Reklama

Cyberbezpieczeństwo

#CyberMagazyn: Bezpieczeństwo haseł. Fakty i mity

Jakie są dobre i złe praktyki w kontekście haseł?
Jakie są dobre i złe praktyki w kontekście haseł?
Autor. Pixabay.com

Z haseł korzysta praktycznie każdy z nas. Na przestrzeni lat narosło o nich wiele mitów, które mogą być szkodliwe pomimo dobrych zamiarów. Warto również zdawać sobie sprawę z tego, ile czasu potrzebują cyberprzestępcy do złamania hashy haseł.

Hasło powinniśmy traktować jak coś bardzo intymnego. Nie można w żaden sposób ułatwiać pracy cyberprzestępcom, np. poprzez zostawianie go na karteczce przyklejonej do komputera.

Przykład hasła pozostawionego na kartce
Przykład hasła pozostawionego na kartce
Autor. AP/Composite/Rob Price

Czytaj też

Reklama

Krótki wstęp teoretyczny

Hasło to ciąg znaków, który używany jest do uwierzytelniania. Z założenia jest znane tylko osobie, która je wymyśliła.

Obecnie samo hasło nie powinno być jedynym składnikiem uwierzytelniania. Z racji na m.in. liczne wycieki haseł powinniśmy stosować uwierzytelnianie dwuskładnikowe.

Hasła nie powinny być trzymane w formie tekstowej (tzw. plaintext). Obecnie trzymane są przede wszystkim w formie funkcji skrótu, czyli unikalnych ciągów znaków o określonej długości tworzonych za pomocą algorytmów kryptograficznych.

Same hashe powinny również iść w parze z tzw. solą i pieprzem, które znacząco utrudniają pracę cyberprzestępcom.

Czytaj też

Reklama

Konieczność stosowania unikalnych haseł

Jeżeli hasło jest tworzone według powszechnych wzorców istnieje duża szansa, że uwzględniła je już jakaś zbiorcza lista haseł (tzw. wordlist).

Jeżeli w wordliście składającej się głównie z polskich haseł wyszukamy fraz zaczynających się od „P@ssw0rd123” lub „Admin_123” naszym oczom ukaże się kilka wyników.

Wyszukiwanie haseł w wordliście ważącym ponad kilkanaście gigabajtów
Wyszukiwanie haseł w wordliście ważącym ponad kilkanaście gigabajtów
Autor. Materiały własne

Jeżeli wygenerujemy dla takiego hasła funkcję skrótu (np. SHA-512) otrzymamy tzw. hash. Z założenia jest on nieodwracalny, lecz cyberprzestępcy nie mają żadnego problemu w łamaniu hashy z prostych haseł.

Wygenerowana funkcja skrótu dla frazy P@ssw0rd123456
Wygenerowana funkcja skrótu dla frazy P@ssw0rd123456
Autor. Materiały własne / https://emn178.github.io

Jeżeli chcemy złamać taki hash posiadając np. listę haseł z wycieku, możemy użyć narzędzi dostępnych dla każdego – np. JohnTheRipper lub Hashcat. Dla funkcji skrótu SHA-512 hasła „P@ssw0rd123456” sama procedura łamania hasha zajełą… sekundę.

Łamanie hasha, które zajęło sekundę
Łamanie hasha, które zajęło sekundę
Autor. Materiały własne
Reklama

Niestety przykłady prostych haseł możemy spotkać np. w reklamach. Poniższy przykład pochodzi z reklamy pewnej firmy zajmującej się sprzedażą batonów.

Puszek123 nie jest silnym hasłem
Puszek123 nie jest silnym hasłem
Autor. YouTube

Łamanie funkcji skrótu tej frazy (SHA-256) zajęło tylko 10 sekund.

Łamanie hasha zajęło 10 sekund
Łamanie hasha zajęło 10 sekund
Autor. Materiały własne

Czytaj też

Bezpieczeństwo sieci Wi-Fi

Sieci Wi-Fi są podatne na różnego rodzaju ataki. Przykładowo, zdobycie hasła „Piwonia2019” podczas ataku na sieć Wi-Fi było możliwe w 17 minut na przeciętnym komputerze, co opisywałem w filmie.

Piwonia2019 to nie jest silne hasło
Piwonia2019 to nie jest silne hasło
Autor. https://www.youtube.com/@ArkadiuszSiczek

Czytaj też

Cykliczna zmiana haseł prowadzi do patologii

Zmiana hasła co miesiąc lub co kwartał powoduje powstanie następujących haseł:

  • Wiosna20242024/Zima2024!@#/Lato20244321/Jesien2024
  • AdamAdam1/AdamAdam2/AdamAdam3/AdamAdam4

Takie podejście nie jest słuszne pomimo - pozornych - dobrych założeń.

Żelazne reguły haseł

Najlepiej swojego hasła nie znać. Nie chodzi jednak o ciągłe zapominanie hasła, lecz stosowanie menedżerów haseł. Zagadnienie dobrze opisał Jakub Domaradzki w wywiadzie dla CyberDefence24:

Polecam absolutnie menadżery haseł. Jeżeli ktoś jest w stanie przeboleć to, że trzeba zapamiętać jedno główne hasło i ewentualnie podpiąć sobie jeszcze jakiś authenticator w stylu Google’a albo klucz typu YubiKey i dzięki temu zwiększyć bezpieczeństwo swoich haseł, to zróbcie to. Mogę polecić ze swojej strony Bitwardena.

Wtedy pamiętacie tylko jedno hasło, a całą resztę pamięta wasz telefon, wasz komputer, wtyczka do przeglądarki i tak dalej. Nie pamiętam żadnego swojego hasła, a w zasadzie go nie znam.

Czytaj też

Jeżeli jednak hasło musi istnieć w formie ciągu znaków do zapamiętania, warto zastosować zbitkę kilku słów. Sekurak opisywał rekomendacje FBI w następujący sposób:

Zamiast używać krótkiego złożonego hasła, które jest trudne do zapamiętania rozważcie raczej używanie jako hasła dłuższego „zdania” [passphrase]. Wystarczy tylko połączyć kilka słów w jedno duże hasło, które powinno mieć ponad 15 znaków. Odpowiednia długość spowoduje, że ciężej będzie je złamać, a jednocześnie będzie wam je łatwo zapamiętać

Oznacza to, że hasło „BardzoLubieCzytacCyberDefence24” jest lepszym hasłem niż „Cyber24%!@”.

Czytaj też

Podsumowanie

Bezpieczne hasła są kluczem do bezpieczeństwa w cyberprzestrzeni. Najlepszym rozwiązaniem jest korzystanie z menedżerów haseł i dwuetapowego uwierzytelniania z wykorzystaniem klucza fizycznego.

Przy tworzeniu haseł ważne jest odchodzenie od schematów. Cyberprzestępcy chętnie wykorzystają fakt, że hasło 1qaZXsw2 jest bardzo łatwe do wpisania na klawiaturze.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Komentarze