zgodzić?
"Atak typu brute force - w przypadku którego poziom skomplikowania hasła ma znaczenie stosuje się znaczniej rzadziej..." hmmm, moim zdaniem przy brute force znaczenie ma długość hasła i zestaw użytych znaków. Bo te dwa parametry decydują o szybkości złamania. Poziom skomplikowania hasła ma znaczenie przede wszystkim przy atakach słownikowych. Bo wtedy przecież jest istotne, żeby hasło nie pokrywało się (przynajmniej w sporej części) z wzorem ze słownika. Ale prawda, że jedno hasło do wszystkiego aż prosi się o problemy. No i to trzymanie haseł w niezaszyfrowanej formie, porażka niektórych serwisów!
Wszystko świetnie hasło powinno być unikalne dla danego serwisu, najlepiej raz na jakiś czas zmieniane itd. ostatnio porządkowałem swoje hasła w KeePass i okazało się, że łącznie jestem szczęśliwym posiadaczem ponad 50 kont w różnych serwisach z czego 15 jest dla mnie krytycznych i zabolałoby mnie gdyby ktoś je przechwycił. Ze względu na skalę nie jestem w stanie stosować się do wszystkich tych zasad. Tak więc moim zdaniem przepis jest jeden. Wyżej wymienione zasady tylko dla ważnych serwisów w reszcie tam gdzie można podajemy nieprawdziwe dane, nie płacimy kartą kredytową w internecie chyba, że wirtualną i włamania aż tak mocno nas nie będą boleć.
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...