Hasła do poprawki: Bruce Schneier radzi, jak zabezpieczyć się w naszych czasach

Hasła do poprawki: Bruce Schneier radzi, jak zabezpieczyć się w naszych czasach

26.02.2014 15:44, aktualizacja: 26.02.2014 16:50

Pomimo poszukiwań alternatywnych dla haseł metoduwierzytelniania, wciąż zdecydowania większość użytkownikówkorzysta właśnie z nich, i pewnie nie zmieni się to jeszcze przezkilka lat. Zmieniają się jednak narzędzia stosowane do łamaniahaseł, rośnie też moc obliczeniowa dostępna tym, którzy mogąsobie pozwolić na siłowe ich łamanie. Źle to wróżybezpieczeństwu wszystkich tych, którzy wykorzystują hasła ozłożoności takiej samej, jakie stosowało się 10 lat temu, niemówiąc już o niezliczonych milionach tych, dla których „123456”wygląda na całkiem dobre hasło. Co więc robić? Z pomocąprzychodzi Bruce Schneier, nasz ulubiony kryptograf, by pouczyćrzesze internautów, jak naprawdę powinno wyglądać dobre hasło nanasze czasy.

Przede wszystkim należy sobie uzmysłowić, jak skuteczne są dziśnarzędzia do łamania haseł, którymi dysponuje policja czyzawodowi crackerzy. „Zgadywanie” haseł to dziś proces, któryłatwo się paralelizuje, który można uruchamiać na wielumaszynach jednocześnie, przez tyle czasu, ile tylko potrzeba. Jedenz najlepszych takich łamaczy kodów, oclHashcat-plus,potrafi przetestować do ośmiu milionów haseł na sekundę, tj.ponad 691 miliardów haseł w ciągu doby. Jak wyjaśnia BruceSchneier, takie łamacze haseł mogą pracować miesiącami, gdy wgrę wchodzą ważne sprawy kryminalne.

Obraz

Takiemu łamaczowi haseł poradzenie sobie z 6-znakowym ciągiemliter (ok. 309 mln kombinacji) zajmie niespełna 40 sekund. 8-znakowyciąg liter to już niespełna 209 mld kombinacji, którychsprawdzenie zajmie ok. ośmiu godzin. Jeśli oprócz literwykorzystamy cyfry, to liczba kombinacji wyniesie ok. 2,8 bln, czylijakieś cztery dni pracy oclHashcata-plus. Zastosowanie dużych imałych liter to już 218 bilionów kombinacji, a więc około 315dni pracy łamiącej hasła. Można śmiało założyć, żeinstytucjonalny napastnik będzie dysponował wieloma takimimaszynami i wykorzysta je do równoległego ataku. Można też śmiałozałożyć, że nie dotyczy to tylko policji czy innych służb –dzięki rosnącej popularności wyliczania kryptowalut nie jesttrudno znaleźć ludzi, którzy dysponują dziesiątkami, a nawetsetkami procesorów graficznych.

Co więcej, narzędzia crackujące hasła są coraz sprytniejsze,stosując liczne sztuczki, by zwiększyć swoją efektywność.Schneier pisze, że nie przeszukują one już wszystkich kombinacjiod „aaaaaaaaaa” po „zzzzzzzzzzz”, lecz wypróbowują wpierwnajbardziej prawdopodobne hasła. Takie prawdopodobne hasła składająsię z rdzenia i dodatku. Rdzeń często jest słowem ze słownika, ajeśli nawet nie, to jest zwykle przynajmniej wymawialny przezczłowieka. Dodatek to przyrostek (90% wypadków) lub przedrostek(10% wypadków). Program, który startował ze słownikiem tysiącapopularnych haseł, testujący je z około setką popularnychprzyrostków, był w stanie złamać jedną czwartą podanych muhaseł po sprawdzeniu raptem 100 tysięcy kombinacji.

Oczywiście mało który łamacz haseł ogranicza się do jednegosłownika. Najlepsze korzystają z dziesiątków takich słowników,zawierających najdziwniejsze nawet kombinacje. Skuteczność takiegopodejścia dowiodło zdarzenie z zeszłego roku, kiedy to jeden zredaktorów serwisu Ars Technica, człowiek bez formalnegowykształcenia w dziedzinie kryptoanalizy, za pomocą powszechniedostępnych narzędzi zajął się listą 16,5 tys. skrótów MD5 dohaseł, odwracając (uzyskując poprawne hasło) dla 47% z nich.Następnie zaprosił do współpracy trzech ekspertów w dziedzinie,by zobaczyć, jak im powiedzie się z podobnym atakiem. Dośćpowiedzieć, że jednemu z nich udało się, używając zwykłegopeceta z kartą graficzną Radeon 7970, złamać 90% haseł w ciągu20 godzin. Inny ekspert w ciągu godziny poradził sobie z 62% haseł.I co najważniejsze, nie były to na pierwszy rzut oka słabe hasła– wśród nich znalazły się takie rodzynki jak Sh1a-labe0uf,@Yourmom69, Philippians4:6-7, BandGeek2014 czyqeadzcwrsfxv1331.

Taki stan rzeczy, według Schneiera, dowodzi, że stara rada zkomiksu XKCD, by jako haseł używać kilku połączonych ze sobąlosowych słów, w stylu correcthorsebatterystaple,nie jest już dobrą radą. Łamacze haseł radzą sobie z niącałkiem dobrze. Wykorzystają do ataku wszystkie informacje, jakiezgromadzone zostaną o ofierze – kody pocztowe, numery telefonów,adresy pocztowe, imiona, często występujące w e-mailach słowa.Wszystko co może zostać użyte do przyspieszenia łamania hasła,zostanie użyte – a wszystko co może zostać zapamiętane przezczłowieka, zostanie zapamiętane.

Została już tylko jedna metodana tworzenie zapamiętywalnych haseł, które są odporne na siłoweataki (jak długo jeszcze?). To schematSchneiera, opisany po raz pierwszy przez autora w 2008 roku.Tworzymy w miarę złożone zdanie, tylko nam znane, a następniewykorzystujemy pierwsze litery poszczególnych słów do utworzeniaciągu – hasła, tak że zdanie *Kiedy miałem 7 lat,siostra wrzuciła mego pluszowego królika do toalety! pozwalawygenerować hasło Km7l,swmpkdt! *Innedobre przykłady takich haseł Schneier podaje tutaj.

A co, jeśli dana aplikacja czyusługa nie przyjmuje haseł ze znakami specjalnymi? Wówczasnajlepiej korzystać z czysto losowych haseł o odpowiedniej długości(nawet 20 i więcej znaków), przechowywanych w menedżerze haseł,takim jak np. PasswordSafe (zaprojektowanym i sprawdzonym osobiście przez samegoSchneiera). Oprócz tego warto przestrzegać trzech rad mistrzakryptografii: nigdy nie używać ważnych haseł ponownie w innychserwisach/usługach, nie przejmować się aktualizacjami haseł(usługi żądające zmiany hasła co np. 90 dni czynić mają więcejszkody niż pożytku) i trzymać się z dala od „pytańpomocniczych”, które mogą tylko ułatwić napastnikowi złamaniehasła.

Mamy nadzieję, że poradyBruce'a Schneiera, człowieka, który zna klucze prywatne ChuckaNorrisa, okażą się dla Was pomocne i pozwolą przetrwaćcyberataki ze strony wszelkiego rodzaju napastników.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (41)