Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Bezpieczne hasło to mit. Nie dajmy się zwariować.

Bezpieczne hasło, bezpieczne hasło, bezpieczne hasło, bezpieczne hasło... Powtarzane w kółko stało się wyznawanym przez wielu mitem. Mitem bo bezpieczne same w sobie hasła nie istnieją. Hasło "elemeledudki" jest tyle samo warte co "lC!$uNu^A\Qd"...

Problem bezpieczeństwa nie leży w samym haśle tylko w mechanizmie implementacji całej procedury bezpieczeństwa w chronionym zasobie w której to procedurze hasło jest tak naprawdę mało istotnym elementem. Nie zgadzam się więc z tezą, że: "Łatwe do złamania lub odgadnięcia hasło to wymarzona furtka dla przestępców internetowych" bo to jest bardzo duże uproszczenie, żeby nie powiedzieć bzdura... Pin do mojej karty płatniczej to cztery cyfry z zakresu 0-9 co oznacza, że ilość wszystkich możliwych kombinacji to 10 tys. Prawdziwym więc zabezpieczeniem nie jest siła tego hasła tylko procedura polegająca na tym, że podanie złego pinu po raz czwarty będzie skutkowało zablokowaniem karty do której ten pin jest kluczem. Krótko mówiąc mamy 3 podejścia i ponad 10 tys kombinacji co praktycznie oznacza, że żaden z przywołanych wyżej przestępców internetowych nie będzie nawet próbował zgadywania tego hasła tylko skorzysta z jakiejś innej metody. Przeżyłem w swoim życiu włamanie na moje konto pocztowe. Stosowałem wtedy bardzo proste hasło. Mimo tego włamywacz nawet nie próbował go zgadywać. Zadzwonił na numer BOK mojego operatora hostingowego i podał się za mnie. Bardzo miła i pomocna Pani szybko rozwiązała problem...

Rejestrowałem ostatnio oprogramowanie co wymagało podania adresu email jako loginu i zdefiniowanie hasła, które musiało jednocześnie składać się co najmniej z 6 znaków, zawierać co najmniej jedną dużą, jedną małą literę oraz jedną cyfrę. PARANOJA!!! Po za "widzimisię" Admina takie rozwiązanie niczemu co związane z bezpieczeństwem nie służy. Mało tego, z ciekawości sprawdziłem ile razy mogę próbować wpisać nieprawidłowe hasło i tak wpisywałem, wpisywałem, wpisywałem, aż mi się znudziło. Wniosek: Admin uległ mitowi "bezpiecznego hasła" i wymusza je na użytkownikach ale od swojej strony systemu nie przemyślał i nie zabezpieczył się w ten prosty sposób, że czwarta próba wpisania złego hasła skutkuje np. czasową blokadą możliwości logowania się na to konto, aż do kliknięcia np. w link odblokowujący wysyłany na adres mail (który jest loginem). Oczywiście jeszcze lepiej byłoby gdyby login nie był mailem ale adres mail na który wysyłać takie powiadomienia był przypisany do tego loginu.

Dlatego apeluję: nie dajmy się zwariować niedouczonym Adminom, którzy wymagają od nas "bezpiecznych" haseł do forów dyskusyjnych, e-banków albo elektronicznej rejestracji w przychodni lekarskiej bo w tych miejscach to nie siła i moc hasła jest dla bezpieczeństwa naprawdę istotna!

Siła i moc hasła istotne są tylko tam gdzie hasło jest jedynym stosowanym zabezpieczeniem. Są takie przypadki, np. ograniczenie dostępu hasłem do pliku ze spakowanym archiwum. Tu jednak trzeba pamiętać, że takie zabezpieczenie jest samo w sobie słabym bo póki co nie wynaleziono jeszcze metody kodowania, której na pewno nie można i nigdy nie będzie można złamać.

Na koniec jedna małą uwaga, jeśli uwierzyłeś marketingowemu językowi i na stronie www.bezpiecznehaslo.info wpisałeś swoje prawdziwe hasło w celu sprawdzenia czy jest ono bezpieczne to w tym samym momencie przestało ono być bezpieczne. O czym z resztą można na tej samej stronie przeczytać. Jedną z podstawowych zasad bezpieczeństwa jest: "nie ujawniaj hasła osobom trzecim". Dlatego na tej stronie powinno być tak, że każdy kto wpisze w pole weryfikacyjne dowolne hasło otrzyma zwrotną informację, że: właśnie dałeś się podejść i zdradziłeś swoje hasło!!!

ps.

I twierdzenie januszka o silnych hasłach:
Wraz ze wzrostem siły hasła wzrasta prawdopodobieństwo, że user nie będzie go pamiętał i zapisze je sobie w podręcznym kajeciku...

II twierdzenie januszka o silnych hasłach:
Dobrze zaprojektowany i administrowany system nie będzie wrażliwy na słabe hasło usera i odwrotnie: w źle zaprojektowanym i administrowanym systemie użytkownika nie zabezpieczy nawet super-mega silne i wymyślne hasło składające się z pierdyliona znaków.
 

Komentarze

0 nowych
walker13150   4 #1 26.01.2011 11:16

Czysta prawda, a moje hasło na dp to... ups :|

DawidDS4   5 #2 26.01.2011 11:19

Zauważyłeś, że na stronie http://www.bezpiecznehaslo.info znaki są oceniane na bieżąco, a nie następuje to przez wysłanie informacji i dogłębne analizowanie (tudzież włamywanie się na maila)? Twój wpis to również po części mit.

walker13150   4 #3 26.01.2011 11:21

@DawidDS4, nie wierzysz w potęge javascriptu ? jeśli znaki są przetwarzane na bieżąco i analizowane, to znaczy że w każdej chwili hasło może zostać zapisane. Wiara w bezpieczeństwo "bo się strona nie odświeża" to też mit.

DawidDS4   5 #4 26.01.2011 11:23

@walker13150

To chyba logiczne, że coś musi zostać wysłane. Nikt nie jest Bogiem i z próżni nic nie stworzy. Ten wpis to popadanie z jednej skrajności w drugą.

walker13150   4 #5 26.01.2011 11:25

2 cytaty z twoich wypowiedzi, pierwszy:
"na bieżąco, a nie następuje to przez wysłanie informacji i dogłębne analizowanieę
i drugi: "To chyba logiczne, że coś musi zostać wysłane."

Koniec tematu :]

DawidDS4   5 #6 26.01.2011 11:31

Wyobraź sobie, że na DP wchodzą ludzie wiedzący co wiąże się z "ocenianiem na bieżąco". Przyznam, że mało na ten temat wiem, ale intryguje mnie ostatni akapit. Skoro hasło i tak nie jest bezpieczne to ujawnienie go na anonimowo na X stronie spowoduje, że... będzie mniej bezpieczne? "takie zabezpieczenie jest samo w sobie słabym bo póki co nie wynaleziono jeszcze metody kodowania, której na pewno nie można i nigdy nie będzie można złamać" skoro w archiwum można złamać takie hasło to i na nieograniczone próby złamania hasła na X stronie również będą możliwe.

Ktoś (walker13150) może podejść do tej sprawy inaczej i uważa, że jestem totalny laikiem oraz mam swoje bezpieczeństwo na niższym szczeblu aniżeli powinienem. Powiem wprost - moje hasło, to moja sprawa.

DawidDS4   5 #7 26.01.2011 11:33

Przepraszam za błędy, ale ledwo wstałem i źle kojarzę fakty.

sanurss   4 #8 26.01.2011 11:47

Przypadki przechwytywania pojawiają dość często, np. strona generuj.pl umożliwiająca "łamanie" hashy md5 w rzeczywistości bazuje na liście hashy wygenerowanych przez niedoświadczonych użytkowników/webmasterów, którzy wpisują swoje hasła, aby otrzymać hash md5 i podmienić go na swojej stronie, gdy np. zapomną hasła zapisanego w bazie.
Zgadzam się z twoim wpisem, że to admin/twórca strony powinien zadbać o bezpieczeństwo naszego konta (uniemożliwiając logowanie w nieskończoność) i hasła (między innymi hashując je), ale wypisywanie głupot w stylu każde hasło jest dobre to popadanie w drugą skrajność. Im hasło trudniejsze i bardziej oryginalne, tym mniejsza szansa, że w przypadku wycieku hasy ze strony nasze pozostanie przez jakiś czas niełamalne. Powodzenia z takim podejściem

majcovsky   4 #9 26.01.2011 11:50

Skąd Ci się wzięła liczba 3.628.800? ;>
Przecież na zdrowy rozsądek - możliwości jest dokładnie 10 tys., w przedziale 0000-9999 ;p

januszek   19 #10 26.01.2011 12:01

majcovsky: mea culpa - porypalo mi sie z pinem 10 cyfrowym ;)

januszek   19 #11 26.01.2011 12:28

sanurss: Ok, załóżmy, że wyciekło moje hasło: "elemeledudki" - czy to wystarczy aby włamać sie na moje konto i przelać z niego pieniądze?

  #12 26.01.2011 12:37

sprawdzilem ta stronke i okazalo sie ze po odlaczeniu neta to "sprawdzanie na biezaco" sie zawiesilo , kiedy net wrocil zadzialalo

matzu   5 #13 26.01.2011 13:35

@januszek

OK, załóżmy DP wprowadza zabezpieczenie polegające na tym, że gdy hasło zostanie trzy razy błędnie wpisane, to blokowana jest możliwość dostępu do konta i wysyłany jest link, który trzeba kliknąć, żeby ten dostęp uzyskać.

Mnie np. ciekawi jak powinien wyglądać taki link. Czy osoba próbująca Ci się włamać na konto nie byłaby czasem w stanie sama go sobie wygenerować? Czyli wpisuje trzy razy błędnie hasło. Konto zostaje zablokowane. Generuje link. Odblokowuje konto i znowu trzy razy błędnie wpisuje hasło, itd. U mnie w banku trzeba osobiście udać się od oddziału po trzykrotnie błędnie wpisanym haśle. Nie jest możliwe odblokowanie konta w inny sposób.

PS

"Pin do mojej karty płatniczej to cztery cyfry z zakresu 0-9 co oznacza, że ilość wszystkich możliwych kombinacji to 3.628.800 (permutacja zbioru 10-cio elementowego)"

tu się mały błąd wkradł.

Orlando   3 #14 26.01.2011 13:36

Dziesięciocyfrowy PIN, jeżeli składa się z cyfr, to 10 miliardów możliwości.

Jaahquubel_   13 #15 26.01.2011 13:55

"3.628.800 (permutacja zbioru 10-cio elementowego)"
Wielbłąd! O ile 10!=3 628 800 jest liczbą permutacji zbioru 10-elementowego, o tyle liczba pinów do liczba wariacji zbioru 10-elementowego z 4 powtórzeniami = 10^4=10 000.
10! zaś to liczba sposobów, na które można ustawić 10 różnych elementów (np. jak ktoś ma hasło złożone z 10 różnych znaków i my te znaki poznamy, ale nie ich kolejność, to mamy 10! możliwości, czyli i tak dużo).

januszek   19 #16 26.01.2011 13:55

matzu: link może wyglądać tak: "Dzień dobry, w celu odblokowania konta proszę zgłosić się do siedziby banku. W poniższym linku znajdzie Pan/Pani dane adresowe oddziałów lokalnych" ;)

matzu i Orlando: ok, matury z matmy bym w tym roku nie zdał ;)
4 cyfry = 10.000 kombinacji
10 cyfr = 10.000.000.000 kombinacji
3628800 = 10! (silnia liczby 10) ;)

kamil_w   11 #17 26.01.2011 14:50

I zgodzię się z twoim wpisem i się z nim nie zgodzę. Najskuteczniejszą metodą łamania hasła jest Brute Force, ale stosując znaki specjalne, duże, małe litery, cyfry zwiększamy ilość możliwych znaków, a tym samym ilość kombinacji do sprawdzenia.
Spróbuj np przy pomocy pwdump'a lub innej aplikacji złamać hasło powiedzmy "1d3n@L0d4z$aNdRą:]"
Życzę powodzenia. Łamanie prostego 5-znakowego hasła (same małe litery i cyfry) zajęło mojej maszynie 23 godziny, a na dobrym sprzęcie to samo doświadczenie trwało 10 godzin i 23 minuty.

Prawdą jest, że przy pomocy metody Brute Force da się złamać każde, nawet najlepsze hasło, ale przeszkodą nie do przejścia może być czas. Jedyną możliwością obrony przed atakiem siłowym jest posiadanie skomplikowanego hasła i zmienianie go co jakiś czas (im bardziej skomplikowane hasło, tym czas ten może być dłuższy).

Z drugiej strony często występuje takie zjawisko jak eskalacja praw dostępu. Przykład:
Co z tego, że mamy skomplikowane hasło w zainstalowanym systemie, skoro nie jest wyłączona w BIOSie opcja bootowania z płyty CD/DVD i nasze dane mogą byc przeglądane przy użyciu dowolnej dystrybucji linuksa uruchamianej z płyty?
Albo:
Co z tego, że nasze konto jest zabezpieczone dobrym hasłem, skoro konto Administratora nie ma zmienionej nazwy i nie jest zabezpieczone hasłem?

Prawda jest taka, że dobrym zabezpieczeniem jest skomplikowane hasło w połączeniu z dobrą administracją systemu.

webnull   9 #18 26.01.2011 15:05

Nie mając dostępu do skrótu hasła można jedynie metodą bruteforce złamać hasło na zdalnym serwerze co raczej łatwe być nie może.

Długość i różnorodność hasła owszem ma znaczenie, im szerszy zakres znaków z poza A-Z, 1-9 tym hasło jest mocniejsze - nawet można powiedzieć, że niektórzy ludzie łamiący hasła są nastawieni na proste hasło.

Skusiłeś Mnie do Mojej publikacji na ten temat, ponieważ Twoja jest nieco nie jasna.

januszek   19 #19 26.01.2011 15:15

kamil_w: moja teza była inna: że dobrze zaprojektowany i administrowany system nie będzie wrażliwy na słabe hasło usera i odwrotnie, że w źle zaprojektowanym i administrowanym systemem użytkownika nie zabezpieczy nawet super-mega silne i wymyślne hasło składające się z pierdyliona znaków ;)

ps. I twierdzenie januszka o silnych hasłach: Wraz ze wzrostem siły hasła wzrasta prawdopodobieństwo, że user nie będzie go pamiętał i zapisze je sobie w podręcznym kajeciku... ;)

matzu   5 #20 26.01.2011 15:25

@kamil_w

Wpis mówi o czymś zupełnie innym. Co z tego, że np. hasło będzie miało tylko 5 znaków, skoro po trzech błędnych próbach jego wpisania dostęp do konta zostanie zablokowany. Spróbuj metodą brute force złamać hasło do jakiegokolwiek konta bankowego (podkreślam nawet jeśli hasło ma tylko 5 znaków). Życzę powodzenia.

szymon189   10 #21 26.01.2011 15:31

Jak dla mnie bardzo ważnym elementem jest długość hasła, cyfry w nim oraz duże i małe litery.
Zgadzam się jak najbardziej z pomysłem autora, "że czwarta próba wpisania złego hasła skutkuje np. czasową blokadą możliwości logowania się na to konto, aż do kliknięcia np. w link odblokowujący wysyłany na adres mail."

matzu   5 #22 26.01.2011 15:35

@januszek

OK, stawiasz tezę, a jakieś przykładowe rozwiązanie? Bo to z tym linkiem mnie jakoś mnie nie przekonuje. Chyba, że pokażesz mi taki mechanizm jego generowania, że na prawdę potencjalny atakujący nie będzie w stanie go wygenerować samodzielnie.

No ale załóżmy, że taki mechanizm został wymyślony. Od teraz jak ktoś będzie bardzo złośliwy, to regularnie będzie blokował Ci konto, np. na DP. Zna przecież Twój login, wpisuje tylko trzy razy błędnie hasło i łubudu konto zablokowane. Ty czujesz się bezpieczny, no ale po setnej takiej blokadzie pewno zacząłbyś odczuwać lekką frustrację.

Powiesz, że DP mogłoby wprowadzić logowanie na konto przy użyciu tylko Tobie znanego loginu. OK, jest to jakieś rozwiązanie. No ale na ile to jest user friendly? Teraz musisz pamiętać i hasło, i ten unikalny login generowany przez DP. Nie lepiej po prostu używać łatwego do zapamiętania loginu i silnego hasła, które zmieniasz co jakiś czas?

Owszem rozwiązanie z blokowaniem konta jest świetne, ale ono sprawdza się raczej tylko w bankowości elektronicznej i jakiś systemach korporacyjnych, gdzie odzyskanie dostępu do konta możliwe jest tylko po bezpośredniej interwencji człowieka, a nie przy użyciu jakiegoś mechanizmu (np. wygenerowanego linku).

matzu   5 #23 26.01.2011 15:40

@webnul

co jest niejasne w tym wpisie?

Tormiasz   6 #24 26.01.2011 16:19

@januszek
To, jak utraciłeś swoje konto emailowe było sprawką socjotechnika. Socjotechnik nie potrzebuje łamać haseł, po prostu o nie prosi, sam mu je podajesz. Jeżeli ktoś korzysta z bezpiecznego hasła i jest w stanie obronić się przed atakiem socjotechnika (polecam książkę "Sztuka Podstępu" Kevina Mitnicka) to jest naprawdę bezpieczny. Jeżeli BOK firmy u której posiadałeś zamówioną usługę hostingową nie posiadał przeszkolenia z zakresu ataku socjotechnicznego, no to wybacz, ale z takimi osobami się nie pracuje.

Bezpieczne hasło może być mitem, ale tylko, gdy metoda odzyskiwania hasła jest zbyt prosta. Np. odzyskanie hasła po podaniu odpowiedzi na pytanie "Nazwisko panieńskie matki?" lub "Jak ma na imię Twój najlepszy przyjaciel?" jest bajecznie proste. Takie rzeczy można załatwić jednym telefonem lub nawet mailem do osoby atakowanej!

Twoja metoda z blokowaniem konta po kilku próbach złego wpisania hasła jest nieskuteczna. Gdy konto zostanie zablokowane, atakujący wie, że taki e-mail istnieje i postara się włamać na konto za pomocą sposobu podanego przeze mnie w poprzednim akapicie. A jak wiadomo, większość osób posiada konta na wielu portalach zarejestrowanych przy pomocy jednego e-maila, tak więc za jednym zamachem atakujący ma dostęp wszędzie.

Nie twierdzę, że ten sposób jest zły, gdy login nie jest równocześnie e-mailem (choć tu też można polemizować).

@Ad I twierdzenie
Jeżeli user zainteresuje się bezpiecznym hasłem, zainteresuje się też odpowiednim programem do jego przechowywania.

@Ad II twierdzenie
Zgadzam się, choć socjotechnik potrafi przełamać się przez szereg firewalli i nie musi wykorzystywać dziur w zabezpieczeniach.



---

Zastanawiam się, czy nie warto by napisać takiego wpisu, jak socjotechnik mógł uzyskać dostęp do Twojego konta.

matzu   5 #25 26.01.2011 16:40

@Tormiasz

"Np. odzyskanie hasła po podaniu odpowiedzi na pytanie "Nazwisko panieńskie matki?" lub "Jak ma na imię Twój najlepszy przyjaciel?" jest bajecznie proste. Takie rzeczy można załatwić jednym telefonem lub nawet mailem do osoby atakowanej!"

Nie powiesz mi chyba, że wpisujesz prawdziwe dane w odpowiedziach na te pytania? Przykładowa odpowiedź na pytanie "Nazwisko panieńskie matki?" powinna wyglądać tak:
"Tak, też lubię czerwone sandały."

Tormiasz   6 #26 26.01.2011 16:40

@matzu
Mówimy tutaj w perspektywie zwykłego użytkownika, przeciętnego Kowalskiego.

januszek   19 #27 26.01.2011 17:01

szymon189: ale po co? co konkretnie jest celem tak rygorystycznej polityki haseł?

matzu: wydaje mi się, że sprawa jest otwarta bo nikt z ludzi jeszcze nie wynalazł idealnego zabezpieczenia ;)

Tormiasz: nie utraciłem konta bo udało mi się sprawę wyjaśnić - i o ile wiem spowodowało to zmianę podejścia firmy do telefonów użytkowników którzy zapomnieli hasła.
To co nazwałeś "moją metodą" miało być przykładem na to, że hasło to tylko jeden z elementów dobrej ochrony. Sugerowałem także, że login nie powinien być adresem mail - to imo też jest przykład na błąd w sztuce popełniony przez Admina.
Nie zgadzam się, z Twoją tezą, że ten kto "...korzysta z bezpiecznego hasła i jest w stanie obronić się przed atakiem socjotechnika (...) jest naprawdę bezpieczny" bo to założenie zakłada, utopijną moim zdaniem sytuację, w której każdy inny element zabezpieczanego tym silnym hasłem systemu jest idealny - a takie jak wiemy nie występują w realnym życiu (polecam lekturę Murphy's law). Przytoczę tu swojego rodzaju żart, który moim zdaniem będzie dobrą analogią: Czy zakładając konto na dp przeprowadziłeś audyt stosowanych przez redakcję zabezpieczeń i analizę umiejętności oraz wiedzy adminów pod kątem praktycznych zagrożeń bezpieczeństwa? Bo ja nie... ;) Jeśli Ty też tego nie sprawdziłeś to skąd możesz mieć pewność czy redakcja przeszła "przeszkolenia z zakresu ataku socjotechnicznego" czyli jest godna tego abyś z ich usług raczył skorzystać? ;P

ps. User, który tak sam z siebie interesuje się bezpiecznymi hasłami jest IMO znakomitym materiałem na hakera ;)

  #28 26.01.2011 18:54

Jeśli odpowiedni zmodernizujemy pc, czyli użyjemy do przeprowadzenia bruteforce mocy gpu najnowszych kart graficznych wraz z cpu, to złamanie takiego hasła to błahostka, ps jak ktoś chce to da radę.

  #29 26.01.2011 19:19

"Przeżyłem w swoim życiu włamanie na moje konto pocztowe. Stosowałem wtedy bardzo proste hasło. Mimo tego włamywacz nawet nie próbował go zgadywać. Zadzwonił na numer BOK mojego operatora hostingowego i podał się za mnie. Bardzo miła i pomocna Pani szybko rozwiązała problem... "
Taką sytuację opisuje Kevin Mitnick w swojej książce pt.: "Sztuka podstępu". Właśnie w tym tkwi siła bezpieczeństwa - nie w super zaprojektowanych systemach, lecz w naszych umysłach. Bo co z tego, że system będzie super bezpieczny skoro znajdzie się naiwny pracownik i złapie na socjotechnika?

  #30 26.01.2011 20:07

Ja stosuję dwa proste rozwiązania:
- Korzystam z portfela(w przeglądarce)
- Zawsze w portfelu pamiętam hasło prawidłowe, jak i nie. Podczas zaglądania na jakieś forum, najpierw podaję wymyślone na poczekaniu hasło lub klikam ok(zapamiętane jest złe). Dopiero potem jestem przekierowywany na właściwą stronę logowania, gdzie klikam ok do poprawnego zalogowania.
Co do samych haseł - to trochę racji Pan ma. Nie oznacza to jednak,. że hasło na Facebook ma być facebook2011, a na nasz hosting ma być nazwa_hosting__data_otwarcia_działalności lub nazwafirmy_data_otwarcia_działalności.
Większość ludzi wykorzystuje hasła kojarzące się im miło, np. imie czworonoga lub data urudzin matki/ojca. Takie hasło może każdy odgadnąć - stąd konieczność umieszczanie w haśle liczb, liter alfabetu, a nawet znaków specjalnych - nie po to, by zmniejszyć szansę złamania metodą bruteforce, ale by naszym hasłem nie mógł być chociaż numer telefonu lub konta bankowego.
Idealnym hasłem jest oczywiście skrótowiec stworzony z cytatu z książki, a do niego wplątujemy jakiś stały ciąg symboli.
Ja mam kilka stałych ciągów symboli alfanumerycznych, i tam, gdzie nie korzystam z hasła wygenerowanego, wsadzam cytat z ulubionej książki(pierwsze znaki poszczególnych słów) + jakiś wybrany ciąg symboli alfanumerycznych.

matzu   5 #31 26.01.2011 20:27

@Sławekn

No ile może trwać złamanie metodą brute force hasła 8-znakowego mogącego składać się z małych i wielkich liter, cyfr oraz 10 znaków specjalnych, co daje 72^8 możliwości? Ile kombinacji jesteś w stanie sprawdzić w ciągu sekundy?

  #32 26.01.2011 20:44

@matzu | 26.01.2011 13:35 :
Nie. Nie byłaby w stanie odpowiedzieć na mail-a, którego nie dostała. Bezpieczeństwo handlu elektronicznego opiera się na generowaniu odnośników kluczem niejawnym.

januszek   19 #33 26.01.2011 20:46

matzu: wykorzystując "tęczowe tablice" - kilka minut ;P Tylko po co to robić? Dla sportu? Tu pozwolę sobie na czwarte już twierdzenie, że: Przeciętny Kowalski mając przeciwko sobie zawodowego hakera ma takie same szanse na ochronę swoich danych jak w walce na pięści przeciwko zawodowemu bokserowi ;)

  #34 26.01.2011 20:55

@januszek

Zawodowi hakerzy nie zawracają sobie gitary przeciętnymi kowalskimi.

Meszuge   16 #35 26.01.2011 21:06

Dobra robota Januszek, ale nie do końca. Miałbyś pewnie rację, gdyby wszyscy włamywacze byli profesjonalistami zza oceanu, dysponującymi zaawansowaną technologią, piszący „od ręki” potrzebne skrypty itd.
Wyobraź sobie (taki przykład), że mam sąsiada za ścianą na tej samej sieci bezprzewodowej. Sąsiad za bardzo na tym wszystkim się nie zna, ale… był kiedyś na moich urodzinach, więc zna moją datę urodzenia. Jeśli ja ustaliłem takie właśnie hasło, a on ze zwykłej ciekawości zechce sprawdzić, to… klapa.

W takich to właśnie sytuacjach hasło: 12.11.1970 może się okazać dużo bezpieczniejsze, niż Vv54Oj26:q.

januszek   19 #36 26.01.2011 21:14

Meszuge: i po to jest jeszcze autoryzacja po adresie MAC ;)

Tormiasz   6 #37 26.01.2011 21:19

Filtrowanie po MAC to akurat żadne zabezpieczenie, choć na takiego sąsiada może wystarczyć.

kamil_w   11 #38 26.01.2011 21:20

@ matzu i januszek

W takim razie przytoczę tytuł wpisu:

"Bezpieczne hasło to mit."

Istnieje coś takiego jak bezpieczne hasło, a tytuł wpisu jest nieadekwatny do jego treści. Bardziej by tu pasował tytuł "Nawet bezpieczne hasło nie uchroni twoich danych jeśli admin to ciapa".

dragonn   11 #39 26.01.2011 21:22

Dodam że świetnym sposobem na obronę przed atakami typu Brute Force jest opóźnienie czasowe, wystarczy głupie 1s miedzy próbami wpisania hasła, a każdy automat typu Brute Force wysiada.

matzu   5 #40 26.01.2011 21:24

@januszek

Na "tęczowych tablicach" się nie znam. Kilka minut, ale na jakim komputerze? I jeszcze jedno ... Ile miejsca na dysku byłoby potrzebne dla tablicy przechowującej każdy możliwy hash dla powiedzmy funkcji SHA-256?

I czy można się jakoś zabezpieczyć przed tego typu atakiem?

  #41 26.01.2011 21:35

Dziwnej gimnastyki autor wpisu dokonał. Przytoczył konkretną sytuację, jeden z wielu wycinków dziedziny stosowania haseł i wyciągną z niej jakieś ogólne wnioski.

Trochę mi to przypomina retorykę "po co używać antywirusa skoro chroni "tylko" przed 95% starych wirusów a przed nowymi nie." albo "po co komu drzwi skoro i tak można je otworzyć".

Tormiasz   6 #42 26.01.2011 21:35

@matzu
Można do tego wykorzystać sole do szyfrowania, dzięki czemu tablice tęczowe mają, że tak powiem, "lipę".

januszek   19 #43 26.01.2011 21:38

matzu: dyski teraz tanie jak barszcz :)

Podając przykład z pinem do karty płatniczej chciałem pokazać, że ataki typu brute-force w zasadzie nie dają się wykorzystać praktycznie. Ok - być może stosuje się je w sytuacji kiedy komuś wyciekła cała baza haseł i ktoś na tej podstawie chce sobie zbudować tablicę albo jeszcze coś innego - ale generalnie ta metoda raczej nie nadaje się (w dzisiejszych czasach) do praktycznego włamania się nawet na domowy router kolegi Meszuge - oczywiście pod warunkiem, że zmieni hasło z daty urodzenia na jakieś inne i wprowadzi autoryzację po adresie MAC ;)

matzu   5 #44 26.01.2011 21:53

@Tormiasz

To jak to jest w praktyce rozwiązane. Robione są w tabeli z użytkownikami dwie kolumny Password i Salt? Czy też może używana jest jedna wartość soli dla całej tabeli? Osobiście nigdy tego nie używałem.

matzu   5 #45 26.01.2011 21:55

Jeśli dysponujesz jakimś ciekawym artykułem na ten temat, ewentualnie tytułem książki to chętnie skorzystam.

roobal   15 #46 26.01.2011 22:24

@matzu

"Spróbuj metodą brute force złamać hasło do jakiegokolwiek konta bankowego (podkreślam nawet jeśli hasło ma tylko 5 znaków). Życzę powodzenia."

Mimo wszystko nawet banki wymagają skomplikowanych haseł oraz okresowej jego zmiany, przynajmniej bank, w którym ja mam konto tego wymaga, pomimo tego, że muszę podać oprócz hasła identyfikator klienta, a po trzech próbach logowania z błędnym hasłem dostęp jest blokowany i trzeba albo dzwonić do BOKu i prosić o odblokowanie dostępu do konta (oczywiście po weryfikacji klienta - ID, Nazwisko, Pesel, hasło ustalone w banku przy podpisywaniu umowy), wówczas obowiązuje hasło ostatnio ustawione, konsultant nie resetuje hasła i nie ma jego podglądu, albo trzeba iść do oddziału banku i prosić o wydanie nowego kodu PIN, jeśli zupełnie nie pamięta się hasła.

Pozdrawiam!

Tormiasz   6 #47 26.01.2011 22:26

@matzu
Poszukaj sobie coś w stylu "hashowanie z solą" czy inne takie.
Definicja: http://pl.wikipedia.org/wiki/Sól_(kryptografia)
Przykładowy artykuł, który ciekawie opisuje solenie znajdziesz tutaj: http://dev.mensfeld.pl/2010/05/hashowanie-i-solenie-hasel/

matzu   5 #48 26.01.2011 22:52

@roobal

Ja też mam bezpieczne hasło do banku. Ponad 14 znaków, a co :). Mimo tego, że dostęp do konta blokowany jest, gdy hasło zostanie trzykrotnie błędnie wpisane. Bezpieczeństwa nigdy za wiele.

Nie zmienia to faktu, że ktoś musiałby mieć na prawdę niezły fart, żeby w trzech próbach ustrzelić właściwe hasło spośród ponad 60^5 możliwości.

Ważne jest też to o czym wspomniałeś. Żeby co jakiś czas zmieniać używane hasło.

@Tormiasz

Dzięki, choć na wikipedii byłem i na kilku innych linkach też. Mi chodziło o jakiś tytuł pokazujący jak to jest robione w dużych projektach, ale to już najwyżej sam sobie poszukam.

kamil_w   11 #49 26.01.2011 22:58

@Tormiasz
Dzięki za info o soli. Tego nie znałem, a faktycznie jest to fajna sprawa.

wroc   2 #50 26.01.2011 23:14

Najważniejsze, aby w wielu miejscach w internecie nie stosować tego samego hasła, bo zwykle są one przechowywane w postaci jawnej. Ile razy Niebezpiecznik pisał o wycieku bazy haseł z jakiegoś portalu? Dlaczego fora/portale nie mogą stosować jednokierunkowych funkcji skrótu (tzw. hashy), z którymi byłoby po wpisaniu i zaszyfrowaniu porównywane hasło?
Zresztą rozwiązań idealnych nie ma, ale co nam po skomplikowanym haśle, jak może ono wycieknąć do internetu, nawet jeśli zawiera 99 losowych znaków.

  #51 26.01.2011 23:22

Siłą hasła, jest jego użytkownik, nieważne z jakiego systemu korzystasz, ważne jak.

  #52 27.01.2011 09:49

@januszek | 26.01.2011 21:14 :
Jak chcesz zrobić filtrowanie po Mac w sieci zewnętrznej?

januszek   19 #53 27.01.2011 19:09

notgnucy: pisałem o autoryzacji po adresie MAC. Jak to zrobić? Zadzwoń na infolinię producenta routera ;)

Pirks4   3 #54 27.01.2011 21:36

Wydaje mi się, że autor ma rację. Ja mam skomplikowane hasła. Generowane losowo. Długie. Do każdego serwisu inne. Od czasu do czasu pracowicie je zmieniam. A mimo to, każdy kto ma dostęp do mojej maszyny może się zalogować ma wszystkie moje serwisy. Może poznać moje hasła. Nawet jeśli mam je w zaszyfrowanym pliku. To przepisze sobie z przeglądarki. Nie stosuję czegoś takiego, jak hasło główne, bo nie ma takiej potrzeby. Gdyby mój komputer był maszyną publiczną, chroniłbym hasła. Ale mój przykład jest doskonałą ilustracją, że najsłabszym ogniwem jest user. Co z tego, że mam silne hasła, skoro łatwo je zdobyć.

Tormiasz   6 #55 27.01.2011 21:42

@Pirks4
A czyja to wina, że używasz bezpiecznych haseł, ale przechowujesz je w przeglądarce?
To tak jakbyś miał super zabezpieczenia do domu, kamery, czujniki ruchu, skomplikowane szyfry do drzwi, ale zostawiłeś klucz do tego wszystkiego pod wycieraczką znajdującą się przed domem.

Pirks4   3 #56 27.01.2011 22:16

@Tormiasz
Moja;)
Na swoje usprawiedliwienie dodam, że to co wyprawiam na domowym komputerze, nie przyszłoby mi do głowy na maszynie w pracy, lub w kafejce;).
Ale podejrzewam, że taka beztroska w podejściu do przechowywania haseł, na moim domowym komputerze, jest właściwa nie tylko mnie. I doskonale ilustruje to pogląd autora, że sama siła hasła, to nie wszystko.

matzu   5 #57 29.01.2011 20:06

@januszek

Ja jeszcze kończąc moją aktywność w tym temacie odniosę się do Twoich twierdzeń, które powstały w trakcie dyskusji (notabene bardzo ciekawej)

AD Twierdzenie 1:
"Wraz ze wzrostem siły hasła wzrasta prawdopodobieństwo, że user nie będzie go pamiętał i zapisze je sobie w podręcznym kajeciku... "

Fakt, to może być prawda. Konieczne jest więc znalezienie złotego środka. IMO użytkownik jest w stanie zapamiętać hasło 8-znakowe zawierające przynajmniej jedną małą i wielką literą, cyfrę oraz znak specjalny, które co istotne nie jest hasłem słownikowym lub przekształceniem hasła ze słownika, w którym np. podmieniono a na 4, itp. (bo takie słowniki istnieją).

AD Twierdzenie 2:
"Dobrze zaprojektowany i administrowany system nie będzie wrażliwy na słabe hasło usera i odwrotnie: w źle zaprojektowanym i administrowanym systemie użytkownika nie zabezpieczy nawet super-mega silne i wymyślne hasło składające się z pierdyliona znaków."

Z tego wynika, że np. internetowa skrzynka pocztowa (typu gmail), portal DP, itp. to źle zaprojektowane systemy, bo są wrażliwe na słabe hasło usera. Co więc można by zrobić, aby to zmienić?

AD Twierdzenie 3:
"III twierdzenie januszka o silnych hasłach: User, który tak sam z siebie, interesuje się bezpiecznymi hasłami jest znakomitym materiałem na hakera."

Za wikipedią "Haker (ang. hacker) – osoba o bardzo dużych, praktycznych umiejętnościach informatycznych (lub elektronicznych) która identyfikuje się ze społecznością hakerską. Hakerzy odznaczają się bardzo dobrą orientacją w Internecie, znajomością wielu języków programowania, a także świetną znajomością systemów operacyjnych, w tym zwłaszcza z rodziny Unix (GNU/Linux, BSD itp.).".

Oczywiście może ta definicja nie jest zbyt szczęśliwa, ale oddaje pewien sens tego terminu, także IMO Twoje twierdzenie jest nietrafione. Zainteresowanie bezpieczeństwem haseł to o wiele za mało.

AD Twierdzenie 4:
"Przeciętny Kowalski mając przeciwko sobie zawodowego hakera ma takie same szanse na ochronę swoich danych jak w walce na pięści przeciwko zawodowemu bokserowi ;)"

Znowu za wikipedią "Znaczenie słowa "haker" w masowych mediach jest inne niż stosowane przez społeczność hakerską. Media powszechnie używają go wobec osób łamiących zabezpieczenia systemów komputerowych, co w słownictwie informatycznym określa się mianem "crackingu", a osoby łamiące te zabezpieczenia mianem "crackerów"."

Tak więc zakładam, że w swoim twierdzeniu miałeś na myśli crackera. Anyway ... z tym twierdzeniem ciężko polemizować. Znasz jakiś prawdziwych crackerów, żebym mógł sprawdzić czy moje zabezpieczenia są ok? Poza tym nie sądzę, że jakikolwiek cracker zainteresuje się przeciętnym Kowalskim (czytaj np. mną). Co innego jakieś zmasowane akcje typu phishing haseł, ale nie o tym przecież mowa w tym wpisie.

  #58 29.01.2011 23:54

Jako użytkownik widzę takie rozwiązania:

1. różny nick i login do serwisu + hasło - trochę uciążliwe i trudno zapamiętać, ale hasło nie musi być wtedy kosmicznie skomplikowane
2. login + bezpieczne hasło (tylko kto takie pamięta?)
3. login + hasło + opóźnienie logowania w przypadku pomyłki o np. 30 s. - uciążliwe, ale można sprawdzić jedynie 2 hasła na minutę, a samo hasło nie musi mieć 20 znaków, 6-8 wystarczy
4. login + bezpieczne hasło + informacja na mejla po np. 10 nieudanych próbach zalogowania - wiemy, że ktoś próbował się logować na nasze konto.
5. kombinacja metod 1-4.

Cóż, ludzkie lenistwo i wygodnictwo powodują, że sami wystawiamy się na atak. Ale też nie można popadać w paranoję. Nikt nie czyha specjalnie na nas i nasze hasła. Ataki mają charakter losowy i inicjowane są przez samych użytkowników, np. poprzez wejście na daną stronę zainfekowaną szkodliwym oprogramowaniem.

januszek   19 #59 30.01.2011 11:21

matzu: ad ad2 - faktycznie jest tak, że słabą stroną np dp jest to, że stosowany do logowania login mamy podany na publicznej tacy. Konto w google tak nie mają bo tam jak ktoś chce to może używać innego loginu niż ten, który potem w adresie pocztowym występuje przed @gmail.com ;) Chyba jednak mało kto tego korzysta :)

po za tym w II-tjosh chodziło mi o to, że jak Admin wie co robi to user stosujący słabe hasło i tak będzie dużo bardziej zabezpieczony niż w sytuacji, w której Adminowi tylko wydaje się, że wie co robi a user stosuje tzw "bezpieczne" hasło - nie zgadzasz się z tym?

matzu   5 #60 30.01.2011 11:56

"Konto w google tak nie mają bo tam jak ktoś chce to może używać innego loginu niż ten, który potem w adresie pocztowym występuje przed @gmail.com ;) Chyba jednak mało kto tego korzysta :)"

Przyznaję, nie wiedziałem, że jest taka możliwość. W jaki sposób się to aktywuje?

"po za tym w II-tjosh chodziło mi o to, że jak Admin wie co robi to user stosujący słabe hasło i tak będzie dużo bardziej zabezpieczony niż w sytuacji, w której Adminowi tylko wydaje się, że wie co robi a user stosuje tzw "bezpieczne" hasło - nie zgadzasz się z tym?"

Nie sposób się z tym nie zgodzić.

januszek   19 #61 30.01.2011 12:24

matzu: a jednak nie mam racji bo jak właśnie sprawdziłem próba podłączenia konta google do usługi gmail powoduje, że wybrany login do adresu gmail zostaje użyty jako główna nazwa użytkownika konta... Kiedyś tak nie było.

matzu   5 #62 30.01.2011 13:03

Rozumiem. Zastanawiać może czemu z tego zrezygnowali. IMO możliwość używania innego loginu niż ten, który widoczny jest dla innych to dobre rozwiązanie. Oczywiście pod warunkiem, że użytkownik ma możliwość wyboru, czy chce z tego korzystać, czy też nie (nie dotyczy to bankowości elektronicznej i innych tego typu systemów, gdzie niezbędny jest wysoki poziom bezpieczeństwa). Wspominałem o tym wyżej, albo system będzie bardziej user friendly albo bardziej bezpieczny, coś za coś.

hnt   5 #63 30.01.2011 13:20

Nie zgadzam się z autorem.

"Dlatego apeluję: nie dajmy się zwariować niedouczonym Adminom, którzy wymagają od nas "bezpiecznych" haseł do forów dyskusyjnych, e-banków albo elektronicznej rejestracji w przychodni lekarskiej bo w tych miejscach to nie siła i moc hasła jest dla bezpieczeństwa naprawdę istotna!"

Dlaczego na hasłach użytkowników w serwisach internetowych winno się stosować metodę skrótu? Ponieważ baza danych haseł jest DOSTĘPNA Z POZIOMU INTERNETU. Co za tym idzie - potencjalny atakujący może uzyskać nieautoryzowany dostęp do w/w bazy i zrobić dumpa. Co dalej? W momencie, gdy hasła nie są hashami tylko czystym tekstem robi się nieciekawie. Gro użytkowników internetu posiada jedno lub kilka haseł, których używa w kilku miejscach. Dalej chyba nie muszę o tym opowiadać.
Dlatego też hasła w bazach po pierwsze są hashowane, po drugie zaś dobrym obyczajem jest 'solić' podane przez użytkownika hasło. Im prostsze hasło tym łatwiej jego skrót odkodować (znaleźć dla niego kolizję).
W czasach dużych mocy obliczeniowych proste hasła bywają najsłabszym ogniwem nie wiem jak bardzo zabezpieczonego systemu. Używanie frazy 'qwerty' czy 'dupa123' do zabezpieczenia zaszyfrowanego woluminu mija się z celem.

Czas dopić kawę.

januszek   19 #64 30.01.2011 13:33

hnt: Czy dobrze zrozumiałem, że posolony hach hasła "dupa123" jest łatwiej odkodować niż posolony hash hasła "lC!$uNu^A\Qd"? Bo do tej pory mi się wydawało, że właśnie dzięki soleniu znika tak różnica... :)

hnt   5 #65 30.01.2011 14:36

@januszek
Wszystko zależy od tego, czy dostaniesz się do soli.
Mimo wszystko jednak różnica i tak nie znika.

januszek   19 #66 31.01.2011 15:43

hnt: nie rozumiem bo o ile mogę być pewnym, że w tęczowej tablicy znajduje się hash krótkiego hasła "d*pa123" to mogę też być pewny, że nie znaduje się tam posolony hash tego hasła. Nawet jak poznasz sól to co? Wygenerujesz sobie nowe tablice? Skoro każdy bajt soli zwiększa liczbę możliwych kombinacji x256 to przy odpowiednio dużej soli czas potrzebny na wygenerowanie tych nowych tablic będzie ogroooooooooomny ;)

hnt   5 #67 04.02.2011 22:16

@januszek
Masz rację.
Moje myśli powędrowały gdzie indziej.

jkolonko   10 #68 17.08.2011 11:34

Nie mogę sobie darować podsumowania dyskusji tym komiksem: http://imgs.xkcd.com/comics/password_strength.png

  #69 03.02.2012 17:40

Solenie haseł stosuje się po to żeby nie można było po prostu porównać hashy w bazie danych z tablicami. - hash dla "tomek" nie jest taki sam jak dla "tomekAYDWUdnah".

Siła hasła się właściwie nie zmienia, zmienia się to że trzeba je hashować od nowa nawet jeżeli jest to "abcdef"

  #70 24.10.2013 07:02

Bardzo dobry artykuł. I prawdziwy. Tormiasz w pewnym momencie pisze:

"Twoja metoda z blokowaniem konta po kilku próbach złego wpisania hasła jest nieskuteczna. Gdy konto zostanie zablokowane, atakujący wie, że taki e-mail istnieje i postara się włamać na konto za pomocą sposobu podanego przeze mnie w poprzednim akapicie. A jak wiadomo, większość osób posiada konta na wielu portalach zarejestrowanych przy pomocy jednego e-maila, tak więc za jednym zamachem atakujący ma dostęp wszędzie."

To nie tak. Żeby informacja o zablokowanym koncie została wyświetlona - musi nastąpić wpisanie poprawnego hasła. w przeciwnym razie wciąż będzie ten sam komunikat o "błędnej kombinacji login+hasło". I jak to ktoś też był łaskaw zauważyć wystarczy opóźnienie 1 lub 2 sekund pomiędzy MOŻLIWYMI próbami zalogowania i właściwie mamy spokój.

  #71 20.11.2014 08:07

@DawidDS4: a już nie ma strony...