Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Mocne hasło

Nikt chyba nie lubi gdy nasze sekrety czy tajemnice wpadają w niepowołane ręce. Podobnie jest gdy zasiadamy do komputera i dowiadujemy się, że ktoś nieproszony włamał się na nasze konto email, facebook czy jakiegokolwiek inne. Jak się przed tym uchronić?

Wpisując frazę „ktoś włamał się na moje konto” w wyszukiwarce otrzymamy tysiące wyników co znaczy, że kradzież konta to nie odosobniony przypadek. Na przykład pewien mężczyzna wspomina, że jednej nocy stracił pocztę email i konto na Gadu Gadu. Inny zaś skarży się na włamanie do konta związanego z grą. Z kolei doświadczony webmaster opisuje, że ktoś dostał się do jego konta na Facebooku. Podobnie też pewna kobieta padła atakiem wyłudzenia hasła. Problem ten więc dotyczy nas bez względu na wiek, płeć czy stopień zapoznania się z komputerem. Jedynie w różnych sytuacjach haker, czy po prostu osoba chcąca się zabawić, w różny sposób może nabyć nasze hasło. Pierwszy z nich to…

Zbyt proste hasło

Proste hasła są istną plagą w Internecie. Dowodem tego może być choćby to, do czego doszli hakerzy którzy zaatakowali jakiś czas temu Play Station Network. Do sieci wyciekła informacja, że najczęstszymi hasłami były 1234, qwerty, password, login, a co bardziej wyrafinowani pokusili się o 123456. Jeżeli gdzieś na jakimkolwiek serwisie Internetowym posługujesz się jednym z powyższych haseł (bądź bardzo podobnym) odpowiedź jest chyba oczywista.

Hasło nie może być również imieniem czy nazwiskiem. Tak dla czystej ciekawości podajemy, że najczęstszymi polskimi hasłami „imiennymi” są kasia, agnieszka i kasia1. Najlepiej jest również nie używać haseł takich samych jak login.

Rozwiązanie:

Stwórz hasło które nie musi być gigantycznie długie, ale żeby nie było słowem. Może to być np. „Alx8M 1v” lub „0M c_!dw”. Jeżeli masz trudności z zapamiętywaniem lub wymyślaniem haseł użyj pomocnego programu np. Lastpass, który jest bardzo użytecznym i cenionym narzędziem (którego osobiście używam).

Podawanie haseł osobom trzecim

Choćbyś dysponował hasłem składającym się z najtrudniejszej do odszyfrowania kombinacją liter, znaków interpunkcyjnych, spacji i cyfr i tak to nic nie da kiedy podasz komuś o nieczystych zamiarach swoje hasło. Jest takie powiedzonko, że hasła internetowe są jak majtki: „zmieniaj je często, nie zostawiaj na wierzchu i nie pożyczaj obcym”.

Rozwiązanie:

Jeżeli koniecznie musisz podać komuś hasło, podaj je TYLKO ZAUFANEJ OSOBIE! Czasem rodzice wymagają od swoich dzieci, aby one podawały im swoje dane dostępowe do poszczególnych serwisów i mają do tego prawo. Pamiętaj również, że nikt postronny nie ma prawa pytać cię o twoje hasło (w tym również pracownicy operatora komórkowego czy administratorzy sieci lub poszczególnych serwisów). Żadna z szanujących się instytucji, organizacji czy firm nie będzie prosiła swoich klientów o to by przesyłać im poufne dane za pomocą poczty email!

Jedno hasło do kilku serwisów

Kolejny duży błąd popełniany przez niedoświadczonych użytkowników Internetu to korzystanie z tych samych haseł do kilku serwisów. Wówczas jeżeli ktoś złamię obronę jednej strony i wyciągnie nasze hasło, zachodzi prawdopodobieństwo, że wykorzysta je do przejęcia kontroli nad innymi naszymi kontami.

Rozwiązanie:

Staraj się chodź minimalnie zmieniać hasła do różnych stron internetowych na których jesteś zarejestrowany. Natomiast do poczty email czy konta bankowego używaj wyraźnie innych haseł, trudniejszych. Co do kont bankowych nie muszę udzielać komentarza, natomiast dlaczego tak ważne jest nasze konto email? Zastanów się co robisz gdy zapomnisz hasła? Oprócz tego, że zaklinasz się, iż pamiętasz hasło, a mimo to z bliżej niewyjaśnionych przyczyn nie pasuje ono do twojego konta, klikasz w link pt. „Zapomniałem hasła” lub „Przypomnij hasło”. A gdzie przypomnienie wędruje jak nie na nasz email? Tak więc jeżeli ktoś zna nasze hasło do skrzynki pocztowej może z łatwością wejść na inne konta które posiadamy.

Nieuwaga

Należy również uważać aby nie logować się na fałszywej stronie która tylko udaje w niemal idealny sposób tą prawdziwą, a służy tylko do jednego – wyłudzaniu haseł i loginów (tzw. phishing). Napisałem, że w niemal idealny sposób udają te prawdziwe, gdyż często na pierwszy rzut oka da się je rozpoznać po adresie który jest inny od oryginału.

Rozwiązanie:

Bądź czujny. Wyobraź sobie, że Internet to pole bitwy. Ty jesteś szeregowym, a wszyscy inni którzy chcą się pobawić w hackerstwo to snajperzy czekający by cię ustrzelić jak tylko się wychylisz ze swoim hasłem.

Naiwność

Zdarza się jednak tak, że strona wcale nie musi być podobna do swojego pierwowzoru, a naciągnie dziesiątki naiwnych klientów. Jakiś czas temu można było natrafić w sieci na informację, że jest możliwość na sztuczne wygenerowanie sobie punktów na dysku internetowym chomikuj.pl. Punkty zbierane w tym serwisie są wymienialne na transfer. Tymczasem ktoś w Internecie zaoferował, że nabije nasze konto na chomikuj, a my jedyne co musimy zrobić to wpisać swoje hasło i login w odpowiednie okienka. Okazało się, że osoby które dały się na to nabrać, nie tylko nie dostały swoich obiecanych punktów, ale i straciły dostęp do swoich kont.

Rozwiązanie:

Jeżeli coś brzmi zbyt pięknie żeby mogło być prawdziwe (w stylu „podaj nam nasze hasło, a my cię wzbogacimy”) na pewno jest oszustwem!

Oprogramowanie szpiegujące

Chyba najbardziej wyrafinowanym sposobem na pozyskanie hasła jest zainstalowanie na komputerze delikwenta programu szpiegującego. To rozwiązanie wykorzystywane przez cyberprzestępców jest o tyle niebezpieczne, że nasz komputer może posłużyć do ataku hackerskiego np. na komputery urzędu państwowego. Jeżeli więc otwierasz załączniki w emailach od dziwnych, niezaufanych nadawców lub instalujesz podejrzane programy, nie zdziw się jak któregoś dnia tuż nad ranem obudzisz się oblężony przez służby specjalne.

Rozwiązanie:

Zabezpiecz się aktualnym i sprawdzonym programem antywirusowym, firewallem lub innym wychwytującym Malware (złośliwe oprogramowanie czyli min. Exploity, Robaki, Wirusy czy Trojany).

Miejsca publiczne, osoby stojące za plecami i inne

Niektórzy mogą wpaść w posiadanie naszego hasła w bardzo prosty sposób. Wystarczy, że w miejscu publicznym takim jak szkoła czy szpital w przeglądarce pojawi się opcja „zapamiętaj hasło”, a my na nie klikniemy, hasło którego użyliśmy zapisze się. Wówczas każdy kto zasiądzie przed tym komputerem może odczytać nasze hasło (wystarczy, że trochę poszpera w opcjach przeglądarki). Pamiętaj również by w miejscach publicznych ZAWSZE SIĘ WYLOGOWYWAĆ z naszych kont w Internecie na które byliśmy aktualnie zalogowani. Nie zaszkodzi również po zakończeniu pracy na komputerze usunąć wszelkie „ciasteczka” (ang. cookie) i inne zapisane dane np. dane wyszukiwania.

Ostatnio byłem świadkiem tego jak ktoś w szkole nie wylogował się ze swojego konta na Google+ i wyszedł z sali, a ‘dobrzy uczniowie’ w ramach koleżeńskiej pomocy zadbali o to by po powrocie ta osoba miała powód by wyrywać sobie włosy z głowy.

Pomimo tych siedmiu, jakże często popełnianych błędów (sam takie robiłem jak choćby nr 3) istnieje najpoważniejszy problem, a mianowicie czytanie, albo raczej brak czytania. Większość nieprzyjemności byśmy mogli uniknąć gdybyśmy poświęcili chwilę czasu na przeczytanie umowy licencyjnej czy umowie o ochronie danych.

Jeżeli więc nie masz ochoty pewnego ranka stwierdzić, że ktoś włamał się na twoje konto, używaj skomplikowanych haseł, nikomu ich nie podawaj, korzystaj z różnych haseł do różnych serwisów, uważaj by nie wejść na fałszywą stronę, miej zawsze zaktualizowany oraz godny zaufania program antywirusowy oraz uważaj na swoje internetowe poczynania w miejscach publicznych. Jeżeli będziesz przestrzegał tych że ‘przykazań’ „dobrze będzie ci się wiodło”. 

bezpieczeństwo porady

Komentarze

0 nowych
januszek   18 #1 02.02.2012 17:53

Nie przekonałeś mnie. Nadal nie mogę zrozumieć dlaczego hasło nie może być proste? vide: http://www.dobreprogramy.pl/januszek/,22762.html

Adepth7   3 #2 02.02.2012 19:31

@januszek

Zawsze lepiej dmuchać na zimne ;)

Chodziło mi o takie trywialne hasła jak login, 1234 czy admin1

Po za tym nie o samą jakość hasła się rozchodzi (tytuł może być trochę mylący). Z doświadczenia wiem, że bardziej skomplikowane hasła przydają się w innych miejscach niż na typowych witrynach internetowych, ale przyznasz chyba, że mocne hasło nic nie da jeżeli nie będziemy uważać na to jak się nim posługujemy.

kwpolska   5 #3 02.02.2012 21:05

> Stwórz hasło które nie musi być gigantycznie długie, ale żeby nie było słowem. Może to być np. „Alx8M 1v” lub „0M c_!dw”.

http://xkcd.com/936

matzu   5 #4 02.02.2012 21:32

Dobre porady, choć te hasła, które podałeś („Alx8M 1v”, „0M c_!dw”) to są hasła przyzwoite, ale wciąż słabe. Oczywiście nie ma co popadać w paranoję. Nie do każdego serwisu potrzebne jest hasło, które posiada więcej niż te 8 znaków. Słusznie zauważyłeś, że do poczty elektronicznej (czy też do routera lub usług bankowości elektronicznej) trzeba mieć silne hasło i co istotne musi być ono unikalne, tzn. nie można go używać w kilku różnych serwisach.

Jeśli chodzi o to logowanie w miejscach publicznych, to ważne jest, aby transmisja danych była szyfrowana (możliwy jest sniffing). Należy też tutaj wyróżnić dwie sytuacje, tj. korzystanie z:
a) własnego komputera - znaczna kontrola nad tym co jest na nim zainstalowane
b) współdzielonego komputera - niewielka kontrola nad tym co jest na nim zainstalowane
W tym drugim przypadku istnieje sporo ryzyko, że na takim komputerze zostało (nawet umyślnie) zainstalowane, wspomniane przez Ciebie we wpisie, oprogramowanie szpiegujące.

januszek   18 #5 02.02.2012 22:26

Adepth7: Hehe, spójrz jak mogą wyglądać te hasła zapisane w bazie użytkowników:

"login" - 428821350e9691491f616b754cd8315fb86d797ab35d843479e732ef90665324
"1234" - 03ac674216f3e15c761ee1a5e255f067953623c8b388b4459e13f978d7c846f4
"admin1" - 25f43b1486ad95a1398e3eeb3d83bc4010015fcc9bedb35b432e00298d5021f7
"Alx8M 1v" - 2d31b43719343445af9ce5cb47761fe4168720dd5b3f21c64e399b7d355ea08a

budda86   9 #6 02.02.2012 22:31

1. Skomplikowane hasła - bez sensu. Ma znaczenie tylko przy łamaniu bruteforcem. A nikt nie włamuje się na konto bruteforcem (pomijając oczywiście trywialne przypadki typu login "admin", hasło "admin1"). Hasła się wyciąga od userów - socjotechnika, keyloggery, sniffery itp. I skomplikowane hasło w niczym tu nie pomoże.
2. Inne hasło do każdego serwisu - bez sensu. Zapamiętasz 40 różnych haseł? Jeśli będą się różniły od siebie jednym znakiem, to jak zapamiętasz, którego znaku użyłeś na dobrychprogramach, a którego na demotywatorach? Może i mądre (utrata hasła = utrata jednego konta, a nie wszystkich), ale niemożliwe do zrealizowania w praktyce.

kamil_w   10 #7 02.02.2012 22:54

Poza tym nie można przekombinować. Zwłaszcza jak korzysta się z telefonu, to ciężko na takiej mobilnej klawiaturce wpisać skomplikowane hasło.

  #8 02.02.2012 23:57

@januszek:
A co się ograniczać do 256? Można od razu sha512 :)

soanvig   9 #9 03.02.2012 00:32

@budda86
1. akurat niesłownikowe hasło ma związek przy tablicach tęczowych jeśli hasło jest haszowane, lub przy słowniku jeśli b-f. Natomiast najtrudniejsza dla b-f jest długość hasła
2. A hasła typu: mojehaslodp, mojehaslodemotywatory, mojehaslowp? Łatwe do zapamiętania, i zawsze zwiększa bezpieczeństwo.

soanvig   9 #10 03.02.2012 00:35

@budda86
Poza tym nikt nie włamuje się bruteforcem... nie zgodziłbym się. Jeśli potencjalny włamywacz ma dużą moc obliczeniową, dobry algorytm, dobrą (cenną) zachętę i dodatkowe informacje, które mogą okazać przydatne przy łamaniu to bruteforce może się opłacać. No, oczywiście wystarczy ogarnięty programista, który ustawi blokadę do 3 logowań, a potem 15 minut dla delikwenta. Ale... jeśli to nie jest konto bankowe, a pomimo to jest cenne? Jeśli okaże się, że nie ma blokady?

  #11 03.02.2012 09:54

Tak to prawda, dwuetapowa weryfikacja w poczcie Gmail to świetny pomysł, a szczególnie gdy trzeba korzystać poczty z obcego komputera. Problem pojawia się w momencie gdy... ktoś nam zakosi telefon :)

a co "lekkomyślnych" haseł, to jest jeszcze jedna kategoria, której absolutnie nie należy stosować z uwagi na to że osoby znające nas mogą je stosunkowo łatwo rozszyfrować, mianowicie są to: akronimy i palindromy.

mateooshn   4 #12 03.02.2012 09:55

A tam nie powinno być "choć minimalnie" zamiast "chodź minimalnie"? Bo zauważ, że już się zmienił sens.

Ardziej   5 #13 03.02.2012 11:45

@lukasamd, dokładnie w swoim module to logowania, nie zależnie do jakiej aplikacji trafia czy to CMS zwykły czy coś poważniejszego, zawsze jest sha512 + sól i do ważnych danych rijndael.
Nawet Imię, nazwisko, adresy zamieszkania, email, należy szyfrować.
I wyciek bazy == tysiące krzaczków zamiast numerów kart kredytowych :)
A na wydajność tak strasznie to nie wpływa, a jak wpływa to oznacza, że mamy dużo kasy na tym interesie i czas zainwestować w nowe maszyny, gdyż bezpieczeństwo powinno być najważniejsze.

  #14 03.02.2012 12:06

"Hasła się wyciąga od userów - socjotechnika, keyloggery, sniffery itp"

I tyle w temacie.

  #15 03.02.2012 15:10

Pewien czas temu napisałem skrypt obliczający entropię i czas jaki zajęło by złamanie hasła >> https://gist.github.com/1519211 , wyniki tutaj: http://pastebin.com/rnr8FM1j

Zakłada to najgorszy wypadek, i.e. napastnik posiada kopię naszej bazy danych oraz zna użyty słownik(zestaw znaków lub słów).

Jak sam drogi Adepth7 widzisz, hasło składające się z 8 znaków jest trywialne do złamania, poza tym można spokojnie założyć że atakujący jest w stanie generować o wiele więcej niż 9M hashy na sekundę używając nowoczesnych GPU i/lub wielu komputerów naraz.

Koniec końców, 5 pospolitych słów jest bezpieczniejsze niż 13 znaków jednocześnie będąc zdecydowanie łatwiejsze do zapamiętania co zmniejsza szansę że użytkownik hasło zapisze, wyśle sobie mailem czy sms'em.

Koniec końców, jeżeli hasło nie jest trywialne( <10 znaków, abcdefgh, itp.) to najsłabszym ogniwem jest człowiek.

Z drugiej strony, jeżeli napastnik nie ma dostępu do bazy danych i loguje się przez internet, gdzie zapewne będzie ograniczony(np. tylko 10 prób, po piątej trzeba wpisać CAPTCHę, jedna próba na 5 sekund, itp.) to wystarczy nawet "g2kb".

Nie robi się tak nie dlatego żeby nikt ci się na facebooka nie włamał tylko żeby w wypadku wycieku z bazy danych haker poddał się po 10 minutach prób( w końcu mając 100M haseł, kto marnował by czas na jedno mocniejsze? ).

A jak się nie podda to każde hasło z wyjątkiem tych najmocniejszych w końcu się podda.

Koniec, kropka.

  #16 03.02.2012 15:13

@Ardziej - oj wpływa wpływa, poza tym haseł się nie szyfruje tylko hashuje, jest to zupełnie co innego.

Szyfrowanie to proces odwracalny, hashowanie nie. A imienia, nazwiska, itp. szyfrować nie należy ponieważ wbrew temu co mówisz wpływa to na wydajność. W wypadku programów i danych o dużym znaczeniu(sekrety militarne, numery kard kredytowych, etc.) można zastosować szyfrowanie ale jako że jest to operacja o rzędy wielkości wolniejsza od prostego odczytu i wpisania danych na socket.

Ardziej   5 #17 03.02.2012 19:52

@Asmageddon., napisałem, że używam sha512 a nie, że szyfruję :)
Co jak co ale hashowanie od szyfrowania jeszcze rozróżniam :D
To że szyfrowanie obciąża maszynę wiadomo, lecz szczerze redundancja nadal jest spora także po co cisnąć z maszyn 5% i już stop. ?
Mimo wszystko są pewne sytuacje, które wymagałyby szyfrowania danych w bazie, przecież imię i nazwisko to nie jest zaszyfrowany Blob, który pobieramy za każdym wywołaniem strony.

Pozdrawiam

  #18 03.02.2012 22:26

Rozwiązanie może nie najlepsze, ale sprawdzające się w praktyce to oddzielenie loginu i nicka. A więc, żeby się zalogować musisz podać login, a ten nie jest widoczny w serwisie. Potencjalny włamywacz ma utrudnione zadanie - musi odgadnąć login i hasło. Wtedy nie trzeba haseł o paranoicznej długości i skomplikowaniu. Proste. Proste. Ale się nie za bardzo przyjęło. A szkoda.