Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Bezpieczne hasło - czy aby na pewno?

[color=#6fac1a]Wstęp
Na wstępie chciałbym się przywitać, bo będzie to mój debiut na blogu, a więc Witam i zapraszam do lektury :)

Dobrze wiemy, że jedynym zabezpieczeniem naszych dóbr w sieci jest hasło. Używamy je wszędzie, podczas logowania się do poczty, komunikatorów, portali społecznościowych, czy serwisów informacyjnych. Przykładów można by wymieniać całe mnóstwo, lecz to nie jest tematem tego wpisu. To co chciałbym przedstawić dotyczy łamania, a raczej odgadnięcia hasła, jego budowa oraz zabezpieczenia. A więc zaczynamy!

[color=#6fac1a]Hasło
Hasło to nic innego jak ciąg znaków. Może się składać z liter różnych wielkości, cyfr, znaków specjalnych czy znaków interpunkcyjnych. Zwykle hasło może mieć od 4 do 20 znaków, ale kombinacji jest dużo dużo więcej.

r   e   k   l   a   m   a

Zwykły kod PIN (np. w bankomacie podczas wypłacania pieniędzy) który zawiera tylko cztery cyfry, posiada zaledwie 10 znaków w zbiorze, a sama liczb kombinacji wynosi 10.000. W przypadku najprostrzego hasła składającego się z 8 małych liter, znaków w zbiorze mamy już 26, a samych kombinacji 200 miliardów (2*10^11). Przy 16 znakowym haśle możliwości jest 40 tryliardów (4*10^22). Poniższa tabela zgrabnie pokazuje ile jest możliwości w pozostałych przykładach.

[color=#6fac1a]Przykłady haseł
Ostatnio w internecie pojawiła się lista 25 najgorszych haseł stosowanych w Internecie autorstwa firmy SplashData z Kalifornii. Nie dziwią już takie hasła jak password, 123456, qwerty, abc123 itp., a osoba używająca ich mówiąc krótko daje się odstrzelić na pierwszy ogień. Zazwyczaj konta z takimi hasłami nie są poddawane odhashowywaniu hasła, np. poprzez strzelenie w ciemno takich haseł. Przyznam się osobiście, że jeśli mi na jakimś koncie zależy jak na zeszłorocznym śniegu, to wpisuję banalne hasło, byle było łatwe do wpisania i zapamiętania. Jeśli jednak żadne z łatwych haseł nie pasuje, następnym krokiem będzie zdobycie hashu hasła, jeśli mamy dostepy do baz danych tj. MySQL to sprawa jest prosta, ale jeżeli nie mamy czegoś takiego, to można się pobawić w wyższą szkołę jazdy, ale niestety nie miejsce tutaj na takie rozmowy :) Pod zdobyciu zakodowanego hasła można spróbować swoich sił w internecie - ale nie radzę (dla testów) wpisywać swojego hasła, gdyż takie stronki lubią zapisywać hashe waszych haseł na swoich serwerach i wtedy do tragedi jest blisko - kolejnym krokiem będzie zabawa ze specjalnymi programami do łamania haseł metodą Brute Force, czyli szukaniu takiego samego hasła którego hash odpowiada szukanemu. Po zapoznaniu się z działaniem takiego programu, możemy rozpocząć szukanie naszego 'tajnego' hasła.

Hasła typu 123456 czy abc123 można rozszyfrować w mniej niż 5 sekund, zaś password udaje się w ok. cztery minuty (tylko ze względu na swoją długość). Oczywiście czym dłuższe hasło tym czas szukania jest dłuższy, ale i tak czas oczekiwania będzie o wiele krótszy niż podczas odhashowywania hasła zbudowanego z innych znaków tj. cyfry czy znaki specjalne. Lecz nawet łatwe hasła lepiej zbudowane można w miarę szybko odszukać. Abc!23 da się złamać w niecałe 10 minut, Johny119 ok. 2 dni, zaś 1qazXSW@ zajmie nawet 3 miesiące. To zawsze coś, lecz niestety nie ma skutecznej metody na nieodnalezienie szukanej frazy, bo nawet najbardziej złożone można kiedyś złamać, chociaż oczekiwanie na odnalezienie może przewyższyć okres naszego żywota. Czas oczekiwania będzie się skracał gdy parametry sprzętowe pozwolą na lepszą moc obliczeniową, bądź połączone przez sieć, która pozwoli powiekszyć moc różnych komputerów z całego świata.

[color=#6fac1a]Opis i funkcje programu do łamania
Czasy przedstawione powyżej, opierają się na programie używanym przeze mnie. Do tego testu użyłem IgHashGPU. Łatwy i prosty programik który używa moc obliczeniową procesora karty graficznej. Obsługuje się go z poziomu interpretera poleceń cmd, a do poprawnego uruchomienia potrzeba kilku parametrów. Przytoczę tutaj najważniejsze:

-c:[csdepa] - Budowa hasła, każda literka oznacza kolejno: duże litery, małe litery (domyślne), cyfry, znaki specjalne, spacje, wszystko.
-h:[hasło] - Zahashowane hasło
-t:[typ] Typ hasła np. md4, sha1, md5, md5x2 (md5(md5($hasło)) itd.
-min:[liczba] - Minimalna liczba znaków w haśle które chcemy znaleźć
-max:[liczba] - Maksymalna liczba znaków w haśle które chcemy znaleźć
-salt:[hex], -asalt lub -usalt - Tzw. sól dorzucana do łamanego hasła w postaci znaków HEX, ASCII lub Unicode
-uf:[ścieżka] - Ścieżka do pliku z zawartym charsetem.

A to jest przykład linijki z parametrami, by uruchomić program:

ighashgpu.exe -h:25084b4ff3e618ee43739b195ed3d447 -t:md5 -c:csde -min:8 -max:15

Oczywiście jest więcej takich programów: HashCat, BarsWF MD5, Tęczowe tablice czy JohnTheRipper. Każdy ma swój styl działania, jeden szybszy, drugi wolniejszy, ale zawsze dotrze do celu.

[color=#6fac1a]Zabezpieczenia
Zbudować dobre hasło wcale nie jest trudno, można je złożyć np. z liter bądź cyfr coś dla nas znaczących, pomieszane z jakimiś znakami interpunkcyjnymi lub specjalnymi. W taki sposób można wyeliminować w jakimś stopniu problem zapomnienia hasła.

Nie należy używać tego samego hasła wszędzie. Dobrym pomysłem jest utworzenie haseł dla poszczególnych grup kont np. dla komunikatorów, stron informacyjnych, portali społecznościowych, hobby, oraz uniwersalne. Daje to bezpieczeństwo, że dane hasło w przypadku kradzieży może zostać użyte tylko w danej grupie, a nie wszędzie.

Należy uważać na niepewne serwisy które mogą w ogóle nie hashować haseł, bądź zbierać je dla osób trzecich. Nie należy podawać żadnych haseł w mailach podających się np. jako banki czy serwisy społecznościowe.

Nie wskazane jest zapisywanie haseł w komputerze, czy na kartkach do których mogą dostać się niepowołane osoby. Trzymanie haseł w portfelu też nie jest dobrym pomysłem, gdyż po stracie portfela można stracić wszystko, albo jeszcze więcej.

Wpisując hasła przy kimś, zróbmy to tak by utrudnić patrzenie na klawiaturę, bądź poprosić taką osobę o odwrócenie się. A po zakończeniu działań, wylogować się. Nigdy nie wiemy czy ten nasz dobry znajomy czy kumpel nie wykorzysta tego do niecnych celów.

[color=#6fac1a]Zakończenie
Myślę, że tym wpisem uświadomię chociaż jedną osobę do tego, że robi błąd i jest w sieci zagrożony. Dobre hasło to zabezpieczenie swojej reputacji w Internecie i na pewno złamanie dobrze zbudowanego hasła będzie w pewnym stopniu utrudnione, lecz niestety nie niemożliwe. Radzę okresowo zmieniać swoje hasła, co na pewno nie zaszkodzi bezpieczeństwu naszym kontom, a może kiedyś je uchronić od dziwnych zdarzeń.

Tym wpisem nie chcę promować łamania haseł, bo jest to złe. Jeżeli natrafimy na odpowiednie osoby które wiedzą i udowodnią, że została naruszona ich prywatność mogą odwiedzić najbliższy posterunek policji, który może załagodzić Wasze niecne wybryki. Pamiętajmy, że internet nie jest bezkarny i nie można robić w nim co się żywnie podoba, a każdy zły czyn można zastopować lub zniwelować. 

Komentarze