Atak brutalnej siły
Najbardziej podstawowym atakiem na hasła jest atak siłowy (atak brutalnej siły - brute force), którego celem jest sprawdzenie wszystkich możliwych kombinacji, dopóki hasło nie zostanie znalezione. Przeciętny komputer przy pomocy najpopularniejszego programu do łamania haseł (John the Ripper), potrafi sprawdzić 770000 kombinacji na sekundę! Sporo, prawda?
Sprawdźmy ile czasu łamane byłoby hasło 5 znakowe składające się ze znaków z alfabetu od a do z [a-z].
Ilośc kombinacji dla danego hasła obliczamy na podstawie wzoru:
liczba_możliwych_znaków ^ liczba_znaków_w_haśle
Hasło 8 znakowe z alfabetu [a-z] to już 26^8, czyli 208827064600 kombinacji, podzielone przez 770000 operacji na sekundę daje 271203 sekundy, czyli 75 godzin. To już sporo, ale dla upartego nic trudnego - zaledwie 3 doby.
Co się stanie jeśli nasze 5 znakowe hasło ozdobimy przez jedną cyfrę i jedną dużą literę?
Na przykład z hasła qwert, zrobimy qw9EB. Daje to nam 26 znaków z alfabetu [a-z], 26 znaków z alfabetu [A-Z] i 10 cyfr [0-9]. W sumie mamy 62 możliwe znaki i liczba kombinacji dla naszego hasła wyniesie 62^8, czyli 218340105584896 kombinacji, co daje około 9 lat na złamanie hasła.
Tak się składa, że hasło qw9EB nie jest najłatwiejsze do zapamiętania, tym bardziej, że powinniśmy w każdym serwisie mieć inne hasło i myślę, że wizja zapamiętania 10 podobnych haseł nie jest najciekawsza. Dlatego człowiek upraszcza sobie tego typu sprawę i tworzy hasła długie, z wielkimi literami i cyframi, które jest odporne na atak brutalnej siły, używając do tego słów łatwych do zapamiętania, np: ania90, Azor2001, które są używane przez nas na codzień - dzięki temu mamy pewność, że ich nie zapomnimy.
Dla przykładu, utworzymy długie i bezpieczne hasło o postaci: Jowisz95, ponieważ interesujemy się astronomią i Jowisz to największa planeta naszego układu słonecznego, a rok 95 to rok, w którym urodziła się nasza córeczka. Złamanie takiego hasła metodą bruteForce trwałoby około 9 lat.
Sprawdź siłę swojego hasła obliczając jego entropię. Hasło o entropii powyżej 50 bitów uznaje się za względnie bezpieczne, a hasło o entropii powyżej 100 bitów za bardzo bezpieczne.
Atak słownikowy
Niestety nie jest tak różowo. Kiedy nasze hasło jest już względnie zabezpieczone (bo przecież to tylko kwestia lat pracy komputera, a zza horyzontu wyłaniają się już komputery kwantowe) przed atakiem brutalnej siły, nadchodzi kolejny rodzaj ataku na hasła - atak słownikowy. Metoda ta polega na tworzeniu kombinacji nie ze znaków, lecz z popularnych słów danego języka. W sieci bez problemu można znaleźć zestaw popularnych słów w języku polskim, z ktorych atakujący program tworzy kombinacje hasła. Przykładową listę słów języka polskiech znajdziemy tutaj. Dużo łatwiej trafić w hasło firanka2000 atakiem słownikowym, niż metodą brute force. Na przykład na stronie www.tomshardware.com możemy znaleźć 20 najpopularniejszych haseł na świecie (na podstawie 32 milionów haseł). Lista przedstawia się następująco:
Źródło: http://www.tomshardware.com/news/imperva-rockyou-most-common-passwords,9486.html |
Nasze hasło w porównaniu do tych z listy, nie wygląda najlepiej. Spróbujmy poprzestawiać kilka liter, by utworzyć następujące hasło: Oj5wizs9. Zawiera te same małe litery i cyfry, ale jest już odporne na atak słownikowy. Jeśli skojarzymy nowe hasło z poprzednim, łatwo je będzie zapamiętać. Czy już jesteśmy bezpieczni?
Ataki cyberprzestępców
Ataki cyberprzestępców z roku na rok stają się coraz bardziej wyrafinowane. Jedne z popularniejszych dziś to ataki phishingowe, które polegają na wysyłaniu do ofiar wiadomości e-mail, w których przestępcy podają się np. za nasz bank i proszą o podanie hasła i loginu. W celu ochronienia się przed atakami phishingowymi wystarczy zapamiętać jedną prostą zasadę:
Nigdy nikomu nie podajemy naszego hasła, nawet jeśli podaje się za obsługę danego serwisu.
Popularną metodą jest również podrabianie zaufanych nam stron, tylko po to byśmy zalogowali się na nie ze swoimi danymi, aby napastnik mógł zapisać nasze dane dostępowe. Dlatego istotne jest, w przypadku najważniejszych dla nas serwisów (e-mail, bank), by przy adresie strony widniała (zazwyczaj zielona) kłódka, na którą możemy kliknąć, po czym wyświetlone zostaną informacje o zabezpieczeniach strony. Ostatnio użytkownicy poczty GMail padli ofiarą podobnego ataku!
Atak socjotechniczny
Nie mniej groźny jest atak socjotechniczny. Wyobraźmy sobie sytuację, w której dzwoni do nas osoba, która podaje się za pracownika naszego operatora sieci komórkowej. Mówi, że mają problem w systemie i prosi, by podać jej hasło do naszego konta, ponieważ bez szybkiej reakcji możemy stracić wszystkie dane oraz zapisane numery telefonów. Kiedy chwilę pomyślimy, powód wydaje się śmieszny, ale w obliczu prawdziwego tego typu zdarzenia istnieje szansa, że podamy nasze hasło obcej osobie, która okaże się nie tą, za którą się podawała. Wtedy jest już za późno. W przypadku tego typu ataków jedną z najważniejszych zasad jest:
Weryfikuj swojego rozmówcę, nigdy nie wykonuj poleceń osoby niezaufanej i nigdy nikomu nie podawaj swojego hasła.
Metody obrony
Oto co Kevin Mitnick (znany haker i socjotechnik) pisze w swojej książce pt. "Sztuka podstępu. Wydanie II" o polityce haseł:
Instrukcja.
Użytkownicy komputerów powinni wybierać hasła, które odpowiadają poniższym wymaganiom. Musi składać się z co najmniej ośmiu znaków w przypadku standardowych kont użytkowników i co najmniej dwunastu na kontach uprzywilejowanych. Musi zawierać co najmniej jedną cyfrę, co najmniej jeden symbol (np. $, _, %,!), co najmniej jedną małą literę i co najmniej jedną dużą literę (pod warunkiem, że pozwala na to system operacyjny). Nie może być wyrazem ze słownika dowolnego języka, wyrazem związanym z rodziną, hobby, samochodem, pracą, numerami rejestracyjnymi, numerem NIP adresem, telefonem, imieniem psa, datą urodzenia lub frazą zawierającą te wyrazy.
Nie może być wariacją poprzedniego hasła z jednym elementem niezmiennym, a drugim zmieniającym się, np. Roman0l, Roman02, Roman03 lub RomanSty, RomanLut.
Uwagi.
Hasło stworzone przy przestrzeganiu powyższych wytycznych będzie trudne do odgadnięcia dla socjotechnika. Inną możliwością jest stosowanie metody spółgłoska-samogłoska, dzięki której otrzymujemy łatwe do wymówienia i zapamiętania hasło. Aby skonstruować takie hasło, należy posługiwać się wzorcem „XYXYXY”, gdzie w miejsce X wstawiamy spółgłoski, a w miejsce Y samogłoski. Przykładami mogą być SOFEKA albo WACUNE.
Podsumowując,
nasze hasło powinno:
- mieć co najmniej 10 znaków
- zawierać co najmniej 1 wielką literę
- zawierać co najmniej 1 cyfrę
- zawierać co najmniej 1 znak specjalny (np. !@#%$^&*)
- być odporne na atak słownikowy - nie powinno zawierać popularnych słów, np. ilovemusic
- pamiętajmy, że operatorzy sieci komórkowych, pracownicy banku itp. NIGDY nie proszą nas o podanie hasła, nikt oprócz nas nie powinien znać naszego hasła, bez względu na wytłumaczenie prośby
- NIGDY nie zapisujmy hasła na kartce i nie umieszczajmy go w widocznym miejscu
- uważajmy na ataki phishingowe
- zmieniajmy hasła co najmniej raz na pół roku
UWAGA!
Zachowajmy przezorność w rejestrowaniu się w każdym nowym serwisie. Możemy do takich kont mieć specjalne "śmieciowe"-proste hasło, ale nigdy nie stosujmy go w ważnych dla nas kontach. Dla przykładu hasło na konto e-mail powinno być różne od hasła do konta bankowego, a te powinno być różne do konta na przykład na portalu społecznościowym. Problem w tym, że nasze hasło może być mocne, ale istnieje szansa, że będzie źle przechowywane "po drugiej stronie". Przykładem jest firma Sony, która przechowywała hasła użytkowników w postaci czystego tekstu (mimo, że OBOWIĄZKOWE jest ich szyfrowanie-wtedy ich wykradzenie nic by nie znaczyło). Po wykradzeniu haseł z bazy danych firmy, napastnicy mogą dane hasło bez problemu sprawdzić na pozostałych naszych kontach, np na koncie e-mail.
Mam nadzieję, że choć trochę przybliżyłem metody tworzenia i łamania haseł, choć zdaję sobie sprawę, że oprócz przedstawionych, istnieją inne metody łamania haseł - pomysłowość napastników nie zna granic. A czy Ty masz MOCNE hasło?
4 komentarze:
Propsy ziomek za post, czytalem z ciekawoscia, kiedys cos o tym czytalem, ale odswiezyles temat i chyba zmienie sobie hasla mimo, ze uwazalem je za calkiem bezpieczne :>
Ernie
Dzięki za przeczytanie! Cieszę się, że post Cię zaciekawił. A co do bezpieczeństwa, to jeszcze należy pamiętać, żeby nie logować się na czyimś komputerze. Wczoraj wieczorem Czarek podejrzał moje hasło do jednego z serwisów, bo swój komputer miałem już wyłączony ;-)
A tablice tęczowe? :)
Tablice tęczowe mają zastosowanie tylko w przypadku, gdy wynik funkcji jednokierunkowej haszującej nasze hasło jest znany. Chyba, że nawiązałeś do wycieku z Sony i ewentualnym zabezpieczeniem przez nich jakimś haszem. Wtedy oczywiście dla ciekawskich tablice tęczowe mogłyby się przydać.
Prześlij komentarz