Silne hasło
Każdego dnia logujemy się do różnych serwisów: społecznościowych, aukcyjnych, sklepów oraz banków. Istnieje wiele technologii uwierzytelniania, jednak najprostszym i najtańszym rozwiązaniem jest silne hasło. Używanie silnych haseł jest niezbędne aby chronić swoją tożsamość i swoje informacje. Niestety użytkownicy wciąż używają zbyt prostych wyrazów i ciągów liczb, a przede wszystkim stosują to samo hasło w przypadku różnych kont.
Zagrożenia
Najprostszymi i najpowszechniej stosowanymi sposobami przełamywania haseł są:
- atak słownikowy (dictionary attack) – zautomatyzowany atak skierowany przeciwko systemowi uwierzytelniania, który polega na sprawdzeniu kolejnych, gotowych haseł znajdujących się w bazie danych (tzw. słowniku)
- atak siłowy (brute-force password attack) – polega na omijaniu zabezpieczeń systemu przez podejmowanie prób zalogowania się przy użyciu każdego dopuszczalnego hasła:
- zwyczajne ataki siłowe (normal brute force attacks) – atakujący używa nazwy użytkownika i dopasowuje do niego hasła,
- odwrócone ataki siłowe (reverse brute force attacks) – atakujący używa jednego hasła i dopasowuje do nich nazwy użytkowników. W systemach z dużą ilością kont, prawdopodobieństwo posiadania tego samego hasła przez wielu użytkowników jest wysokie.
Ataki tego typu są nieustannie rozwijane. Za pomocą ataku słownikowego można złamać większość haseł wykorzystywanych przez użytkowników indywidualnych. W Internecie publikowane są słowniki haseł najczęściej używanych. Nie brakuje też programów do łamania haseł. Przykładowym narzędziem do przeprowadzenia ataku łamania hasła metodą brute force jest THC-HYDRA.
Nie używaj opcji "zapamiętaj hasło"
Bardzo dużo programów oferuje opcję " zapamiętaj hasło ". Niestety, większość z nich nie ma wbudowanych środków bezpieczeństwa w celu ochrony tych informacji. Niektóre programy przechowują hasła w postaci zwykłego tekstu w pliku na komputerze. Oznacza to, że kto ma dostęp do komputera może odczytać to hasło. Dlatego też nie zaznaczaj tej opcji, gdy korzystasz z publicznie dostępnych komputerów ponieważ wtedy ktoś nieupoważniony będzie mógł wejść na Twoje konto i pozmieniać Twoje ustawienia.
Hasła powinny być składowane przez system w sposób bezpieczny, uniemożliwiający ich wykradnięcie i poznanie przez osoby trzecie. Mechanizmy, które przechowują hasła w postaci jawnej w znacznym stopniu obniżają poziom bezpieczeństwa aplikacji.
Zasady bezpieczeństwa
Kluczową rolę odgrywa stopień skomplikowania haseł przechowywanych w systemie. Dlatego też jednym ze sposobów ochrony jest wymuszanie na użytkownikach wybierania haseł trudnych do odgadnięcia. Hasła, aby uznać je za bezpieczne, powinny przestrzegać następujących wymogów:
- hasło nie powinno składać się z imienia, nazwiska, adresu, daty urodzenia, numerów telefonów, numerów rejestracyjnych, nazwy użytkownika lub jego znajomego albo członka rodziny,
- hasło nie powinno być wyrazem jakiegokolwiek języka (zwiększa to podatność na atak słownikowy),
- hasło powinno mieć odpowiednią długość oraz być przynajmniej 8-12 znakowe – mniejsza długość może powodować podatność na atak brute force.
- hasło powinno być kombinacją różnych znaków, tj. wielkich i małych liter alfabetu, cyfr oraz znaków specjalnych,
- hasło nie powinno być identyczne jak identyfikator użytkownika.
Aby wygenerować silne hasło, można posłużyć się jednym z wielu programów do ich generowania. Można skorzystać na przykład z programów Wireless Key Generator, Password Generator, Advanced Password Generator czy generatora zawartego w KeePass.
Pamiętaj:
- Używaj różnych haseł do różnych kont. Nigdy nie używaj tych samych haseł do usług w pracy czy do konta w banku co do haseł do kont osobistych, takich jak Facebook, YouTube czy Twitter. W ten sposób, jeśli jedno z haseł zostanie skompromitowane, pozostałe konta pozostaną nadal bezpieczne. Jeśli masz zbyt wiele haseł do zapamiętania, rozważ użycie menedżera haseł.
- Nigdy nie udostępniaj swojego hasła innym osobom, także współpracownikom. Pamiętaj, że hasło jest tajemnicą, a jeśli ktoś je pozna, nie jest już bezpieczne.
- Nie należy korzystać z publicznych komputerów, takich jak te w hotelach lub w bibliotekach, aby logować się na konto do pracy lub do banku. Ponieważ każdy może korzystać z tych komputerów, mogą one być zainfekowane złośliwym oprogramowaniem, które przechwytuje wszystkie naciśnięcia klawiszy. Do kont w swojej pracy lub rachunków bankowych loguj się tylko z zaufanych komputerów lub urządzeń mobilnych, nad którymi masz kontrolę.
- Uważaj na strony internetowe, które wymagają odpowiedzi na osobiste pytania. Pytania te są używane, jeśli zapomnisz hasła i trzeba będzie je zresetować. Sęk w tym, że odpowiedzi na te pytania można często znaleźć w Internecie czy nawet na Facebooku. Upewnij się, że jeśli odpowiadasz na osobiste pytania używasz tylko informacji, które nie są dostępne publicznie lub są to fikcyjne dane, celowo przez Ciebie zmyślone.
- Wiele kont internetowych oferuje coś, co jest nazywane "dwuskładnikowym uwierzytelnianiem" lub "dwuetapową weryfikacją". Jest to stosowane kiedy do logowania potrzebne jest więcej niż tylko jedno hasło, np. dodatkowo żądany jest kod przesyłany na smartfon. Użycie tej metody jest o wiele bardziej bezpieczne niż użycie samego hasła. Jeśli tylko jest to możliwe, należy zawsze korzystać z tych silniejszych metod uwierzytelniania.
- Urządzenia mobilne często wymagają podania kodu PIN w celu ochrony dostępu do nich. Pamiętaj, że PIN jest niczym innym tylko kolejnym hasłem. Im Twój PIN jest dłuższy, tym jest bardziej bezpieczny. Niektóre urządzenia mobilne (np. iPhone) pozwolą Ci zmienić numer PIN na zwykłe literowe hasło.
Są systemy publiczne, które ograniczają maksymalną długość hasła (!) np. do 10 znaków lub nie pozwalają na wprowadzanie znaków specjalnych. Nie można wprowadzić dłuższego/silniejszego, choćby się chciało. Może warto też edukować projektantów/programistów systemów lub ludzi od UX (user experience).
IT guy 20 lutego 2017