Bezpieczeństwo: Silne hasło to jeszcze za mało
- Antoni Steliński,
- 13.07.2011, godz. 08:45
Co łączy serwisy internetowe Sony Pictures, Gawker oraz RockYou? Głównie to, że wszystkie stały się ostatnio celami ataków hakerskich, podczas których wykradziono dane (w tym hasła) użytkowników. Po każdym z tych ataków owe hasła zostały później udostępnione w Internecie i przeanalizowane. Wniosek z tych analiz jest jeden - zdecydowana większość użytkowników korzysta z naprawdę kiepskich haseł.
Polecamy:
"Tak naprawdę jest niewiele sytuacji, w których siła hasła ma rzeczywiste znaczenie" - komentuje Matt Weir, specjalista ds. bezpieczeństwa i współautor raportu".
Zobacz również:
- Użytkownicy dalej konfigurują łatwe do odgadnięcia hasła
- Indywidualna kryptografia na dobre uniemożliwi współdzielenie kont na Netflixie?
- Poprawki błędów od Apple - iOS/iPadOS i visionOS zaktualizowane
Fakty i mity
Weir i jego koledzy sprawdzali, czy entropia może być wyznacznikiem siły danego hasła. Bo tak naprawdę w większości współczesnych przypadków, hasła łamie się z wykorzystaniem metod, których podstawą jest odgadywanie popularnych haseł (np. korzystając z rainbow tables). Atak typu brute force - w przypadku którego poziom skomplikowania hasła ma znaczenie - stosuje się znaczniej rzadziej. Zdaniem naukowców, we współczesnej kryptografii niesłusznie przecenia się możliwość łamania słabych haseł. Jednocześnie panuje błędne przekonanie, że złamanie silnych haseł tradycyjnymi metodami jest praktycznie niemożliwe i że są one tym samym absolutnie bezpieczne. Problem w tym, że siła hasła to jeszcze nie wszystko.
Wnioski z tych analiz są następujące: owszem, hasła tradycyjnie uznawane za słabe, czyli składające się z mniej niż 8 znaków i występujące w słownikach, faktycznie można złamać bardzo łatwo. Ale wystarczy je minimalnie zmodyfikować i ich przełamanie stanie zdecydowanie trudniejszym zadaniem.
"Wykazaliśmy, że sesje łamania haseł startują dość sprawnie, podobnie jak wszelkie inne ataki, i na tym etapie łatwe do odgadnięcia hasła są szybko ujawniane. Ale po wyczerpaniu ich puli sprawność tego procesu gwałtownie spada. Niestety, to oznacza, że znaczna część użytkowników - ci, którzy korzystają z najmniej bezpiecznych haseł - jest narażona na proste internetowe ataki" - napisano w dokumencie.
Paradoks silnego hasła
Badacze twierdzą też, że silne hasła nie na wiele się zdadzą, jeśli administrator serwisu, który je przechowuje, nie zadba o odpowiednie zabezpieczenie bazy danych (analizy ataku na Sony Pictures wykazały, że hasła w ogóle nie były szyfrowane). Wtedy przestępcy mogą je łatwo przechwycić w postaci otwartego tekstu i na nic zdadzą się wysiłki użytkownika by uczynić hasło trudnym do złamania.
W takiej sytuacji o wiele lepiej sprawdza się posiadanie unikalnych - nawet niespecjalnie skomplikowanych - haseł do każdego serwisu niż używanie tego samego, silnego hasła na wielu stronach. W razie przeprowadzenia skutecznego ataku użytkownik musi wtedy zmienić tylko jedno hasło w jednym serwisie. Jeśli stosował wszędzie to samo hasło (nawet jeśli było ono sile), będzie musiał zmienić je na wszystkich odwiedzanych stronach.
Niestety, mało kto stosuje taką taktykę - analiza haseł, które wyciekły z Gawkera, wykazała, że 76% użytkowników tego serwisu używała w co najmniej kilku miejscach tego samego hasła. Co więcej - 67% użytkowników, którzy korzystali zarówno z serwisu Gawker, jak i Sony Pictures, w obu przypadkach używało tej samej kombinacji hasła i loginu.
Problem jest poważny i trudno tu stosować inne metody zapobiegawcze niż edukowanie użytkowników. Do korzystania z silnych haseł można użytkowników zmusić bez większego problemu - wystarczy wymusić pewne parametry hasła definiowanego przy zakładaniu konta. A zablokowanie możliwość wykorzystywania tego samego hasła w wielu serwisach jest praktycznie niemożliwe...