Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Bezpieczne hasło - czy aby na pewno?

[color=#6fac1a]Wstęp
Na wstępie chciałbym się przywitać, bo będzie to mój debiut na blogu, a więc Witam i zapraszam do lektury :)

Dobrze wiemy, że jedynym zabezpieczeniem naszych dóbr w sieci jest hasło. Używamy je wszędzie, podczas logowania się do poczty, komunikatorów, portali społecznościowych, czy serwisów informacyjnych. Przykładów można by wymieniać całe mnóstwo, lecz to nie jest tematem tego wpisu. To co chciałbym przedstawić dotyczy łamania, a raczej odgadnięcia hasła, jego budowa oraz zabezpieczenia. A więc zaczynamy!

[color=#6fac1a]Hasło
Hasło to nic innego jak ciąg znaków. Może się składać z liter różnych wielkości, cyfr, znaków specjalnych czy znaków interpunkcyjnych. Zwykle hasło może mieć od 4 do 20 znaków, ale kombinacji jest dużo dużo więcej.

Zwykły kod PIN (np. w bankomacie podczas wypłacania pieniędzy) który zawiera tylko cztery cyfry, posiada zaledwie 10 znaków w zbiorze, a sama liczb kombinacji wynosi 10.000. W przypadku najprostrzego hasła składającego się z 8 małych liter, znaków w zbiorze mamy już 26, a samych kombinacji 200 miliardów (2*10^11). Przy 16 znakowym haśle możliwości jest 40 tryliardów (4*10^22). Poniższa tabela zgrabnie pokazuje ile jest możliwości w pozostałych przykładach.

[color=#6fac1a]Przykłady haseł
Ostatnio w internecie pojawiła się lista 25 najgorszych haseł stosowanych w Internecie autorstwa firmy SplashData z Kalifornii. Nie dziwią już takie hasła jak password, 123456, qwerty, abc123 itp., a osoba używająca ich mówiąc krótko daje się odstrzelić na pierwszy ogień. Zazwyczaj konta z takimi hasłami nie są poddawane odhashowywaniu hasła, np. poprzez strzelenie w ciemno takich haseł. Przyznam się osobiście, że jeśli mi na jakimś koncie zależy jak na zeszłorocznym śniegu, to wpisuję banalne hasło, byle było łatwe do wpisania i zapamiętania. Jeśli jednak żadne z łatwych haseł nie pasuje, następnym krokiem będzie zdobycie hashu hasła, jeśli mamy dostepy do baz danych tj. MySQL to sprawa jest prosta, ale jeżeli nie mamy czegoś takiego, to można się pobawić w wyższą szkołę jazdy, ale niestety nie miejsce tutaj na takie rozmowy :) Pod zdobyciu zakodowanego hasła można spróbować swoich sił w internecie - ale nie radzę (dla testów) wpisywać swojego hasła, gdyż takie stronki lubią zapisywać hashe waszych haseł na swoich serwerach i wtedy do tragedi jest blisko - kolejnym krokiem będzie zabawa ze specjalnymi programami do łamania haseł metodą Brute Force, czyli szukaniu takiego samego hasła którego hash odpowiada szukanemu. Po zapoznaniu się z działaniem takiego programu, możemy rozpocząć szukanie naszego 'tajnego' hasła.

Hasła typu 123456 czy abc123 można rozszyfrować w mniej niż 5 sekund, zaś password udaje się w ok. cztery minuty (tylko ze względu na swoją długość). Oczywiście czym dłuższe hasło tym czas szukania jest dłuższy, ale i tak czas oczekiwania będzie o wiele krótszy niż podczas odhashowywania hasła zbudowanego z innych znaków tj. cyfry czy znaki specjalne. Lecz nawet łatwe hasła lepiej zbudowane można w miarę szybko odszukać. Abc!23 da się złamać w niecałe 10 minut, Johny119 ok. 2 dni, zaś 1qazXSW@ zajmie nawet 3 miesiące. To zawsze coś, lecz niestety nie ma skutecznej metody na nieodnalezienie szukanej frazy, bo nawet najbardziej złożone można kiedyś złamać, chociaż oczekiwanie na odnalezienie może przewyższyć okres naszego żywota. Czas oczekiwania będzie się skracał gdy parametry sprzętowe pozwolą na lepszą moc obliczeniową, bądź połączone przez sieć, która pozwoli powiekszyć moc różnych komputerów z całego świata.

[color=#6fac1a]Opis i funkcje programu do łamania
Czasy przedstawione powyżej, opierają się na programie używanym przeze mnie. Do tego testu użyłem IgHashGPU. Łatwy i prosty programik który używa moc obliczeniową procesora karty graficznej. Obsługuje się go z poziomu interpretera poleceń cmd, a do poprawnego uruchomienia potrzeba kilku parametrów. Przytoczę tutaj najważniejsze:

-c:[csdepa] - Budowa hasła, każda literka oznacza kolejno: duże litery, małe litery (domyślne), cyfry, znaki specjalne, spacje, wszystko.
-h:[hasło] - Zahashowane hasło
-t:[typ] Typ hasła np. md4, sha1, md5, md5x2 (md5(md5($hasło)) itd.
-min:[liczba] - Minimalna liczba znaków w haśle które chcemy znaleźć
-max:[liczba] - Maksymalna liczba znaków w haśle które chcemy znaleźć
-salt:[hex], -asalt lub -usalt - Tzw. sól dorzucana do łamanego hasła w postaci znaków HEX, ASCII lub Unicode
-uf:[ścieżka] - Ścieżka do pliku z zawartym charsetem.

A to jest przykład linijki z parametrami, by uruchomić program:ighashgpu.exe -h:25084b4ff3e618ee43739b195ed3d447 -t:md5 -c:csde -min:8 -max:15

Oczywiście jest więcej takich programów: HashCat, BarsWF MD5, Tęczowe tablice czy JohnTheRipper. Każdy ma swój styl działania, jeden szybszy, drugi wolniejszy, ale zawsze dotrze do celu.

[color=#6fac1a]Zabezpieczenia
Zbudować dobre hasło wcale nie jest trudno, można je złożyć np. z liter bądź cyfr coś dla nas znaczących, pomieszane z jakimiś znakami interpunkcyjnymi lub specjalnymi. W taki sposób można wyeliminować w jakimś stopniu problem zapomnienia hasła.

Nie należy używać tego samego hasła wszędzie. Dobrym pomysłem jest utworzenie haseł dla poszczególnych grup kont np. dla komunikatorów, stron informacyjnych, portali społecznościowych, hobby, oraz uniwersalne. Daje to bezpieczeństwo, że dane hasło w przypadku kradzieży może zostać użyte tylko w danej grupie, a nie wszędzie.

Należy uważać na niepewne serwisy które mogą w ogóle nie hashować haseł, bądź zbierać je dla osób trzecich. Nie należy podawać żadnych haseł w mailach podających się np. jako banki czy serwisy społecznościowe.

Nie wskazane jest zapisywanie haseł w komputerze, czy na kartkach do których mogą dostać się niepowołane osoby. Trzymanie haseł w portfelu też nie jest dobrym pomysłem, gdyż po stracie portfela można stracić wszystko, albo jeszcze więcej.

Wpisując hasła przy kimś, zróbmy to tak by utrudnić patrzenie na klawiaturę, bądź poprosić taką osobę o odwrócenie się. A po zakończeniu działań, wylogować się. Nigdy nie wiemy czy ten nasz dobry znajomy czy kumpel nie wykorzysta tego do niecnych celów.

[color=#6fac1a]Zakończenie
Myślę, że tym wpisem uświadomię chociaż jedną osobę do tego, że robi błąd i jest w sieci zagrożony. Dobre hasło to zabezpieczenie swojej reputacji w Internecie i na pewno złamanie dobrze zbudowanego hasła będzie w pewnym stopniu utrudnione, lecz niestety nie niemożliwe. Radzę okresowo zmieniać swoje hasła, co na pewno nie zaszkodzi bezpieczeństwu naszym kontom, a może kiedyś je uchronić od dziwnych zdarzeń.

Tym wpisem nie chcę promować łamania haseł, bo jest to złe. Jeżeli natrafimy na odpowiednie osoby które wiedzą i udowodnią, że została naruszona ich prywatność mogą odwiedzić najbliższy posterunek policji, który może załagodzić Wasze niecne wybryki. Pamiętajmy, że internet nie jest bezkarny i nie można robić w nim co się żywnie podoba, a każdy zły czyn można zastopować lub zniwelować. 

Komentarze

0 nowych
Banan   10 #1 25.11.2011 21:37

Niestety nie wszystkie serwisy pozwalają używać w haśle znaków specjalnych. Np. na stronach Gadu-Gadu jest limit do 15 znaków w haśle. Każdy znak na wagę złota.

Wpis ciekawy i dobrze się czyta. Wreszcie nie dałem się zrobić. Zawsze ty podsuwasz mi temat wreszcie udało mi się ciebie namówić do własnej twórczości oby tak dalej.

djfoxer   17 #2 25.11.2011 21:56

Znajomy miał ciekawą przygodę z hasłem ze specjalnymi znakami. Otóż osoba ustawiała hasło na konto admina (jedyne w systemie). Słyszą zewsząd, iż powinno się używać w hasłach znaków specjalnych, zastosowała się zaleceń. Hasło był dość długie. Ustawiła hasło i zapisała na kartce. Uruchomiła ponownie komputer i klapa. Komunikat: "złe hasło". Na pomoc przybiegł kolega. Niewiele można było zrobić. Ale jak to się stało, że hasło z kartki nie działa? Okazało się, że jak było ustawianie hasło, klawiatura przełączyła się na inny język (osoba pisze czasem w języku niemieckim/rosyjskim)! A później podczas logowania pojawiała się już klawiatura polska! W końcu udało się wejść, ale przypadek myślę, że całkiem interesujący.

Wpis ciekawy i oryginalny. Pozdrawiam.

Ryan   15 #3 25.11.2011 22:10

Taka ciekawostka mi się przypomniała: amerykański bank (z litości pominę nazwę), system internetowego dostępu, musiałem stworzyć hasło. Ograniczenia: nie więcej niż 10 znaków, tylko cyfry i małe litery z wyłączeniem "z". Oniemiałem. :D

robert-km   4 #4 25.11.2011 22:12

"Dobrze wiemy, że jedynym zabezpieczeniem naszych dóbr w sieci jest hasło."

Przeciez sa inne sposoby weryfikacji, jednym z najlepszych, ale malo znanych wsrod normalnych uzytkownikow sa certyfikaty.

WooQash   8 #5 25.11.2011 22:17

@djfoxer, sam mam hasło do systemu ze znakami specjalnymi. I pewnego dnia też miałem ten problem, że klawiatura się przestawiła (tu z PL Programisty na PL 214). Restarty nic nie dawały i inne cuda nie widy. Dopiero po uruchomieniu wirtualnej klawiatury się okazało co i jak.

januszek   18 #6 25.11.2011 22:21

Bajki, bajki, bajki ;P

WooQash   8 #7 25.11.2011 22:47

@sebt, nie chodziło mi o zapisywanie haseł w przeglądarce, ale np. w pliku tekstowym leżącym np. w dokumentach.

deepone   9 #8 26.11.2011 00:28

Po części wyprzedziłeś mnie z tematem odnośnie łamania hasła przy pomocy karty grafiki.

saturno   9 #9 26.11.2011 02:46

//Opis i funkcje programu do łamania ...//
//Oczywiście jest więcej takich programów: ...//

Czy to jest na pewno strona dobreprogramy.pl ?

Jeśli tak to teraz tylko czekać jak ktoś wyskoczy z opisem programów do "aktywacji" Windowsa :)

sla17   7 #10 26.11.2011 09:28

Przypuśćmy, że zgubiłem hasło do czegoś tam, miałem dosyć proste bo była to strona, gdzie nic nie było ważnego, a nie chce mi się tworzyć nowego konta. Niektóre serwisy mają tak, że np. po pięciu próbach logowania jest czas na odpoczynek i przypomnienie sobie hasła - np. 30 minut. Co wtedy?

command-dos   17 #11 26.11.2011 10:15

Trzeba być naprawdę ciekawą osobistością, żeby ktoś próbował nam się włamać na konto. Jeśli nie pomoże hasło "Zenek567", to nie pomoże żadne hasło - kwestia czasu. Zauważcie, że tą metodą nikt nie pozyskuje danych - do sieci Sony nikt nie potrzebował haseł, bo nikt się nie bawi w odnalezienie hasła. Raczej szuka się sposobów, aby pominąć uwierzytelnianie i te hasła zwyczajnie wyjąć z bazy... Jak ktoś ważne dane trzyma w profilu windowsa zabezpieczonego hasłem: "asgSFVegvw234a6e43gwWEGW@R@$T@$G#%GW" jest, według mnie, niepoważny. Bardziej niepoważny jest, jeśli ma takie hasło do profilu i nie ma tam żadnych ważnych danych.
BTW - przypomniał mi się art o "rozpuszczaniu" twardych dysków...
Co do "czasu na odpoczynek", o którym mówi @sla17, to w przypadku jakiegoś serwisu internetowego, nie ma to prawa bytu. Ktoś, kto chce nam zrobić "kuku", co 20min robi 3 nieudane próby logowania na nasze konto i ma pewność, że nie wejdziemy do serwisu i np. nie obsmarujemy go na forum ;) Co innego, jeśli chodzi o zalogowanie się do kompa - wtedy odpoczynek jest wskazany...

Maxi_S   4 #12 26.11.2011 11:16

[cytat command-dos]
Co do "czasu na odpoczynek", o którym mówi @sla17, to w przypadku jakiegoś serwisu internetowego, nie ma to prawa bytu. Ktoś, kto chce nam zrobić "kuku", co 20min robi 3 nieudane próby logowania na nasze konto i ma pewność, że nie wejdziemy do serwisu i np. nie obsmarujemy go na forum ;)
[/cytat]

Niekoniecznie. Większość takich zabezpieczeń działa w odniesieniu do konkretnego IP, więc można spokojnie zalogować się z innego. Często dopiero kilka nieudanych prób z kilku IP powoduje czasową (lub permanetną) blokadę konta dla wszystkich adresów. Z drugiej strony często oferowany jest system resetowania hasła za pomocą telefonu komórkowego lub e-maila, więc z tego typu sytuacjami nie powinno być problemu.

Co do mocy haseł, to nie ma ona według mnie większego znaczenia - pomijam w tym wypadku hasła oczywiste, które da się po prostu odgadnąć. Problem w tym, że administratorzy często wymuszają na użytkownikach niebezpieczne zachowania, uważając przy tym że działają w kierunku podniesienia bezpieczeństwa systemu. Przykład: dość duża domena Windows, licząca co najmniej pół tysiąca użytkowników. Ważność hasła użytkownika wynosi 30 dni. Pewnego dnia w domenie pojawia się słabe ogniwo - program użytkowy posiadający "dziurę". "Źli chłopcy" uzyskują dzięki temu hasła użytkowników domeny. Admini łatają "dziurę" i nakazują zmianę haseł. Co robi przeciętny użytkownik, wiedząc że system co 30 dni wymusza zmianę hasła na inne, które nie było jeszcze używane? A no tworzy
hasło pierwotne i potem zmienia jedną literę lub cyfrę. Wszyscy są zadowoleni, a "źli chłopcy" już całkiem "legalnie" - odgadując co słabsze hasła - buszują w sieci wewnętrznej.
Inną naiwnością jest wiara w ataki wyłącznie na konto roota/administratora. Jest ono przeważnie najlepiej strzeżone i obserwowane. Konto pani Kasi czy pana Janka może być równie interesujące, więc po co do ich danych dobierać się na okrętkę? Tu również kuleje polityka ochrony zasobów, bo często jeśli zwykły użytkownik dostaje dostęp do newralgicznego udziału sieciowego czy aplikacji, często korzysta z opcji "podłącz po zalogowaniu" czy "zapamiętaj mnie". Są przypadki używania menedżera haseł, do których główne hasło (o zgrozo!) jest takie samo jak do logowania się w systemie.
Powyższy przykład dotyczy instytucji/firmy, ale użytkownicy często przenoszą do pracy swoje przyzwyczajenia z domu. Prawdę mówiąc szlag jasny mnie trafia, gdy załatwiając sprawę w urzędzie, słyszę dźwięki Gadu-Gadu wydobywające się z komputerów urzędników, którzy nierzadko pracują na newralgicznych danych. Po co im mocne hasła, skoro jeden z drugim może sobie zainstalować jakiegokolwiek backdoora? Admin oczywiście śpi spokojnie - przecież mają program antywirusowy.

skandyn   9 #13 26.11.2011 11:23

Ja mam jedno najłatwiejsze hasełko do wszystkich możliwych usług internetowych, a także do mojego online banku pocztowego. Czyli takie rozumowanie, że ktoś tylko patrzy, żeby mi się włamać jest dla mnie bardzo niepoważne.

Pozdrawiam.

drobok   13 #14 26.11.2011 11:25

Co do ilości znaków co wam to da ? Przecież w md5 równie dobrze może ci się powtórzyć hash przy słabszym haśle :)

kwpolska   5 #15 26.11.2011 14:55

> Zbudować dobre hasło wcale nie jest trudno, można je złożyć np. z liter bądź cyfr coś dla nas znaczących, pomieszane z jakimiś znakami interpunkcyjnymi lub specjalnymi. W taki sposób można wyeliminować w jakimś stopniu problem zapomnienia hasła.

lies. http://xkcd.com/936/

Ryan   15 #16 26.11.2011 18:06

@an.szop: To znany błąd i tak, zostanie poprawiony.

  #17 27.11.2011 10:39

Jaka jest prędkość? Ja na swoim kompie osiągam 1200m/s porównań jeśli chodzi o md5 (karta hd5850)

  #18 27.11.2011 10:47

Jeszcze jedna uwaga
O ile się nie mylę, to ze względu na ustawę o świadczeniu usług drogą elektroniczną, udzielanie informacji: jak łamać hasło - jest nielegalne. Trzeba pisać np: jak odzyskać utracone hasło...

ficca2   4 #19 27.11.2011 23:22

Dla wszystkich którzy mają problem z kreatywnością w tworzeniu prostych w zapamiętaniu, a zarazem trudnych w złamaniu haseł polecam następujący patent:

Codziennie mamy styczność z komputerami, telefonami, routerami itd. Wystarczy zapamiętać nazwy ich modeli (lub części) i połączyć je, ewentualnie dodając np. pierwszą literkę koloru danego urządzenia. Daje to dość skomplikowane hasła, które jednak są w jakimś sensie cały czas "pod ręką". Można z tym kombinować na różne sposoby, np. oznaczenia kolejnych modeli telefonów, które posiadaliśmy itd.

ssn   2 #20 28.11.2011 09:19

Dla całkiem pokaźnej liczby haseł są wygenerowane hashe, które są udostępniane w internecie. Wtedy wystarczy porównać nasz hash z bazą strony i hasło znalezione. Przykład strony: http://www.generuj.pl

ModernEGO   4 #21 29.11.2011 01:17

Tematyka jest ciekawa chociaż nie tak prosta jakby się wydawało. Przytoczony artykuł jest jedynie wstępem do całości zagadnienia i chyba tak należałoby go traktować. Autor podał jedynie wycinek porad "odzyskiwania" haseł, jednak jak już słusznie zauważył command-dos - większe akcje i tak przeprowadza się bez używania przytoczonych specjalistycznych programów.

Szkoda WooQash, że nie pokazałeś iż do łamania haszy mogą posłużyć chociażby układy FPGA. Jeśli ktoś jest zainteresowany to można rzucić okiem na ten filmik:
http://www.youtube.com/watch?v=qlFQZ-21E7w

  #22 06.06.2012 20:46

Jestem początkującym internautą samoukiem ,mam problemy z rejestracją i adresem e-mail może ktoś mnie wytłumaczy. Proszę o pomoc.

Bander zwierz   7 #23 11.02.2013 01:12

Moja metoda na robienie haseł, kiedy nie mam dostępu do LastPass, wygląda mniej więcej tak:
1. Wymyślam frazę, tak jak w przykładzie do którego link w poście @kwpolska [1], np. "Bardzo lubię pączki" albo otwieram jakąś książkę i wskazuję poszczególne wyrazy na otwieranych losowo stronach.
2. Wyciągam z tak powstałej frazy litery lub sylaby wg znanego mi algorytmu. Najprościej: "Barlupącz"
3. Dodatkowe utrudnienia - zamiana liter na podobne znaki. W tym przykładzie: "B@r1upącz"

Wynik można sprawdzić na stronie Dobre hasło [2]. Dla tego przykładowego hasła czas jego łamania wyniósł by 6 lat i 5 miesięcy. Całkiem nieźle ;)
Sama przykładowa fraza ("Bardzo lubię pączki") byłaby znacznie trudniejsza do rozpracowania przez łamacze haseł. Na tej samej stronie jest szacowana na 41242197427982620000 lat łamania. Niestety, osoba która zna mnie choć trochę, odgadłaby je z łatwością :(
____________
[1] http://xkcd.com/936/
[1] http://www.goodpassword.info/sprawdzanie_sily_hasla.php

  #24 09.03.2015 08:27

Jeden z polskich banków też stosuje dziwną politykę haseł , syste pozwala ustawić hasło zawierające znaki specjalne, ale później na to hasło nie można się zalogować. Po kontakcie z infolinią dowiedziałem się, że znaki specjalne w haśle są niedopuszczalne.

Masakra