Cyberbezpieczeństwo
#CyberMagazyn: Bezpieczeństwo haseł. Fakty i mity
Z haseł korzysta praktycznie każdy z nas. Na przestrzeni lat narosło o nich wiele mitów, które mogą być szkodliwe pomimo dobrych zamiarów. Warto również zdawać sobie sprawę z tego, ile czasu potrzebują cyberprzestępcy do złamania hashy haseł.
Hasło powinniśmy traktować jak coś bardzo intymnego. Nie można w żaden sposób ułatwiać pracy cyberprzestępcom, np. poprzez zostawianie go na karteczce przyklejonej do komputera.
Czytaj też
Krótki wstęp teoretyczny
Hasło to ciąg znaków, który używany jest do uwierzytelniania. Z założenia jest znane tylko osobie, która je wymyśliła.
Obecnie samo hasło nie powinno być jedynym składnikiem uwierzytelniania. Z racji na m.in. liczne wycieki haseł powinniśmy stosować uwierzytelnianie dwuskładnikowe.
Hasła nie powinny być trzymane w formie tekstowej (tzw. plaintext). Obecnie trzymane są przede wszystkim w formie funkcji skrótu, czyli unikalnych ciągów znaków o określonej długości tworzonych za pomocą algorytmów kryptograficznych.
Same hashe powinny również iść w parze z tzw. solą i pieprzem, które znacząco utrudniają pracę cyberprzestępcom.
Czytaj też
Konieczność stosowania unikalnych haseł
Jeżeli hasło jest tworzone według powszechnych wzorców istnieje duża szansa, że uwzględniła je już jakaś zbiorcza lista haseł (tzw. wordlist).
Jeżeli w wordliście składającej się głównie z polskich haseł wyszukamy fraz zaczynających się od „P@ssw0rd123” lub „Admin_123” naszym oczom ukaże się kilka wyników.
Jeżeli wygenerujemy dla takiego hasła funkcję skrótu (np. SHA-512) otrzymamy tzw. hash. Z założenia jest on nieodwracalny, lecz cyberprzestępcy nie mają żadnego problemu w łamaniu hashy z prostych haseł.
Jeżeli chcemy złamać taki hash posiadając np. listę haseł z wycieku, możemy użyć narzędzi dostępnych dla każdego – np. JohnTheRipper lub Hashcat. Dla funkcji skrótu SHA-512 hasła „P@ssw0rd123456” sama procedura łamania hasha zajełą… sekundę.
Niestety przykłady prostych haseł możemy spotkać np. w reklamach. Poniższy przykład pochodzi z reklamy pewnej firmy zajmującej się sprzedażą batonów.
Łamanie funkcji skrótu tej frazy (SHA-256) zajęło tylko 10 sekund.
Czytaj też
Bezpieczeństwo sieci Wi-Fi
Sieci Wi-Fi są podatne na różnego rodzaju ataki. Przykładowo, zdobycie hasła „Piwonia2019” podczas ataku na sieć Wi-Fi było możliwe w 17 minut na przeciętnym komputerze, co opisywałem w filmie.
Czytaj też
Cykliczna zmiana haseł prowadzi do patologii
Zmiana hasła co miesiąc lub co kwartał powoduje powstanie następujących haseł:
- Wiosna20242024/Zima2024!@#/Lato20244321/Jesien2024
- AdamAdam1/AdamAdam2/AdamAdam3/AdamAdam4
Takie podejście nie jest słuszne pomimo - pozornych - dobrych założeń.
Żelazne reguły haseł
Najlepiej swojego hasła nie znać. Nie chodzi jednak o ciągłe zapominanie hasła, lecz stosowanie menedżerów haseł. Zagadnienie dobrze opisał Jakub Domaradzki w wywiadzie dla CyberDefence24:
Polecam absolutnie menadżery haseł. Jeżeli ktoś jest w stanie przeboleć to, że trzeba zapamiętać jedno główne hasło i ewentualnie podpiąć sobie jeszcze jakiś authenticator w stylu Google’a albo klucz typu YubiKey i dzięki temu zwiększyć bezpieczeństwo swoich haseł, to zróbcie to. Mogę polecić ze swojej strony Bitwardena.
Wtedy pamiętacie tylko jedno hasło, a całą resztę pamięta wasz telefon, wasz komputer, wtyczka do przeglądarki i tak dalej. Nie pamiętam żadnego swojego hasła, a w zasadzie go nie znam.
Czytaj też
Jeżeli jednak hasło musi istnieć w formie ciągu znaków do zapamiętania, warto zastosować zbitkę kilku słów. Sekurak opisywał rekomendacje FBI w następujący sposób:
Zamiast używać krótkiego złożonego hasła, które jest trudne do zapamiętania rozważcie raczej używanie jako hasła dłuższego „zdania” [passphrase]. Wystarczy tylko połączyć kilka słów w jedno duże hasło, które powinno mieć ponad 15 znaków. Odpowiednia długość spowoduje, że ciężej będzie je złamać, a jednocześnie będzie wam je łatwo zapamiętać
Oznacza to, że hasło „BardzoLubieCzytacCyberDefence24” jest lepszym hasłem niż „Cyber24%!@”.
Czytaj też
Podsumowanie
Bezpieczne hasła są kluczem do bezpieczeństwa w cyberprzestrzeni. Najlepszym rozwiązaniem jest korzystanie z menedżerów haseł i dwuetapowego uwierzytelniania z wykorzystaniem klucza fizycznego.
Przy tworzeniu haseł ważne jest odchodzenie od schematów. Cyberprzestępcy chętnie wykorzystają fakt, że hasło 1qaZXsw2 jest bardzo łatwe do wpisania na klawiaturze.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].