Hasła do poprawki: Bruce Schneier radzi, jak zabezpieczyć się w naszych czasach

Hasła do poprawki: Bruce Schneier radzi, jak zabezpieczyć się w naszych czasach26.02.2014 15:44

Pomimo poszukiwań alternatywnych dla haseł metoduwierzytelniania, wciąż zdecydowania większość użytkownikówkorzysta właśnie z nich, i pewnie nie zmieni się to jeszcze przezkilka lat. Zmieniają się jednak narzędzia stosowane do łamaniahaseł, rośnie też moc obliczeniowa dostępna tym, którzy mogąsobie pozwolić na siłowe ich łamanie. Źle to wróżybezpieczeństwu wszystkich tych, którzy wykorzystują hasła ozłożoności takiej samej, jakie stosowało się 10 lat temu, niemówiąc już o niezliczonych milionach tych, dla których „123456”wygląda na całkiem dobre hasło. Co więc robić? Z pomocąprzychodzi Bruce Schneier, nasz ulubiony kryptograf, by pouczyćrzesze internautów, jak naprawdę powinno wyglądać dobre hasło nanasze czasy.

Przede wszystkim należy sobie uzmysłowić, jak skuteczne są dziśnarzędzia do łamania haseł, którymi dysponuje policja czyzawodowi crackerzy. „Zgadywanie” haseł to dziś proces, któryłatwo się paralelizuje, który można uruchamiać na wielumaszynach jednocześnie, przez tyle czasu, ile tylko potrzeba. Jedenz najlepszych takich łamaczy kodów, oclHashcat-plus,potrafi przetestować do ośmiu milionów haseł na sekundę, tj.ponad 691 miliardów haseł w ciągu doby. Jak wyjaśnia BruceSchneier, takie łamacze haseł mogą pracować miesiącami, gdy wgrę wchodzą ważne sprawy kryminalne.

Takiemu łamaczowi haseł poradzenie sobie z 6-znakowym ciągiemliter (ok. 309 mln kombinacji) zajmie niespełna 40 sekund. 8-znakowyciąg liter to już niespełna 209 mld kombinacji, którychsprawdzenie zajmie ok. ośmiu godzin. Jeśli oprócz literwykorzystamy cyfry, to liczba kombinacji wyniesie ok. 2,8 bln, czylijakieś cztery dni pracy oclHashcata-plus. Zastosowanie dużych imałych liter to już 218 bilionów kombinacji, a więc około 315dni pracy łamiącej hasła. Można śmiało założyć, żeinstytucjonalny napastnik będzie dysponował wieloma takimimaszynami i wykorzysta je do równoległego ataku. Można też śmiałozałożyć, że nie dotyczy to tylko policji czy innych służb –dzięki rosnącej popularności wyliczania kryptowalut nie jesttrudno znaleźć ludzi, którzy dysponują dziesiątkami, a nawetsetkami procesorów graficznych.

Co więcej, narzędzia crackujące hasła są coraz sprytniejsze,stosując liczne sztuczki, by zwiększyć swoją efektywność.Schneier pisze, że nie przeszukują one już wszystkich kombinacjiod „aaaaaaaaaa” po „zzzzzzzzzzz”, lecz wypróbowują wpierwnajbardziej prawdopodobne hasła. Takie prawdopodobne hasła składająsię z rdzenia i dodatku. Rdzeń często jest słowem ze słownika, ajeśli nawet nie, to jest zwykle przynajmniej wymawialny przezczłowieka. Dodatek to przyrostek (90% wypadków) lub przedrostek(10% wypadków). Program, który startował ze słownikiem tysiącapopularnych haseł, testujący je z około setką popularnychprzyrostków, był w stanie złamać jedną czwartą podanych muhaseł po sprawdzeniu raptem 100 tysięcy kombinacji.

Oczywiście mało który łamacz haseł ogranicza się do jednegosłownika. Najlepsze korzystają z dziesiątków takich słowników,zawierających najdziwniejsze nawet kombinacje. Skuteczność takiegopodejścia dowiodło zdarzenie z zeszłego roku, kiedy to jeden zredaktorów serwisu Ars Technica, człowiek bez formalnegowykształcenia w dziedzinie kryptoanalizy, za pomocą powszechniedostępnych narzędzi zajął się listą 16,5 tys. skrótów MD5 dohaseł, odwracając (uzyskując poprawne hasło) dla 47% z nich.Następnie zaprosił do współpracy trzech ekspertów w dziedzinie,by zobaczyć, jak im powiedzie się z podobnym atakiem. Dośćpowiedzieć, że jednemu z nich udało się, używając zwykłegopeceta z kartą graficzną Radeon 7970, złamać 90% haseł w ciągu20 godzin. Inny ekspert w ciągu godziny poradził sobie z 62% haseł.I co najważniejsze, nie były to na pierwszy rzut oka słabe hasła– wśród nich znalazły się takie rodzynki jak Sh1a-labe0uf,@Yourmom69, Philippians4:6-7, BandGeek2014 czyqeadzcwrsfxv1331.

Taki stan rzeczy, według Schneiera, dowodzi, że stara rada zkomiksu XKCD, by jako haseł używać kilku połączonych ze sobąlosowych słów, w stylu correcthorsebatterystaple,nie jest już dobrą radą. Łamacze haseł radzą sobie z niącałkiem dobrze. Wykorzystają do ataku wszystkie informacje, jakiezgromadzone zostaną o ofierze – kody pocztowe, numery telefonów,adresy pocztowe, imiona, często występujące w e-mailach słowa.Wszystko co może zostać użyte do przyspieszenia łamania hasła,zostanie użyte – a wszystko co może zostać zapamiętane przezczłowieka, zostanie zapamiętane.

Została już tylko jedna metodana tworzenie zapamiętywalnych haseł, które są odporne na siłoweataki (jak długo jeszcze?). To schematSchneiera, opisany po raz pierwszy przez autora w 2008 roku.Tworzymy w miarę złożone zdanie, tylko nam znane, a następniewykorzystujemy pierwsze litery poszczególnych słów do utworzeniaciągu – hasła, tak że zdanie *Kiedy miałem 7 lat,siostra wrzuciła mego pluszowego królika do toalety! pozwalawygenerować hasło Km7l,swmpkdt! *Innedobre przykłady takich haseł Schneier podaje tutaj.

A co, jeśli dana aplikacja czyusługa nie przyjmuje haseł ze znakami specjalnymi? Wówczasnajlepiej korzystać z czysto losowych haseł o odpowiedniej długości(nawet 20 i więcej znaków), przechowywanych w menedżerze haseł,takim jak np. PasswordSafe (zaprojektowanym i sprawdzonym osobiście przez samegoSchneiera). Oprócz tego warto przestrzegać trzech rad mistrzakryptografii: nigdy nie używać ważnych haseł ponownie w innychserwisach/usługach, nie przejmować się aktualizacjami haseł(usługi żądające zmiany hasła co np. 90 dni czynić mają więcejszkody niż pożytku) i trzymać się z dala od „pytańpomocniczych”, które mogą tylko ułatwić napastnikowi złamaniehasła.

Mamy nadzieję, że poradyBruce'a Schneiera, człowieka, który zna klucze prywatne ChuckaNorrisa, okażą się dla Was pomocne i pozwolą przetrwaćcyberataki ze strony wszelkiego rodzaju napastników.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na