Walka z hasłem

Jak już wcześniej wspomniano, hasła często dają jedynie pozorne poczucie bezpieczeństwa. Istnieje wiele zagrożeń, na które mechanizmy uwierzytelniania wieloelementowego są znacznie mniej podatne. Do najczęściej występujących zagrożeń możemy zaliczyć przechwytywanie i łamanie haseł. Przejęcie hasła może nastąpić na różnych etapach cyklu życia hasła.

U administratorów rolę żółtych karteczek pełnią często pliki tekstowe, arkusze Excel itp. przechowywane w postaci niezaszyfrowanej. Nie jest więc potrzebny żaden szczególny wysiłek, aby je przechwycić. Bardzo często zdarza się też, że tworzone są tzw. hasła powitalne - tzn. przypisywane do nowego konta domyślnie (np. dla kont serwisowych hasło startowe to "witaj.serwis"). Teoretycznie hasła te powinny być zmieniane już po pierwszym użyciu. W praktyce proces zakładania konta szwankuje i zapomina się o wymuszaniu zmiany hasła, albo brakuje mechanizmów kontroli jakości zmienianego hasła - nierzadko zmienia się hasło na to samo.

Kolejny problem to przesyłanie haseł - zarówno do systemu, do którego ma nastąpić uwierzytelnienie, jak i pomiędzy administratorami/użytkownikami.

Na każdym etapie transmisji istnieje ryzyko podsłuchania hasła. Może to nastąpić chociażby na poziomie wpisywania hasła "dzięki" obecności keyloggera. Bardzo często pojawiają się narzędzia, które kuszą użytkownika licznymi funkcjami, ale w rzeczywistości ich podstawowym zadaniem jest kradzież danych uwierzytelniania. Do tego dochodzi przesyłanie haseł protokołami, które domyślnie lub w ogóle nie pozwalają na szyfrowanie transmisji. Standardowo to telnet (nadal stosowany w wielu urządzeniach sieciowych), FTP czy poczta. Skuteczną techniką sniffingu jest stare dobre "wiszenie nad głową" oraz różne socjotechniki.

Jeżeli czegoś nie da się podsłuchać, można to próbować złamać… Tutaj mamy do dyspozycji przynajmniej kilka technik i kilkaset narzędzi, które ułatwiają to zadanie.

Do najpopularniejszych ataków tego typu należą ataki słownikowe, oparte na przygotowanych wcześniej bazach słów lub zwrotów - ostatnio modna jest baza danych tzw. haseł mnemonicznych. Jest to najszybsza metoda odgadywania haseł, jednocześnie jednak wymagająca od łamiącego posiadania wielogigabajtowej bazy odpowiednich słów.