Dlaczego warto ustawiać różne hasła?
Pomimo zabezpieczenia całego systemu operacyjnego i aktualizowania go, przestępcy w dalszym ciągu mogą wykraść nam poufne dane. Istnieje bardzo prosta technika, która pozwala przełamać praktycznie wszystkie zabezpieczenia informatyczne i jest nią łamanie lub zgadywanie haseł. Według statystyk, 55% wszystkich użytkowników Internetu ma to samo hasło do prawie wszystkich stron, na których są zarejestrowani[1].
Ciężko w to uwierzyć, jednak w dalszym ciągu dla większości osób korzystających z sieci, bezpieczeństwo stoi na drugim miejscu, zaraz po wygodzie. Stosowanie tych samych haseł jako uwierzytelnienie na wszystkich stronach może spowodować, że hakerzy przejmą kontrolę nad wszystkimi naszymi kontami. Jeśli loginy i hasła jakiejś strony zostaną wykradzione, istnieje duże prawdopodobieństwo, że hasła zostaną wykorzystane do przejmowania kolejnych kont użytkowników.
Niestety, większość internautów stosuje hasła łatwe do złamania, a nawet można je bez problemu zgadnąć, są to np. data urodzenia, własne imię lub nazwisko. Po krótkiej analizie można domyślić się takiego hasła, co wiąże się z włamaniem na konto takiego użytkownika. Niektóre serwisy internetowe mają specjalnie wymagania dotyczące hasła i musi ono zawierać duże litery, cyfry oraz znaki specjalne. Aby dobrze zabezpieczyć swoje konto powinno stosować się hasła, które są niemożliwe do zgadnięcia oraz bardzo trudne do złamania. Silne hasła są to takie, które mają minimum 12 znaków, zawierają symbole, małe i duże litery oraz symbole a jednocześnie nie można znaleźć ich w słowniku. Dla pełnego bezpieczeństwa, można również zapoznać się z hasłami, które wyciekły i są dostępne w internecie. Jednym z większych wycieków haseł może „poszczycić” się firma Adobe, której hakerzy ujawnili dane 150 milionów użytkowników. Dla potwierdzenia moich wcześniejszych słów, najpopularniejsze hasła to: „123456” – używane 1’911’938 razy, „123456789” – 446’162 oraz „password” używane przez 345’834 użytkowników. Na stronie howsecureismypassword.net można sprawdzić ile czasu zajmie komputerowi złamanie takiego hasła.
Sposoby łamania haseł
Głównym powodem, dlaczego tak ciężko złamać niektóre hasła jest brak odpowiedniej mocy obliczeniowej komputera. Można do tego celu wykorzystać również nowsze karty graficzne, co znacznie przyspieszy ten proces. Do tego wszystkiego dochodzi również algorytm jakim zaszyfrowane jest takie hasło. Dla przykładu na komputerze z procesorem Intel Core i7 2600K 3.4 GHz złamanie zaszyfrowanego pliku pdf hasłem „BitDefender” zajęłoby około 15 dni. Oczywiście chodzi tutaj o metodę brute-force, czyli siłową. Polega na sprawdzeniu każdej możliwości w tym 11 znakowym haśle. Takich możliwości jest aż 28531167060. Kolejnym sposobem złamania hasła może być atak słownikowy. Polega on na wcześniejszym zdefiniowaniu listy wyrazów, które mogą występować jako hasło. Następnie, wszystkie wyrazy z listy zostają wpisywane i sprawdzane dopóki nie zostanie znalezione takie, które pasuje. Napastnik może sam taką listę stworzyć lub skorzystać z gotowych słowników dostępnych w internecie. Jak już wcześniej wspomniałem, hakerzy udostępniają dużą listę możliwych haseł po przejęciu bazy danych wielkich firm. Znajdują się tam najczęściej stosowane hasła, a taką listę można pobrać bez problemu z Internetu. Widać więc, że ważne jest również spersonalizowanie ataku do konkretnego użytkownika lub grupy osób albowiem na czwartym miejscu najpopularniejszych haseł w wycieku Adobe było po prostu „adobe123”. Jednym z najskuteczniejszych ataków na hasła jest atak hybrydowy, czyli pomieszanie dwóch poprzednich technik. Oddaje najbardziej metodę jaką by wykorzystywał człowiek w tym procesie. Opiera ona się na dodawaniu reguł do stworzonego wcześniej słownika. Przykładowo, jeśli mamy hasło „haslo”, wiedząc, że użytkownicy dodają na końcu cyfry (aby hasło przeszło przez mechanizm zabezpieczający) można sprawić, że do każdego wyrazu ze słownika będzie dodawana kolejna cyfra. Hasło, które będzie sprawdzane wystąpi w postaci „haslo1”, „haslo12”, „haslo123” itd. Dzięki zastosowaniu tak zwanych masek można także dodać reguły do szybszego łamania. Można to wykorzystać dodając regułę, która będzie zamieniała literę „a” na 4 albo „o” na 0. W naszym przypadku „haslo” zmieniłoby się na „h4sl0”. Często użytkownicy wykonują taką zamianę myśląc, że jest to dużo bardziej bezpieczne. Jednak przy stosowaniu reguł oraz masek można je także złamać.
Hashe haseł, co to jest?
Aby bezpiecznie przechowywać hasła w bazie danych, tworzony jest tzw. hash hasła. Są to dość skomplikowane funkcje kryptograficzne, które zamieniają hasło w niezrozumiały dla człowieka ciąg znaków. Ponadto jest to funkcja jednokierunkowa, co w kryptografii oznacza, że łatwo ją wyliczyć, lecz ciężko zamienić w drugą stronę. Ponadto, jeśli zmieni się chociażby jeden znak w haśle, jego hash będzie wyglądał zupełnie inaczej. Przykładowymi funkcjami hashowania jest md5 lub sha. Hash dla wyrazu „haslo” z wykorzystaniem algorytmu sha512 wygląda następująco:
„013c6889f799cd986a735118e1888727d1435f7f623d05d58c61bf2cd8b49ac90105e5786ceaabd62bbc27336153d0d316b2d13b36804080c44aa6198c533215”.
Najefektywniejszą metodą łamania hashy wydaje się być wykorzystanie tęczowych tablic. Jest to po prostu baza takich hashy wraz z odpowiadającymi im hasłami. Porównuje się hashe i w ten sposób można zaoszczędzić moc obliczeniową. Jest dużo wydajniejsza aniżeli na przykład metoda siłowa. Aby przed tym się zabezpieczyć, do hasła dodawana jest tak zwana sól (ciąg zaburzający). Powinna być unikatowa dla każdego użytkownika i dzięki temu bez znajomości soli, przestępca nie będzie mógł skorzystać z tęczowych tablic. W takim wypadku, jeśli wycieknie całkowicie baza danych jakiegoś serwisu nie oznacza to, że wszystkie hasła zostaną złamane. To jest dobry przykład dlaczego warto używać silnych haseł.
Jak się przed tym wszystkim bronić?
Wbrew pozorom najczęstsze włamania nie opierają się na łamaniu haseł, a na przekonaniu użytkownika żeby podał je sam oraz dobrowolnie. Tak więc główną zasadą jest nie podawanie haseł żadnej osobie, nawet jeśli będzie wydawała się odpowiedzialna za konkretny serwis. Nikt nigdy nie napisze maila z prośbą o wysłanie hasła. Przestępcy uciekają się do coraz bardziej wyrafinowanych sztuczek związanych z wyłudzaniem hasła, więc trzeba być bardzo czujnym. Najlepszą metodą jest ustawianie całkowicie losowych haseł korzystając z generatora. Jednak załóżmy, że korzystamy z 10 stron i musimy ustawić 12 znakowe silne hasło dla każdej z nich, jeśli nie jesteśmy mnemonistami, wtedy jest to po prostu niemożliwe do zapamiętania. Jednak ktoś pomyślał o tym problemie i został stworzony menadżer haseł. Jest on dostępny w oprogramowaniu BitDefender i dzięki temu zamiast 10 haseł wystarczy zapamiętać jedno. Po wejściu w ten moduł musimy stworzyć nowy „portfel”, a następnie ustawić go wedle swoich potrzeb. Jeśli mamy zapamiętane hasła w przeglądarce (czego również nie powinniśmy robić!) od razu zsynchronizują się nam one ze stworzonym portfelem. Wspiera wszystkie nowe przeglądarki i można przechowywać w nim hasła do kont, numery kart kredytowych, hasła do aplikacji, hasła do sieci WiFi lub klucze licencyjne.
Kilka dodatkowych rad
Podczas korzystania z portfela haseł i ustawienia silnych haseł możemy mieć pewność, że nawet po wykradnięciu bazy danych nie zostaną one złamana. Oczywiście, jeśli były odpowiednio przechowywane po stronie serwera. Dodatkowo nie musimy zapamiętywać wszystkich haseł, a mamy jeszcze mamy możliwość zsynchronizowania portfela z innymi urządzeniami. Należy pamiętać, aby nie korzystać z niezabezpieczonych sieci WiFi podczas logowania do jakichkolwiek kont oraz dla pełnego bezpieczeństwa włączyć dwuskładnikowe uwierzytelnienie na stronach, które to obsługują.
Przypisy:
[1]
Źródło: Bitdefender
Pomimo zabezpieczenia całego systemu operacyjnego i aktualizowania go, przestępcy w dalszym ciągu mogą wykraść nam poufne dane. Istnieje bardzo prosta technika, która pozwala przełamać praktycznie wszystkie zabezpieczenia informatyczne i jest nią łamanie lub zgadywanie haseł. Według statystyk, 55% wszystkich użytkowników Internetu ma to samo hasło do prawie wszystkich stron, na których są zarejestrowani[1].
Ciężko w to uwierzyć, jednak w dalszym ciągu dla większości osób korzystających z sieci, bezpieczeństwo stoi na drugim miejscu, zaraz po wygodzie. Stosowanie tych samych haseł jako uwierzytelnienie na wszystkich stronach może spowodować, że hakerzy przejmą kontrolę nad wszystkimi naszymi kontami. Jeśli loginy i hasła jakiejś strony zostaną wykradzione, istnieje duże prawdopodobieństwo, że hasła zostaną wykorzystane do przejmowania kolejnych kont użytkowników.
[Aby zobaczyć linki, zarejestruj się tutaj]
Co znaczy „silne hasło”?Niestety, większość internautów stosuje hasła łatwe do złamania, a nawet można je bez problemu zgadnąć, są to np. data urodzenia, własne imię lub nazwisko. Po krótkiej analizie można domyślić się takiego hasła, co wiąże się z włamaniem na konto takiego użytkownika. Niektóre serwisy internetowe mają specjalnie wymagania dotyczące hasła i musi ono zawierać duże litery, cyfry oraz znaki specjalne. Aby dobrze zabezpieczyć swoje konto powinno stosować się hasła, które są niemożliwe do zgadnięcia oraz bardzo trudne do złamania. Silne hasła są to takie, które mają minimum 12 znaków, zawierają symbole, małe i duże litery oraz symbole a jednocześnie nie można znaleźć ich w słowniku. Dla pełnego bezpieczeństwa, można również zapoznać się z hasłami, które wyciekły i są dostępne w internecie. Jednym z większych wycieków haseł może „poszczycić” się firma Adobe, której hakerzy ujawnili dane 150 milionów użytkowników. Dla potwierdzenia moich wcześniejszych słów, najpopularniejsze hasła to: „123456” – używane 1’911’938 razy, „123456789” – 446’162 oraz „password” używane przez 345’834 użytkowników. Na stronie howsecureismypassword.net można sprawdzić ile czasu zajmie komputerowi złamanie takiego hasła.
Sposoby łamania haseł
Głównym powodem, dlaczego tak ciężko złamać niektóre hasła jest brak odpowiedniej mocy obliczeniowej komputera. Można do tego celu wykorzystać również nowsze karty graficzne, co znacznie przyspieszy ten proces. Do tego wszystkiego dochodzi również algorytm jakim zaszyfrowane jest takie hasło. Dla przykładu na komputerze z procesorem Intel Core i7 2600K 3.4 GHz złamanie zaszyfrowanego pliku pdf hasłem „BitDefender” zajęłoby około 15 dni. Oczywiście chodzi tutaj o metodę brute-force, czyli siłową. Polega na sprawdzeniu każdej możliwości w tym 11 znakowym haśle. Takich możliwości jest aż 28531167060. Kolejnym sposobem złamania hasła może być atak słownikowy. Polega on na wcześniejszym zdefiniowaniu listy wyrazów, które mogą występować jako hasło. Następnie, wszystkie wyrazy z listy zostają wpisywane i sprawdzane dopóki nie zostanie znalezione takie, które pasuje. Napastnik może sam taką listę stworzyć lub skorzystać z gotowych słowników dostępnych w internecie. Jak już wcześniej wspomniałem, hakerzy udostępniają dużą listę możliwych haseł po przejęciu bazy danych wielkich firm. Znajdują się tam najczęściej stosowane hasła, a taką listę można pobrać bez problemu z Internetu. Widać więc, że ważne jest również spersonalizowanie ataku do konkretnego użytkownika lub grupy osób albowiem na czwartym miejscu najpopularniejszych haseł w wycieku Adobe było po prostu „adobe123”. Jednym z najskuteczniejszych ataków na hasła jest atak hybrydowy, czyli pomieszanie dwóch poprzednich technik. Oddaje najbardziej metodę jaką by wykorzystywał człowiek w tym procesie. Opiera ona się na dodawaniu reguł do stworzonego wcześniej słownika. Przykładowo, jeśli mamy hasło „haslo”, wiedząc, że użytkownicy dodają na końcu cyfry (aby hasło przeszło przez mechanizm zabezpieczający) można sprawić, że do każdego wyrazu ze słownika będzie dodawana kolejna cyfra. Hasło, które będzie sprawdzane wystąpi w postaci „haslo1”, „haslo12”, „haslo123” itd. Dzięki zastosowaniu tak zwanych masek można także dodać reguły do szybszego łamania. Można to wykorzystać dodając regułę, która będzie zamieniała literę „a” na 4 albo „o” na 0. W naszym przypadku „haslo” zmieniłoby się na „h4sl0”. Często użytkownicy wykonują taką zamianę myśląc, że jest to dużo bardziej bezpieczne. Jednak przy stosowaniu reguł oraz masek można je także złamać.
Hashe haseł, co to jest?
Aby bezpiecznie przechowywać hasła w bazie danych, tworzony jest tzw. hash hasła. Są to dość skomplikowane funkcje kryptograficzne, które zamieniają hasło w niezrozumiały dla człowieka ciąg znaków. Ponadto jest to funkcja jednokierunkowa, co w kryptografii oznacza, że łatwo ją wyliczyć, lecz ciężko zamienić w drugą stronę. Ponadto, jeśli zmieni się chociażby jeden znak w haśle, jego hash będzie wyglądał zupełnie inaczej. Przykładowymi funkcjami hashowania jest md5 lub sha. Hash dla wyrazu „haslo” z wykorzystaniem algorytmu sha512 wygląda następująco:
„013c6889f799cd986a735118e1888727d1435f7f623d05d58c61bf2cd8b49ac90105e5786ceaabd62bbc27336153d0d316b2d13b36804080c44aa6198c533215”.
Najefektywniejszą metodą łamania hashy wydaje się być wykorzystanie tęczowych tablic. Jest to po prostu baza takich hashy wraz z odpowiadającymi im hasłami. Porównuje się hashe i w ten sposób można zaoszczędzić moc obliczeniową. Jest dużo wydajniejsza aniżeli na przykład metoda siłowa. Aby przed tym się zabezpieczyć, do hasła dodawana jest tak zwana sól (ciąg zaburzający). Powinna być unikatowa dla każdego użytkownika i dzięki temu bez znajomości soli, przestępca nie będzie mógł skorzystać z tęczowych tablic. W takim wypadku, jeśli wycieknie całkowicie baza danych jakiegoś serwisu nie oznacza to, że wszystkie hasła zostaną złamane. To jest dobry przykład dlaczego warto używać silnych haseł.
Jak się przed tym wszystkim bronić?
Wbrew pozorom najczęstsze włamania nie opierają się na łamaniu haseł, a na przekonaniu użytkownika żeby podał je sam oraz dobrowolnie. Tak więc główną zasadą jest nie podawanie haseł żadnej osobie, nawet jeśli będzie wydawała się odpowiedzialna za konkretny serwis. Nikt nigdy nie napisze maila z prośbą o wysłanie hasła. Przestępcy uciekają się do coraz bardziej wyrafinowanych sztuczek związanych z wyłudzaniem hasła, więc trzeba być bardzo czujnym. Najlepszą metodą jest ustawianie całkowicie losowych haseł korzystając z generatora. Jednak załóżmy, że korzystamy z 10 stron i musimy ustawić 12 znakowe silne hasło dla każdej z nich, jeśli nie jesteśmy mnemonistami, wtedy jest to po prostu niemożliwe do zapamiętania. Jednak ktoś pomyślał o tym problemie i został stworzony menadżer haseł. Jest on dostępny w oprogramowaniu BitDefender i dzięki temu zamiast 10 haseł wystarczy zapamiętać jedno. Po wejściu w ten moduł musimy stworzyć nowy „portfel”, a następnie ustawić go wedle swoich potrzeb. Jeśli mamy zapamiętane hasła w przeglądarce (czego również nie powinniśmy robić!) od razu zsynchronizują się nam one ze stworzonym portfelem. Wspiera wszystkie nowe przeglądarki i można przechowywać w nim hasła do kont, numery kart kredytowych, hasła do aplikacji, hasła do sieci WiFi lub klucze licencyjne.
[Aby zobaczyć linki, zarejestruj się tutaj]
Cały portfel można eksportować i zgrać na zewnętrzny nośnik, oczywiście dobrze zabezpieczony. Cała idea opiera się na wpisaniu własnego hasła, które pozwala na dostęp do zapisanych w portfelu haseł. Podczas logowania się do systemu lub włączania przeglądarki jesteśmy pytani o hasło do portfelu. Po tej operacji będą automatycznie uzupełniane dane logowania w przeglądarce lub użytkownik może wybrać kiedy ten mechanizm stosować. Portfel zostanie automatycznie zablokowany po dłuższej bezczynności ze strony użytkownika.[Aby zobaczyć linki, zarejestruj się tutaj]
Kilka dodatkowych rad
Podczas korzystania z portfela haseł i ustawienia silnych haseł możemy mieć pewność, że nawet po wykradnięciu bazy danych nie zostaną one złamana. Oczywiście, jeśli były odpowiednio przechowywane po stronie serwera. Dodatkowo nie musimy zapamiętywać wszystkich haseł, a mamy jeszcze mamy możliwość zsynchronizowania portfela z innymi urządzeniami. Należy pamiętać, aby nie korzystać z niezabezpieczonych sieci WiFi podczas logowania do jakichkolwiek kont oraz dla pełnego bezpieczeństwa włączyć dwuskładnikowe uwierzytelnienie na stronach, które to obsługują.
Przypisy:
[1]
[Aby zobaczyć linki, zarejestruj się tutaj]
Źródło: Bitdefender