Silne hasło – właściwie po co mi ono?

Sty 2, 2018 | Bezpieczeństwo

Przed wiekami wymagania dotyczące haseł nie były tak wielkie jak dziś. Już Jan III Sobieski w swoich pamiętnikach wspomniał, iż głównym hasłem do teczki z kodami atomowymi, które stały się kluczowym argumentem pod Wiedniem, było „marysienka1”. Caryca Katarzyna zaś, mapy na których nanoszono granice kolejnych zaborów zabezpieczyła hasłem „123123”. Czy dziś uznalibyśmy je za silne hasło? Raczej nie.

A na poważnie – poniższy post nie skupi się na tym, JAK stworzyć doskonałe hasło, JAKICH narzędzi użyć, JAKI sytem przyjąć oraz W JAKI SPOSÓB zapamiętać to wszystko. Chciałbym tu nieco przybliżyć temat DLACZEGO warto pochylić się nad własnymi hasłami?

No to po co mi silne hasło?

Powiecie – „Przecież to oczywiste! Bezpieczeństwo, głupcze!” Oczywiste/nieoczywiste a jednak praktyka pokazuje co innego. Lata mijają a pewne kwestie pozostają niezmienne. Jak pokazuje tradycja corocznych wycieków wielkich baz danych, pośród polskich internautów nadal króluje ciąg „123456” a login/pass „admin/admin1” do rządowej strony to już nie zasługa fantazji Stanisława Barei.

O ile jeszcze niedawno słabe hasło mogło co najwyżej kosztować nas przejęcie skrzynki pocztowej albo konta na Naszej Klasie – co samo w sobie mogło być bolesne, ale nie tragiczne, tak dzisiaj – w dobie dostępu do kont służbowych, bankowości, urzędów czy chociażby budowanych przez lata profili i stron stanowiących o być albo nie być naszego podstawowego źródła utrzymania – silne hasło, a coraz częściej dodatkowe formy zabezpieczenia jak uwierzytelnienie dwuskładnikowe czy fizyczne klucze stają się niezbędne.

Oczywiście… najlepsze i najdroższe zabezpieczenia nic nie dadzą, jeśli zawiedzie czynnik ludzki. I tu warto przywołać znany komiks:

Kryptoanaliza gumowej pałki. Na pierwszym obrazku przestępcy głowią się jak złamać zabezpieczenia laptopa planując zaprojektowanie narzędzia za miliony dolarów aby złamac silne hasło. Na drugim wyjmują klucz francuski za 5 dolarów aby zmusić ofiarę do podania im hasła.
W bardzo luźnym tłumaczeniu [rozwiń]:

Wyobrażenia:
– Jego laptop jest zaszyfrowany. Stwórzmy warte miliony dolarów narzędzie aby go złamać.
– O nie, to 4096-bitowy RSA
– A niech to! Nasz plan legł w gruzach”

Rzeczywistość:
– Jego laptop jest zaszyfrowany, podaj mu narkotyki i bij tym kluczem za 5 dolarów dopóki nie poda Ci hasła.
– OK.

tzw. „Kryptoanaliza gumowej pałki”

Jednak pamiętajmy, że pomimo wielkiego uproszczenia, taki przypadek może mieć miejsce tylko w chwili, gdy przestępca uzyska dostęp (niekoniecznie fizyczny) do swojej ofiary. Znaczna większość włamań ma miejsce na odległość, przy użyciu automatów i wykorzystuje takie metody jak łamanie haseł na siłę (bruteforce) czy przeszukiwanie serwisów pod kątem zdobytych zestawów loginów i haseł (np. wyciek ze strony A i sprawdzanie czy ktoś nie używa takich samych danych na stronie B). Dlatego wbrew pozorom bardzo łatwo się przed takimi metodami zabezpieczyć, a przynajmniej bardzo utrudnić przestępcom działania. Oczywiście do niebezpieczeństw, o których należy wspomnieć dochodzą także metody socjotechniczne oraz te spowodowane naszą nieuwagą lub chęcią ułatwienia sobie życia w Sieci.

Ale to już temat na kolejne wpisy, w których pojawią się bardziej konkretne porady.

___________________________________
Wspólnie z Rozkminy Tiny chcemy zaprosić na wirtualne wydarzenie, podczas którego podrzucimy Wam kilka pomysłów na to, jak i dlaczego warto zmienić hasło na takie, z którym nie poradzą sobie zbyt szybko zarówno mechanizmy mające złamać je na siłę jak i osoby wyspecjalizowane w dziedzinie socjotechniki.

Rafał J. Jurkowski

Rafał J. Jurkowski

Autor

Fascynat mięs, ciężkich sosów oraz swojej żony. Z zawodu i zamiłowania grafik/webmaster. Geek, ojciec, kociarz.

0 komentarzy

Wyślij komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Pozostań w kontakcie!

Masz jakieś dodatkowe pytania lub uwagi? Chętnie na nie odpowiem!

tel. +48 512 506 490
mail: kontakt[at]rjjuk.pl

11 + 4 =