Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

O tworzeniu haseł i ich praktycznym zastosowaniu

W ciągu ostatnich kilkunastu godzin na dobrych programach pojawiły się dwa wpisy sugerujące jaki mechanizm zastosować, aby nasze hasło było nie tylko trudne do złamania, ale także praktyczne w użyciu dla nas czyli najprościej mówiąc, aby było je łatwo wpisać.

Wpis Januszka

Wpis Ziggurad'a

Pierwszy z nich, wpis Januszka, sugeruje użycie tzw. karty haseł. Właściwie pomysł nie jest nowy - szwajcarska firma, Savernova, zajmująca się bezpieczeństwem IT już jakiś czas temu umożliwiła pobranie losowo wygenerowanej tzw. karty haseł w formie PDF.

Pomysł niemal przełomowy i rzekłbym bardzo bezpieczny, ale czy praktyczny?

Chyba nie do końca, gdy stosujemy się do ogólnych zasad ochrony naszych tożsamości w internecie, a więc nie używamy do różnych kont tego samego hasła dostępu. Jak właściwie użyć wtedy takiej karty? Można ustalić sobie jeden punkt początkowy i kilkanaście różnych przebiegów kolejnych znaków, problem polega na tym, jak zapamiętać, który z mechanizmów był użyty do konta w serwisie X, a który w serwisie Y?

Można także wydrukować kilka/kilkanaście takich kart, ale wtedy taka "zabawa" nie jest ani praktyczna ani poręczna.

Szyfr Cezara

Metoda, którą zaproponował Ziggurad to nic innego, jak tzw. Szyfr Cezara. Jest to bardzo podstawowa technika stosowana w kryptografii. Jeśli nasz mechanizm przesunięć jest bardzo prosty, a do tego zawsze ten sam - hasło jest, wbrew pozorom, bardzo łatwe do złamania.

Wyobraźmy sobie sytuację, że do serwisu dobreprogramy.pl stosujemy metodę zaproponowaną przez Ziggurad'a czyli przesunięcie o jeden znak w prawo.

hasło:fpntr[tphts,u/[;

Dla jasności dodam, że hasło wpisałem samodzielnie - nie kopiowałem go, a nie popełniłem ani jednego błędu, bo mechanizm tworzenia tego hasła jest bardzo prosty.
Jeśli tego samego mechanizmu użyliśmy w innych serwisach - zachodzi duże prawdopodobieństwo, że nasze bezpieczeństwo jest iluzją. Natomiast w momencie, gdy używamy różnych sposobów tworzenia hasła dla konkretnych witryn, ale są one równie proste czyli np. przesunięcie w górę o jeden znak, a jeśli jest ono niemożliwe to w prawo o jeden znak ; przesunięcie w dół o jeden znak, a jeśli jest ono niemożliwe to w lewo o jeden znak, jest to oczywiście pewne utrudnienie dla intruza, ale nadal łatwe do przejścia, gdy wie on, że wykorzystaliśmy metodę przesunięć.

[/] (Znak ten został umieszczony, gdyż edytor wpisów uznaje znaki nawiasu kwadratowego umieszczone w hasłach za znaki rozpoczynające tagi edytowania. Aby zastosować formatowanie tekstu w liniach poniżej konieczne jest ich zamknięcie.)

Metoda przesunięć dla zaawansowanych

Jest oczywiście sposób na wykorzystanie Szyfru Cezara w sposób bezpieczny - niestety obrzydliwie niepraktyczny. Przykład?

dobreprogramy.com

hasło : f[,iI1d[fcS2xpjaO3xs

Oto hasło powstałe z przekształcenia metodą przesunięć "wyrazu" dobreprogramy.pl - hasło bezpieczne w skali 1 - 5 myślę, że na 4- .

[/] (Znak ten został umieszczony, gdyż edytor wpisów uznaje znaki nawiasu kwadratowego umieszczone w hasłach za znaki rozpoczynające tagi edytowania. Aby zastosować formatowanie tekstu w liniach poniżej konieczne jest ich zamknięcie.)

Dlaczego tak nisko?

To nadal hasło powstałe w wyniku metody przesunięć z wykorzystaniem nazwy serwisu, do którego się logujemy. Przy użyciu jakiegoś zapamiętanego przez nas 12 znakowego "wyrazu" np. siałababamak i przekształceniu go sposobem przeze mnie zastosowanym otrzymujemy moim zdaniem bardzo bezpieczne hasło, przy założeniu, że wyrazu "siałababamak" nie będziemy nigdzie zapisywać, ani go nikomu podawać.

Reasumując hasło hiperbezpieczne i właściwie niemożliwe do bezbłędnego wpisania w czasie poniżej 90 sekund (strzelam).

Jak ono powstało?

Wyraz "dobreprogramy.com" został zapisany następującym przekształceniem

n - kolejność znaku w wyrazie

przesunięcie o n+1 w prawo (liczymy włączając w to znak zawarty w wyrazie czyli np. d jest pierwszym znakiem wyrazu, a więc 1+1 = 2 , co skutkuje, że 2 znakiem liczonym od d włącznie jest znak f) i co 5 znak tworzonego hasła pisany jest wielką literą, co 6 znak tworzonego hasła jest cyfrą począwszy od 1, następnie 2, 3 itd. , cyfr używamy tylko w co 6 znaku, pomijamy je w pozostałych, pomijamy klawisze, które nie mogą być użyte w haśle np. enter czy shift i przechodzimy do następnej linii znajdującej się powyżej lub poniżej.

Jest całkiem prawdopodobne, że gdzieś przy tworzeniu hasła się pomyliłem.

Eeee... więc jak?

Moim zdaniem hasła powinniśmy przechowywać w menadżerach haseł i przy pomocy zawartych w nich generatorów tworzyć je. Inne metody również są w porządku, jednak musimy odpowiedzieć sobie na pytanie czy zależy nam na bezpieczeństwie, czy łatwości wpisywania, czy na tym i na tym.

Menadżery też mają swoje wady, przede wszystkim, jeśli jest to program offline to najczęściej wszystkie hasła są przechowywane stacjonarnie w pliku bazy danych w postaci zaszyfrowanej, ale jednak są narażone na pewne ataki.

Reasumując każdy wybierze swoją metodę - jeden uzna za wystarczająco bezpieczny sposób zapisanie w kalendarzu, inny kartę haseł, ktoś użyje Szyfru Cezara, a ktoś inny menadżera haseł z plikiem klucza.

 

Komentarze

0 nowych
januszek   18 #1 07.09.2011 10:50

Cieszę się, że swoim wpisem zmobilizowałem Ciebie do pisania. Nie do końca - a szczerze wcale - nie rozumiem co konkretnie tu poddajesz w wątpliwość?

ps. Jeśli chcesz poznać moje zdanie o hasłach i związanych z nimi bezpieczeństwie to zerknij na dwa moje wcześniejsze wpisy: http://www.dobreprogramy.pl/januszek/,22762.html i http://www.dobreprogramy.pl/januszek/,25277.html ;)

Tomasz Wołoszyński   5 #2 07.09.2011 12:18

Poddaje w wątpliwość bezpieczeństwo lub wygodę niektórych rozwiązań.

Czytałem te wpisy dawno temu, bodajże w dniu bezpiecznego hasła :)

  #3 07.09.2011 16:31

Ja wymyślam absurdalne rymowanki. Dzięki temu wszystkie moje hasła są długie a jednocześnie łatwe do zapamiętania i wpisania.

Uważam to za wystarczające bo i tak nikomu nie opłaca się łamać metoda brutalforce hasła mającego powiedzmy 20-30 znaków.

Przestępcy teraz są nastawieni bardziej na przechwytywanie(keylogger itp) lub wyłudzanie.

Wymyślanie/generowanie przesadnie złożonych haseł nie ma większego sensu. Chyba, że ktoś ma tych haseł więcej niż 20 to rzeczywiście przyda się jakiś menadżer.

Mówię tu o hasłach do ważnych kont(bankowe, główny email, archiwa z ważnymi plikami itp) bo już kompletnym absurdem jest generowanie długich i skomplikowanych haseł dla, powiedźmy, konta na forum, kurniku albo na DP gdzie:

Primo: nikomu nie opłaca się włamywać na takie konto, w szczególności przy użyciu brutalforce(co w większości przypadków i tak nie jest możliwe)

Secundo: kontrole nad kontem można łatwo odzyskać

Tertio: włamywacz nie jest w stanie wyrządzić poważnych szkód.

JanStefan   6 #4 07.09.2011 20:41

E, tam... też macie problemy... Mi się jeszcze nikt nigdzie nie włamał, tym bardziej z powodu złego hasła. A jakieś tam metody na zapamiętanie? Kurcze po prostu zapamiętajcie te hasła i po problemie - co to jest zapamiętać 5 różnych haseł? Czy nawet 20, zwłaszcza jak się ciągle nich używa...

januszek   18 #5 07.09.2011 21:18

@JanStefan: Faktem jest, że najgorzej zapamiętać takie, którego używa się bardzo sporadycznie... ;)

Tomasz Wołoszyński   5 #6 07.09.2011 21:59

Niestety - każdy z nas ma takie hasła, których używa bardzo rzadko. Raz w miesiącu, a czasami nawet rzadziej.

JanStefan   6 #7 08.09.2011 09:53

No, ja tam nie wiem,... kwestia predyspozycji. Ja na szczęście nie mam z tym większych problemów - czasem mi się mylą, ale jak ma się 3 próby to co za problem?

A do haseł trzeba dodać, piny do kart kredytowych, kart płatniczych, pin do telefonu no i adres zamieszkania - to też warto pamiętać ;)

Tomasz Wołoszyński   5 #8 08.09.2011 11:16

Pin to najczęściej 4 znaki w postaci cyfr - nie uważasz, że to znacznie ułatwia sprawe? :)

  #9 08.09.2011 12:03

A może pamiętać jedno trudne do złamania hasło, i mieć jakąś metodę modyfikowania go w zależności gdzie się logujemy. np:

m0jebardzoTrudneHaslo_dobreprogramy.pl
m0jebardzoTrudneHaslo_dzone.com

Co do trudnych hasłem to łatwiej mi zwykle zapamiętać układ literek na klawiaturze niż to, jak to hasło brzmi literowo. Oczywiście pojawia się problem, jeśli to hasło trzeba nagle wpisać na klawiaturze komórki.
Ostatni problem dotyczy także menadżerów haseł. Ciężko jest do komórki podpiąć pendrive'a z KeePassem

Tomasz Wołoszyński   5 #10 08.09.2011 14:42

Bardzo słuszna uwaga. Przy używaniu trudnych, długich haseł bardzo ciężko jest ze 100% pewnością werbalnie przekazać jak to hasło wygląda, natomiast, gdy w grę wchodzi wpisanie go z użyciem klawiatury okazuje się to bajecznie proste. Widać zapamiętujemy wzrokowy układ klawiszy, które należy wpisać by odblokować dostęp do strefy chronionej :)

Klip   1 #11 30.07.2013 14:08

Generowanie i kombinowanie z hasłami strasznie opóźnia proces logowania, tym bardziej jak np. nie mamy dostępu do swojego kalendarza, gdzie było wszystko zapisane.
Dlatego warto dla ważnych kont stworzyć SILNE hasła (używając dostępnych znaków na klawiaturze, a nie tylko małych i dużych liter) i po prostu zapamiętać. Jednak w dzisiejszych czasach jest tyle jest milion kodów, haseł i pinów do zapamiętania, dosłownie na każdym kroku.
Co człowiek to inna metoda na zabezpieczenie własnej przestrzeni, ale ze statystyk wynika, najczęściej stosowanym hasłem jest "1234",''haslo", własne imię, nick albo data urodzenia czy rocznica.
90% społeczeństwa nadal twierdzi, że przecież oni nie mają nic wartościowego na swoich kontach, więc nie skupiają się na tworzeniu odpowiedniego hasła. Przerażające! Jakbym miała hasło do banku np. Iza90 to chyba nie mogłabym spać spokojnie.