#CyberMagazyn: Bezpieczeństwo haseł. Fakty i mity

Hasło powinniśmy traktować jak coś bardzo intymnego. Nie można w żaden sposób ułatwiać pracy cyberprzestępcom, np. poprzez zostawianie go na karteczce przyklejonej do komputera.

Krótki wstęp teoretyczny

Hasło to ciąg znaków, który używany jest do uwierzytelniania. Z założenia jest znane tylko osobie, która je wymyśliła.

Obecnie samo hasło nie powinno być jedynym składnikiem uwierzytelniania. Z racji na m.in. liczne wycieki haseł powinniśmy stosować uwierzytelnianie dwuskładnikowe.

Hasła nie powinny być trzymane w formie tekstowej (tzw. plaintext). Obecnie trzymane są przede wszystkim w formie funkcji skrótu, czyli unikalnych ciągów znaków o określonej długości tworzonych za pomocą algorytmów kryptograficznych.

Same hashe powinny również iść w parze z tzw. solą i pieprzem, które znacząco utrudniają pracę cyberprzestępcom.

Konieczność stosowania unikalnych haseł

Jeżeli hasło jest tworzone według powszechnych wzorców istnieje duża szansa, że uwzględniła je już jakaś zbiorcza lista haseł (tzw. wordlist).

Jeżeli w wordliście składającej się głównie z polskich haseł wyszukamy fraz zaczynających się od „P@ssw0rd123” lub „Admin_123” naszym oczom ukaże się kilka wyników.

Jeżeli wygenerujemy dla takiego hasła funkcję skrótu (np. SHA-512) otrzymamy tzw. hash. Z założenia jest on nieodwracalny, lecz cyberprzestępcy nie mają żadnego problemu w łamaniu hashy z prostych haseł.

Jeżeli chcemy złamać taki hash posiadając np. listę haseł z wycieku, możemy użyć narzędzi dostępnych dla każdego – np. JohnTheRipper lub Hashcat. Dla funkcji skrótu SHA-512 hasła „P@ssw0rd123456” sama procedura łamania hasha zajełą… sekundę.

Niestety przykłady prostych haseł możemy spotkać np. w reklamach. Poniższy przykład pochodzi z reklamy pewnej firmy zajmującej się sprzedażą batonów.

Łamanie funkcji skrótu tej frazy (SHA-256) zajęło tylko 10 sekund.

Bezpieczeństwo sieci Wi-Fi

Sieci Wi-Fi są podatne na różnego rodzaju ataki. Przykładowo, zdobycie hasła „Piwonia2019” podczas ataku na sieć Wi-Fi było możliwe w 17 minut na przeciętnym komputerze, co opisywałem w filmie.

Cykliczna zmiana haseł prowadzi do patologii

Zmiana hasła co miesiąc lub co kwartał powoduje powstanie następujących haseł:

• Wiosna20242024/Zima2024!@#/Lato20244321/Jesien2024
• AdamAdam1/AdamAdam2/AdamAdam3/AdamAdam4

Takie podejście nie jest słuszne pomimo - pozornych - dobrych założeń.

Żelazne reguły haseł

Najlepiej swojego hasła nie znać. Nie chodzi jednak o ciągłe zapominanie hasła, lecz stosowanie menedżerów haseł. Zagadnienie dobrze opisał Jakub Domaradzki w wywiadzie dla CyberDefence24:

Polecam absolutnie menadżery haseł. Jeżeli ktoś jest w stanie przeboleć to, że trzeba zapamiętać jedno główne hasło i ewentualnie podpiąć sobie jeszcze jakiś authenticator w stylu Google’a albo klucz typu YubiKey i dzięki temu zwiększyć bezpieczeństwo swoich haseł, to zróbcie to. Mogę polecić ze swojej strony Bitwardena.

Wtedy pamiętacie tylko jedno hasło, a całą resztę pamięta wasz telefon, wasz komputer, wtyczka do przeglądarki i tak dalej. Nie pamiętam żadnego swojego hasła, a w zasadzie go nie znam.

Jeżeli jednak hasło musi istnieć w formie ciągu znaków do zapamiętania, warto zastosować zbitkę kilku słów. Sekurak opisywał rekomendacje FBI w następujący sposób:

Zamiast używać krótkiego złożonego hasła, które jest trudne do zapamiętania rozważcie raczej używanie jako hasła dłuższego „zdania” [passphrase]. Wystarczy tylko połączyć kilka słów w jedno duże hasło, które powinno mieć ponad 15 znaków. Odpowiednia długość spowoduje, że ciężej będzie je złamać, a jednocześnie będzie wam je łatwo zapamiętać

Oznacza to, że hasło „BardzoLubieCzytacCyberDefence24” jest lepszym hasłem niż „Cyber24%!@”.

Podsumowanie

Bezpieczne hasła są kluczem do bezpieczeństwa w cyberprzestrzeni. Najlepszym rozwiązaniem jest korzystanie z menedżerów haseł i dwuetapowego uwierzytelniania z wykorzystaniem klucza fizycznego.

Przy tworzeniu haseł ważne jest odchodzenie od schematów. Cyberprzestępcy chętnie wykorzystają fakt, że hasło 1qaZXsw2 jest bardzo łatwe do wpisania na klawiaturze.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].