Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Bezpieczniejsze hasła…

No cóż, ponieważ jestem po sesji postanowiłem zrealizować pierwszy z zaplanowanych wpisów. Będzie to również mój pierwszy wpis na blogu DP (współdzielony z wpisem na blogu u mnie na serwerze).
No cóż, temat bezpiecznych(/bezpieczniejszych) haseł pojawiał się już wielokrotnie na wielu forach czy blogach, a także był tematem zapewne niejednego artykułu (tak na serio to nie sprawdzałem tego ale to się wie samo przez się :P). Pewnego razu błądząc po czeluściach Internetu natrafiłem na bardzo ciekawy sposób tworzenia haseł. Ponieważ nie spotykam się zbyt często z informacjami o tym sposobie generowania haseł postanowiłem stworzyć dodatkowy wpis, który być może pomoże, chociaż trochę spopularyzować tą (wydaje mi się) świetną metodę.

Tak więc zaczynamy

Metoda, którą chcę wam zaprezentować zwie się Diceware. Pomaga nam ona tworzyć tzw. passphrase. Jest to nic innego jak długie hasło, ale jest pewien haczyk. Taki passphrase to tak na prawdę zlepek kilku słów bądź krótkich ciągów znakowych (np. ggg), najczęściej oddzielonych spacją. I teraz ktoś może zapytać: „No ok, tylko czy to czasem nie jest tak, że nie powinno się tworzyć haseł, które zawierają w sobie słowa?”. Oczywiście ktoś taki ma rację, ale tylko po części. Hasła typu „mruczek15”, „karolina91”, etc. nie są dobrym przykładem bezpiecznych haseł. Również hasło typu „niebo jest niebieskie” nie jest zbyt dobrym hasłem ponieważ mamy 3 słowa, które w odpowiedniej kolejności tworzą logiczne zdanie. Więc co takiego świetnego jest w tym Diceware? Otóż to, że przy pomocy zwykłych kości sześciennych (takich jak do gry np. w Eurobiznes) oraz odpowiednio przygotowanej listy słów generujemy hasło składające się ze słów/ciągów znaków całkowicie losowych i niepowiązanych ze sobą. Przykładowe hasło wygenerowane podczas pisania tego wpisu to: „ryt zatoka obrany pp”. W ten oto sposób w ciągu kilku chwil stworzyłem hasło o długości 20 znaków. Teraz mógłbym wstawić jakieś ciekawe obliczenia jednak myślę, że poniższa grafika lepiej przekaże co matematycy mają na myśli ;)

No dobra, a jak się takie hasła generuje?

Wchodzimy na stronę projektu Diceware skąd możemy pobrać listy słów/ciągów znaków w różnych językach http://world.std.com/~reinhold/diceware.html, następnie zaopatrzamy się w przynajmniej jedną kostkę sześcienną (a najlepiej w pięć) i zaczynamy rzucać :). Przykładowy fragment z polskiej listy słów to:
33326 kminek
33331 kn
33332 knajak
33333 knajpa
33334 knebel
33335 knecht
33336 knedel
Jak się teraz można domyślić każda kostka (o ile mamy pięć) lub rzut pojedynczą kostką to kolejne cyfry naszego klucza według którego dobieramy słowa. Gdyby przykładowo wypadły nam cztery 3-ójki i jedna 5-tka otrzymalibyśmy słowo „knecht”. Tym sposobem losujemy kilka słów/ciągów znaków. Najlepiej żeby były to minimum 4 słowa, a w wypadku usług bardziej wrażliwych więcej. Jeżeli uważamy, że to dalej za mało możemy np. zamiast spacji między słowami/ciągami znaków wstawiać jakieś znaki specjalne, bądź pobawić się wielkością liter.

Epilog

Ponieważ celem tego wpisu jest jedynie wstępne zapoznanie z Diceware i ew. zachęcenie do skorzystania z tej metody, na tym zakończę ten opis. Oczywiście nie zostawię was z niczym. Można oczywiście przeczesywać podaną wyżej stronę no ale nie każdy lubi czytać w języku angielskim i dla tych podaję link do strony jednej z osób, które tłumaczyły listę słów na język polski: http://drfugazi.eu.org/pl/bezpieczenstwo/diceware. Tam również od razu znajdziecie listę słów w języku polskim (oficjalna strona angielska zawiera link i do tej strony i do słownika) oraz dodatkowe rady odnośnie korzystania z Diceware.

Przepraszam jeżeli czujecie, że mogłem „pociągną ten wpis dalej”, ale myślę że nie ma sensu kopiowanie treści strony DrFugazi. Jak już wyżej wspomniałem chciałem jedynie zakomunikować, że istnieje taka metoda generowania bezpieczniejszych haseł oraz zachęcić do skorzystania z niej.

Na sam koniec kolejne przeprosiny, przykładowo za ew. błędy gramatyczne. Niestety, ale pióro nie jest mi tak lekkie jak innym blogerom, jednak mam nadzieję, że miło czytało się wam mój pierwszy wpis. 

bezpieczeństwo porady

Komentarze

0 nowych
  #1 02.07.2012 21:58

Hm... hasła "generowane" w ten sposób są równie nie do zapamiętania jak i te z typowych generatorów, pozostanę więc przy nich :)
Niemniej, to co jest na obrazku stosuję - ale tylko wymyślone samodzielnie, coś, co zapamiętam.

Ave5   8 #2 02.07.2012 22:02

Wpis jest OK, nie ma powodów do wstydu. No i gratki zdania sesji :)

Natomiast na temat: jeżeli potrzebuję gdzieś długiego hasła, to wymyślam sam na zasadzie coś + przymiotnik + numer + jedno słowo/fraza. Np:

ZielonyKoalaPiaskownica 69
Tukan13SzmaragdowyPiramida
RatujcieWombat16Złoto

Jakimś cudem to zapamiętuję.

Frankfurterium   10 #3 02.07.2012 23:12

A ja wszystkie hasła trzymam w chmurze. Oczywiście całość jest zaszyfrowana innym hasłem - jedynym, którym muszę się przejmować i w ogóle pamiętać ;-) Oczywiście generowane przez LastPass hasła są losowymi zbitkami cyfr i liter.

MasteROOT   4 #4 03.07.2012 00:03

@lukasamd
No cóż, widać wszystko zależy od osoby która operuje danymi hasłami, mnie osobiście łatwiej zapamiętać hasła które sobie "wygenerowałem" przy pomocy Diceware, jeden lepiej zapamięta coś innego. Metodę tą podałem ponieważ być może znajdzie się ktoś komu owa metoda się spodoba.

@Ave5
Dzieki ;) Co do haseł to każda metoda jest dobra o ile nie okazuje się nagle że nie pamiętamy jakiegoś hasła bądź nie zostało one złamane.

@Frankfurterium
Nie wiem czemu ale jakoś nigdy nie lubiłem korzystać z menadżerów haseł, już nie mówiąc o tym że mam średnie zaufanie do haseł przechowywanych w chmurze. Co do generowania losowych liter i cyfr to kiedyś czytałem jakiś krótki, a może dłuższy artykuł (niestety nie pamiętam gdzie i jak się nazywał :/) w którym był napisane że z tymi całkowicie losowymi hasłami to wcale nie jest tak pięknie jak się nam wydaje aczkolwiek głowy bym sobie za to uciąć nie dał.

Shaki81 MODERATOR BLOGA  38 #5 03.07.2012 08:39

No w końcu nowy blogger, który nie stworzył pierwszego wpisu typu " Cześć będę tu coś pisał" Witaj na łamach DP.
Sam sposób generowania haseł dość ciekawy, a masz jeszcze jakiś dobry sposób aby je spamiętać?

MasteROOT   4 #6 03.07.2012 08:58

@Shaki81
No cóż, nie lubię za dużo owijać w bawełnę i staram się cenić czas innych więc wolę od razu rzucić coś konkretnego, chociaż na blogu u mnie na serwerze jest więcej mało konkretnych wpisów no ale nie jest on tak poczytny jak blogi na DP ;)

Co do sposobu na zapamiętanie to przeważnie polega to na tym że kilka razy loguję się w ciągu danego dnia i później po prostu najczęściej z automatu jak tylko piszę login to zaczynam pisać hasło. Wadą tego rozwiązania jest to że mimo iż np hasło do GMail'a zmieniłem już prawie 6 mies temu to czasami zdarzy mi się jeszcze że wpisuję właśnie to stare, ale to dlatego że bardzo rzadko zmieniam hasła (tutaj przymusił mnie do tego wyciek danych z rootnode). Oczywiście zapewne są jakieś inne ciekawe techniki zapamiętywania, ale ja jakoś wolę korzystać ze sposobów, które mam już sprawdzone. Bardzo irytujące jest dla mnie gdy muszę korzystać z opcji przywracania hasła :P

Frankfurterium   10 #7 03.07.2012 12:21

Takie wygenerowane hasła zapewne są bezpieczniejsze niż to, co sam potrafię wymyślić _i_ zapamiętać ;-) A do tego skoro np. Niebezpiecznik twierdzi, że w generatorach i managerach nie ma nic złego...

MasteROOT   4 #8 03.07.2012 13:08

Wiesz, prawda jest taka że podstawą jest stosowanie się do tych zasad: http://niebezpiecznik.pl/post/hasla-sa-jak-majtki/
Dalej to już tylko sprawić żeby kolejne hasła nie przypominały tego: "kot01", "kot02", "kot03", itd. ;)

  #10 03.07.2012 19:14

Bezpieczne hasła ? to już 'qwerty' i '1qazxsw2' przestały spełniać swoją rolę ?

;-)

  #11 03.07.2012 19:51

Mi wystarcza KeePass i generator długich i losowych haseł.

MasteROOT   4 #12 03.07.2012 21:01

@adam9870, Łosoś
Spoko, można korzystać z KeePass czy innych menadżerów haseł, ale nie każdy lubi trzymać swoje hasła w programie. Ja na przykład wolę je zapamiętywać i przynajmniej w moim wypadku łatwiej zapamiętać to co mi "wypluje" Diceware niż ciąg losowych znaków. Oczywiście nie każdemu musi to pasować (przykład: lukasamd). Każdy jest inny i preferuje jakieś swoje podejście do danej kwestii. W sumie we wpisie mógłbym zamiast "(wydaje mi się)" napisać "(według mnie)", bardziej by pasowało ;)

Autor edytował komentarz.
Moskital   4 #13 03.07.2012 21:29

Ja ostatnio, po moich przygodach z włamami zacząłem stosować bardziej restrykcyjną politykę hasłowania. Liczba znaków, zróżnicowanie etc. etc. I nie ma bata, by normalny człowiek pamiętał takie hasła, dlatego lepiej wyposażyć się rzeczywiście w jakiś porządny sejf haseł. Ja wybrałem KeePass. W pierwszym zderzeniu się nie polubiliśmy, ale jak pobawiłem się LastPass, to bardzo szybko wróciłem do KeePassa, którego aktualnie używam starając się nie pamiętać żadnego z haseł ;)

marrrysin   6 #14 04.07.2012 00:41

Masteroot to nowy bloger na dp - 11A5t3r0OT7oI1OwYbL0g3rdP

Co jest złego w hasłach generowanych w ten sposób, łatwych do zapamiętania (sam mam tak zapamiętane od pierwszego razu dwudziestokilkuznakowe hasło do konta)? Jak się doda jeszcze symbole, to jest ono zupełnie nie do złamania w sensownym czasiemoże jest w nim trochę racji

OK, doczytałem komiks, może i jest w nim trochę racji, chociaż chyba nie bierze pod uwagę, że można zrobić naprawdę długie hasło z pozamienianymi literkami - i wtedy będzie ono możliwe do odgadnięcia tylko siłowo, czego nie zapewnia metoda losowych wyrazów.

Autor edytował komentarz.
soanvig   10 #15 04.07.2012 01:21

ja tam mam różne hasła, trudniejsze, łatwiejsze, nazwa filmu + numer (numer oczywiście prezentem dla tęczowych), długie słowo + numer, lub do bankowego mam najbezpieczniejsze - pewne moje dane osobowe, ale dla przykładu przerobione tak:
- "inicjaly" nazwy banku w jakim mam konto, bez polskich znakow
- skrócona uproszczona nazwa miasta (np. Katowice - "kato") w jakim mieszkam
- numer w dzienniku
itd :D łącznie hasło ma chyba jakoś 20 znaków...

GioWDS   14 #16 04.07.2012 01:25

Osobiście preferuje prostą technikę, układam sobie proste zdanie, fragment z książki, itp. Tworzę z niego hash przy pomocy SHA1. Z zasady preferuje hasła o długości 16 znaków - do ważnych danych, do for zazwyczaj mają długość 6-8 znaków. Następnie mając jako zdanie klucz ciąg znaków o długości 33 znaków wiem, że pierwszy skok Shifta będzie po 3 znakach przez 6 kolejnych, itd. Po paru użycia takiego hasła już je pamiętam, a w przypadku gdy go z jakiegoś powodu zapomnę znając zdanie klucz mogę je wygenerować ponownie.
Przykład:
Zdanie klucz: "Nic to jak rzekł Pan Wołodyjowski"
Hash klucza: "a619785e88ba25ba7d0556e56fa6dcda52daf4c9"
Baza hasła: "a619785e88ba25ba7d"
Gotowe hasło: "a61(&*%E*8ba@%BA&D"

Autor edytował komentarz.
jzaam   8 #17 04.07.2012 03:00

Coś takiego jak bezpieczne hasło nie istniej. Są tylko hasła łatwe i trudne do zapamiętania.

LordRuthwen   6 #18 04.07.2012 08:09

Ja stosuję hasła >20 znaków, sam je wymyślam i składają się z wyrazów niewystępujących w żadnym znanym mi języku :)
Ot, takie neologizmy :)
Oczywiście gdzie trzeba jest też wielka litera.
Problemów z zapamiętaniem nie mam.

Mantarak   3 #19 04.07.2012 08:24

Wpis ok.
Bezpieczne hasło to jak bezpieczny seks. Wpadka zdarza się w najmniej spodziwanej chwili i z przyczyn na które często nie mamy wpływu. np. jeśli admin jakiegoś portalu trzyma hasła w plaintekście to najsilniejsze hasło nie pomoże.

MasteROOT   4 #20 04.07.2012 09:21

@marrrysin
Myślę że mógłbym mieć problem z zapamiętaniem gdzie wstawiłem coś zamiast właściwej litery, ale jak już wyżej wspomniałem każdy ma jakiś swój system i z niego korzysta mu się najlepiej. Z drugiej strony prawda jest taka że jeżeli korzysta się bardzo często z jakiegoś hasła to siłą rzeczy po jakimś czasie je zapamiętamy.

@GioWDS
Przyznam szczerze że ciekawy sposób, bo faktycznie znając bazową frazę dla hasła jesteś w stanie w łatwy sposób przywrócić to hasło.

@jzaam
Dlatego częściej używałem słowa "bezpieczniejsze" niż "bezpieczne" ponieważ każde hasło jest do złamania, jest to jedynie kwestia czasu. Drugą sprawą jest trudność zapamiętania hasła o której już kilkukrotnie było wyżej.

@LordRuthwen
To jest też dobry sposób. Przy Diceware zawsze można skorzystać z kilku słowników w różnych językach i wtedy powstaje international pass :P

soanvig   10 #21 04.07.2012 10:02

@MasteROOT
na złamanie naprawdę mocnego hasła bruteforcem w teorii (wykluczmy bowiem sytuację, gdzie fartem litera "a" będzie miała ten sam hash co nasze hasło ;P), przy użyciu najmocniejszego domowego pojedynczego zestawu komputerowego potrzeba około (o ile dobrze pamiętam) kilku lat.
Gdybyś posiadał dużo większą moc (np. serwery wypożyczone od Google'a - mają taką ofertę) to zajęłoby to krócej i oczywiście miało sens. Ale wystarczy, że webmaster doda blokadę, że logować się można raz na 5 sekund i czas wydłuży się ponad 2000-krotnie. A na konta bankowe i tak jest blokada po 3 nieudanym logowaniu. I to nie jest blokada na IP tylko na konto ^^

soanvig   10 #22 04.07.2012 10:03

Poprawka. nie kilku lat tylko nawet 30 lat :D Kilka lat było przy kilku komputerach albo stacji roboczej

soanvig   10 #23 04.07.2012 10:06

30 lat dla hasła 12-znakowego ze znakami w formie alfabetu lowercase i uppercase i szybkiego komputera domowego.

soanvig   10 #24 04.07.2012 10:12

Cholera jasna, ja jestem ślepy i was dezinformuję na każdym kroku: miało być 300 lat :D 30 lat to komputery połączone lub stacja robocza, a 3 lata to superkomputery
300 lat dla hasła 12-znakowego ze znakami w formie alfabetu lowercase i uppercase i szybkiego komputera domowego

MasteROOT   4 #25 04.07.2012 11:18

@soanvig
Ja doskonale wiem że łamanie hasła bruteforcem nie jest czasowo satysfakcjonujące. Zwłaszcza że wystarczy zmienić hasło raz na roku i już powinno się zacząć łamanie na nowo bo nie wiadomo czy nowe hasło nie zacznie się akurat na literę a. Z drugiej strony trzeba wziąć pod uwagę że spłycanie bezpieczeństwa hasła tylko i wyłącznie do jego długości i złożoności jest śmieszne bo tak jak wspomniał Mantarak, wystarczy że admin nie ogarnął sprawy i wyciekają hasła w plaintext, a nasze "bezpieczne" haso szlag trafia...

---
EDIT
A skoro tyle tutaj jest napisane o menadżerach haseł to takie pytanie. Kto z was skorzystał by z takiego "menadżera": https://fbcdn-sphotos-a.akamaihd.net/hphotos-ak-ash3/538266_428753957147640_5748... :P

Autor edytował komentarz.
... ... ...   3 #26 05.07.2012 01:09

W dzisiejszych czasach wystarczy nie mieć standardowego super-prostego hasła typu "hasło", chociaż i tak dzisiaj niespecjalnie się słyszy masowym łamaniu haseł. Jakiekolwiek większe zbiory haseł są z wycieków baz danych czyli czymś na co użytkownik nie ma wpływu a hasła bankowe socjotechniką na którą wpadają użyszkodnicy.
Szczerze - Teraz wystarczy niestandardowe hasło by nie było łamane (no chyba że ktoś wie że mamy ważne dane tam i je chce) bo to się nie opłaca. Lepiej wziąć z bazy danych całą masę haseł lub sprawić żeby użyszkodnik sam je dał.

A sama technika zestawu słów -np. "Jestem wielkim władcą wszechświata" 34 znaki wraz z spacjami do których można dodać zabawy z zmianą liter na cyfry i symbole - zdecydowanie zbyt długie do brute force'a a nawet pomimo że zrobione ze słów to co najmniej ciężkie nawet do założenia że takie hasło będzie. W skrócie - nie opłaca się łamać. Komiks z XKCD w tym wpisie to dobrze ukazuje.

Mariuce00   6 #27 05.07.2012 09:33

Hasła, hasłami ale ważna jest również odpowiednia podpowiedź przy przypominaniu hasła. Ostatnio z czystej ciekawości zbadałem pytania pomocnicze dobrych znajomych i byłem w szoku. Najgłupsze pytanie: "Imię mojego psa?" Nic po mega trudnym haśle, gdy odpowiedź na pytanie pomocnicze jest banalna i wielu ludziom znana.

Autor edytował komentarz.
  #28 08.07.2012 23:19

czy takie hasło nie będzie aby zbyt podatne na atak typu słownikowego?

MasteROOT   4 #29 10.07.2012 23:31

Jeżeli wygenerujesz odpowiednio długie hasło to nie. Łamanie hasła metodą słownikową najczęściej polega na wyborze pojedynczego słowa ze słownika i ew. dodawaniu pre- i postfiksów. Tutaj budujesz hasło z kilku słów (plus np. ew. znaki między słowami), chociaż oczywiście jeżeli się mylę to niech mnie ktoś poprawi...

Autor edytował komentarz.
  #30 13.07.2012 00:04

a ja kiedyś poznałem taką metodę tworzenia dobrych haseł (trudnych do złamania i łatwych do zapamiętania): wybieramy tekst który bardzo dobrze znamy (np. fragment piosenki, wiersz czy coś podobnego), następnie tworzymy hasło w oparciu o pierwsze litery słów
np. bierzemy hymn:
Jeszcze Polska nie zginęła póki my żyjemy, Co nam obca przemoc wzięła szablą odbijemy
Hasło wygląda tak: JPnzpmzCnopwso i np. dodajemy jakąś liczbę (np. datę urodzenia) i znak specjalny (albo ze 3, np. pierwsze 3 z brzegu klawiatury), otrzymujemy dobre hasło:
JPnzpmzCnopwso1967~!@

zyfy   4 #31 20.07.2012 19:35

@Matt Cobosca: "Kiedy my żyjemy". :)