Logotyp serwisu CyberDefence24
Reklama

Cyberbezpieczeństwo

#CyberMagazyn: Bezpieczeństwo haseł. Fakty i mity

Jakie są dobre i złe praktyki w kontekście haseł?
Jakie są dobre i złe praktyki w kontekście haseł?
Autor. Pixabay.com

Z haseł korzysta praktycznie każdy z nas. Na przestrzeni lat narosło o nich wiele mitów, które mogą być szkodliwe pomimo dobrych zamiarów. Warto również zdawać sobie sprawę z tego, ile czasu potrzebują cyberprzestępcy do złamania hashy haseł.

Hasło powinniśmy traktować jak coś bardzo intymnego. Nie można w żaden sposób ułatwiać pracy cyberprzestępcom, np. poprzez zostawianie go na karteczce przyklejonej do komputera.

Przykład hasła pozostawionego na kartce
Przykład hasła pozostawionego na kartce
Autor. AP/Composite/Rob Price
    Reklama

    Krótki wstęp teoretyczny

    Hasło to ciąg znaków, który używany jest do uwierzytelniania. Z założenia jest znane tylko osobie, która je wymyśliła.

    Obecnie samo hasło nie powinno być jedynym składnikiem uwierzytelniania. Z racji na m.in. liczne wycieki haseł powinniśmy stosować uwierzytelnianie dwuskładnikowe.

    Hasła nie powinny być trzymane w formie tekstowej (tzw. plaintext). Obecnie trzymane są przede wszystkim w formie funkcji skrótu, czyli unikalnych ciągów znaków o określonej długości tworzonych za pomocą algorytmów kryptograficznych.

    Same hashe powinny również iść w parze z tzw. solą i pieprzem, które znacząco utrudniają pracę cyberprzestępcom.

      Reklama

      Konieczność stosowania unikalnych haseł

      Jeżeli hasło jest tworzone według powszechnych wzorców istnieje duża szansa, że uwzględniła je już jakaś zbiorcza lista haseł (tzw. wordlist).

      Jeżeli w wordliście składającej się głównie z polskich haseł wyszukamy fraz zaczynających się od „P@ssw0rd123” lub „Admin_123” naszym oczom ukaże się kilka wyników.

      Wyszukiwanie haseł w wordliście ważącym ponad kilkanaście gigabajtów
      Wyszukiwanie haseł w wordliście ważącym ponad kilkanaście gigabajtów
      Autor. Materiały własne

      Jeżeli wygenerujemy dla takiego hasła funkcję skrótu (np. SHA-512) otrzymamy tzw. hash. Z założenia jest on nieodwracalny, lecz cyberprzestępcy nie mają żadnego problemu w łamaniu hashy z prostych haseł.

      Wygenerowana funkcja skrótu dla frazy P@ssw0rd123456
      Wygenerowana funkcja skrótu dla frazy P@ssw0rd123456
      Autor. Materiały własne / https://emn178.github.io

      Jeżeli chcemy złamać taki hash posiadając np. listę haseł z wycieku, możemy użyć narzędzi dostępnych dla każdego – np. JohnTheRipper lub Hashcat. Dla funkcji skrótu SHA-512 hasła „P@ssw0rd123456” sama procedura łamania hasha zajełą… sekundę.

      Łamanie hasha, które zajęło sekundę
      Łamanie hasha, które zajęło sekundę
      Autor. Materiały własne
      Reklama

      Niestety przykłady prostych haseł możemy spotkać np. w reklamach. Poniższy przykład pochodzi z reklamy pewnej firmy zajmującej się sprzedażą batonów.

      Puszek123 nie jest silnym hasłem
      Puszek123 nie jest silnym hasłem
      Autor. YouTube

      Łamanie funkcji skrótu tej frazy (SHA-256) zajęło tylko 10 sekund.

      Łamanie hasha zajęło 10 sekund
      Łamanie hasha zajęło 10 sekund
      Autor. Materiały własne
        Reklama

        Bezpieczeństwo sieci Wi-Fi

        Sieci Wi-Fi są podatne na różnego rodzaju ataki. Przykładowo, zdobycie hasła „Piwonia2019” podczas ataku na sieć Wi-Fi było możliwe w 17 minut na przeciętnym komputerze, co opisywałem w filmie.

        Piwonia2019 to nie jest silne hasło
        Piwonia2019 to nie jest silne hasło
        Autor. https://www.youtube.com/@ArkadiuszSiczek
          Reklama

          Cykliczna zmiana haseł prowadzi do patologii

          Zmiana hasła co miesiąc lub co kwartał powoduje powstanie następujących haseł:

          • Wiosna20242024/Zima2024!@#/Lato20244321/Jesien2024
          • AdamAdam1/AdamAdam2/AdamAdam3/AdamAdam4

          Takie podejście nie jest słuszne pomimo - pozornych - dobrych założeń.

          Żelazne reguły haseł

          Najlepiej swojego hasła nie znać. Nie chodzi jednak o ciągłe zapominanie hasła, lecz stosowanie menedżerów haseł. Zagadnienie dobrze opisał Jakub Domaradzki w wywiadzie dla CyberDefence24:

          Polecam absolutnie menadżery haseł. Jeżeli ktoś jest w stanie przeboleć to, że trzeba zapamiętać jedno główne hasło i ewentualnie podpiąć sobie jeszcze jakiś authenticator w stylu Google’a albo klucz typu YubiKey i dzięki temu zwiększyć bezpieczeństwo swoich haseł, to zróbcie to. Mogę polecić ze swojej strony Bitwardena.

          Wtedy pamiętacie tylko jedno hasło, a całą resztę pamięta wasz telefon, wasz komputer, wtyczka do przeglądarki i tak dalej. Nie pamiętam żadnego swojego hasła, a w zasadzie go nie znam.

            Reklama

            Jeżeli jednak hasło musi istnieć w formie ciągu znaków do zapamiętania, warto zastosować zbitkę kilku słów. Sekurak opisywał rekomendacje FBI w następujący sposób:

            Zamiast używać krótkiego złożonego hasła, które jest trudne do zapamiętania rozważcie raczej używanie jako hasła dłuższego „zdania” [passphrase]. Wystarczy tylko połączyć kilka słów w jedno duże hasło, które powinno mieć ponad 15 znaków. Odpowiednia długość spowoduje, że ciężej będzie je złamać, a jednocześnie będzie wam je łatwo zapamiętać

            Oznacza to, że hasło „BardzoLubieCzytacCyberDefence24” jest lepszym hasłem niż „Cyber24%!@”.

              Reklama

              Podsumowanie

              Bezpieczne hasła są kluczem do bezpieczeństwa w cyberprzestrzeni. Najlepszym rozwiązaniem jest korzystanie z menedżerów haseł i dwuetapowego uwierzytelniania z wykorzystaniem klucza fizycznego.

              Przy tworzeniu haseł ważne jest odchodzenie od schematów. Cyberprzestępcy chętnie wykorzystają fakt, że hasło 1qaZXsw2 jest bardzo łatwe do wpisania na klawiaturze.

              Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

              Reklama

              Jak odkryto blokady w pociągach Newagu?

              YouTube cover video

              Komentarze

                Reklama

                Czytaj także

                moje.cert.pl cert polska NASK bezpieczeństwo
                Moje.cert.pl. Dla kogo jest to narzędzie?
                Etyczna AI. Ważne podpisy Polski i Chin
                ElevenLabs partnerem polskiej prezydencji w UE
                Minister Cyfryzacji Krzysztof Gawkowski odniósł się do współpracy z Big Techami
                Big Techy w Polsce. Gawkowski: Polska ma na tym korzystać
                Krzysztof gawkowski ministerstwo cyfryzacji
                Bezpieczeństwo w sieci. Nowy serwis dla Polaków
                GSM-R ruszy w tym roku?
                donald trump prezydent USA
                Trump wstrzymał programy pomocowe. Rosja uderza w USA
                policja ukraińska grupa oszustwo banki
                Policja rozbiła ukraińską grupę. Oszukiwała klientów banków
                Reklama