r   e   k   l   a   m   a
r   e   k   l   a   m   a

Hasła do poprawki: Bruce Schneier radzi, jak zabezpieczyć się w naszych czasach

Strona główna AktualnościOPROGRAMOWANIE

Pomimo poszukiwań alternatywnych dla haseł metod uwierzytelniania, wciąż zdecydowania większość użytkowników korzysta właśnie z nich, i pewnie nie zmieni się to jeszcze przez kilka lat. Zmieniają się jednak narzędzia stosowane do łamania haseł, rośnie też moc obliczeniowa dostępna tym, którzy mogą sobie pozwolić na siłowe ich łamanie. Źle to wróży bezpieczeństwu wszystkich tych, którzy wykorzystują hasła o złożoności takiej samej, jakie stosowało się 10 lat temu, nie mówiąc już o niezliczonych milionach tych, dla których „123456” wygląda na całkiem dobre hasło. Co więc robić? Z pomocą przychodzi Bruce Schneier, nasz ulubiony kryptograf, by pouczyć rzesze internautów, jak naprawdę powinno wyglądać dobre hasło na nasze czasy.

Przede wszystkim należy sobie uzmysłowić, jak skuteczne są dziś narzędzia do łamania haseł, którymi dysponuje policja czy zawodowi crackerzy. „Zgadywanie” haseł to dziś proces, który łatwo się paralelizuje, który można uruchamiać na wielu maszynach jednocześnie, przez tyle czasu, ile tylko potrzeba. Jeden z najlepszych takich łamaczy kodów, oclHashcat-plus, potrafi przetestować do ośmiu milionów haseł na sekundę, tj. ponad 691 miliardów haseł w ciągu doby. Jak wyjaśnia Bruce Schneier, takie łamacze haseł mogą pracować miesiącami, gdy w grę wchodzą ważne sprawy kryminalne.

Takiemu łamaczowi haseł poradzenie sobie z 6-znakowym ciągiem liter (ok. 309 mln kombinacji) zajmie niespełna 40 sekund. 8-znakowy ciąg liter to już niespełna 209 mld kombinacji, których sprawdzenie zajmie ok. ośmiu godzin. Jeśli oprócz liter wykorzystamy cyfry, to liczba kombinacji wyniesie ok. 2,8 bln, czyli jakieś cztery dni pracy oclHashcata-plus. Zastosowanie dużych i małych liter to już 218 bilionów kombinacji, a więc około 315 dni pracy łamiącej hasła. Można śmiało założyć, że instytucjonalny napastnik będzie dysponował wieloma takimi maszynami i wykorzysta je do równoległego ataku. Można też śmiało założyć, że nie dotyczy to tylko policji czy innych służb – dzięki rosnącej popularności wyliczania kryptowalut nie jest trudno znaleźć ludzi, którzy dysponują dziesiątkami, a nawet setkami procesorów graficznych.

r   e   k   l   a   m   a

Co więcej, narzędzia crackujące hasła są coraz sprytniejsze, stosując liczne sztuczki, by zwiększyć swoją efektywność. Schneier pisze, że nie przeszukują one już wszystkich kombinacji od „aaaaaaaaaa” po „zzzzzzzzzzz”, lecz wypróbowują wpierw najbardziej prawdopodobne hasła. Takie prawdopodobne hasła składają się z rdzenia i dodatku. Rdzeń często jest słowem ze słownika, a jeśli nawet nie, to jest zwykle przynajmniej wymawialny przez człowieka. Dodatek to przyrostek (90% wypadków) lub przedrostek (10% wypadków). Program, który startował ze słownikiem tysiąca popularnych haseł, testujący je z około setką popularnych przyrostków, był w stanie złamać jedną czwartą podanych mu haseł po sprawdzeniu raptem 100 tysięcy kombinacji.

Oczywiście mało który łamacz haseł ogranicza się do jednego słownika. Najlepsze korzystają z dziesiątków takich słowników, zawierających najdziwniejsze nawet kombinacje. Skuteczność takiego podejścia dowiodło zdarzenie z zeszłego roku, kiedy to jeden z redaktorów serwisu Ars Technica, człowiek bez formalnego wykształcenia w dziedzinie kryptoanalizy, za pomocą powszechnie dostępnych narzędzi zajął się listą 16,5 tys. skrótów MD5 do haseł, odwracając (uzyskując poprawne hasło) dla 47% z nich. Następnie zaprosił do współpracy trzech ekspertów w dziedzinie, by zobaczyć, jak im powiedzie się z podobnym atakiem. Dość powiedzieć, że jednemu z nich udało się, używając zwykłego peceta z kartą graficzną Radeon 7970, złamać 90% haseł w ciągu 20 godzin. Inny ekspert w ciągu godziny poradził sobie z 62% haseł. I co najważniejsze, nie były to na pierwszy rzut oka słabe hasła – wśród nich znalazły się takie rodzynki jak Sh1a-labe0uf, @Yourmom69, Philippians4:6-7, BandGeek2014 czy qeadzcwrsfxv1331.

Taki stan rzeczy, według Schneiera, dowodzi, że stara rada z komiksu XKCD, by jako haseł używać kilku połączonych ze sobą losowych słów, w stylu correcthorsebatterystaple, nie jest już dobrą radą. Łamacze haseł radzą sobie z nią całkiem dobrze. Wykorzystają do ataku wszystkie informacje, jakie zgromadzone zostaną o ofierze – kody pocztowe, numery telefonów, adresy pocztowe, imiona, często występujące w e-mailach słowa. Wszystko co może zostać użyte do przyspieszenia łamania hasła, zostanie użyte – a wszystko co może zostać zapamiętane przez człowieka, zostanie zapamiętane.

Została już tylko jedna metoda na tworzenie zapamiętywalnych haseł, które są odporne na siłowe ataki (jak długo jeszcze?). To schemat Schneiera, opisany po raz pierwszy przez autora w 2008 roku. Tworzymy w miarę złożone zdanie, tylko nam znane, a następnie wykorzystujemy pierwsze litery poszczególnych słów do utworzenia ciągu – hasła, tak że zdanie Kiedy miałem 7 lat, siostra wrzuciła mego pluszowego królika do toalety! pozwala wygenerować hasło Km7l,swmpkdt! Inne dobre przykłady takich haseł Schneier podaje tutaj.

A co, jeśli dana aplikacja czy usługa nie przyjmuje haseł ze znakami specjalnymi? Wówczas najlepiej korzystać z czysto losowych haseł o odpowiedniej długości (nawet 20 i więcej znaków), przechowywanych w menedżerze haseł, takim jak np. Password Safe (zaprojektowanym i sprawdzonym osobiście przez samego Schneiera). Oprócz tego warto przestrzegać trzech rad mistrza kryptografii: nigdy nie używać ważnych haseł ponownie w innych serwisach/usługach, nie przejmować się aktualizacjami haseł (usługi żądające zmiany hasła co np. 90 dni czynić mają więcej szkody niż pożytku) i trzymać się z dala od „pytań pomocniczych”, które mogą tylko ułatwić napastnikowi złamanie hasła.

Mamy nadzieję, że porady Bruce'a Schneiera, człowieka, który zna klucze prywatne Chucka Norrisa, okażą się dla Was pomocne i pozwolą przetrwać cyberataki ze strony wszelkiego rodzaju napastników.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.