Co ciekawe, okazuje się jednak, że zdefiniowane słabego hasła i tak stanowi znacznie mniejsze zagrożenie niż wielokrotne wykorzystanie tego samego hasła w wielu różnych serwisach. Naukowcy z Florida State University, Cisco oraz Redjack opublikowali właśnie raport, z którego wynika, że hasła, które przetrwały atak metodą słownikową, zwykle nieźle radzą sobie również z próbami złamania ich za pomocą metody brute force.

"Tak naprawdę jest niewiele sytuacji, w których siła hasła ma rzeczywiste znaczenie" - komentuje Matt Weir, specjalista ds. bezpieczeństwa i współautor raportu".

Zobacz również:

• Użytkownicy dalej konfigurują łatwe do odgadnięcia hasła
• Indywidualna kryptografia na dobre uniemożliwi współdzielenie kont na Netflixie?
• Poprawki błędów od Apple - iOS/iPadOS i visionOS zaktualizowane

Fakty i mity

Weir i jego koledzy sprawdzali, czy entropia może być wyznacznikiem siły danego hasła. Bo tak naprawdę w większości współczesnych przypadków, hasła łamie się z wykorzystaniem metod, których podstawą jest odgadywanie popularnych haseł (np. korzystając z rainbow tables). Atak typu brute force - w przypadku którego poziom skomplikowania hasła ma znaczenie - stosuje się znaczniej rzadziej. Zdaniem naukowców, we współczesnej kryptografii niesłusznie przecenia się możliwość łamania słabych haseł. Jednocześnie panuje błędne przekonanie, że złamanie silnych haseł tradycyjnymi metodami jest praktycznie niemożliwe i że są one tym samym absolutnie bezpieczne. Problem w tym, że siła hasła to jeszcze nie wszystko.

Wnioski z tych analiz są następujące: owszem, hasła tradycyjnie uznawane za słabe, czyli składające się z mniej niż 8 znaków i występujące w słownikach, faktycznie można złamać bardzo łatwo. Ale wystarczy je minimalnie zmodyfikować i ich przełamanie stanie zdecydowanie trudniejszym zadaniem.

"Wykazaliśmy, że sesje łamania haseł startują dość sprawnie, podobnie jak wszelkie inne ataki, i na tym etapie łatwe do odgadnięcia hasła są szybko ujawniane. Ale po wyczerpaniu ich puli sprawność tego procesu gwałtownie spada. Niestety, to oznacza, że znaczna część użytkowników - ci, którzy korzystają z najmniej bezpiecznych haseł - jest narażona na proste internetowe ataki" - napisano w dokumencie.

Paradoks silnego hasła

Badacze twierdzą też, że silne hasła nie na wiele się zdadzą, jeśli administrator serwisu, który je przechowuje, nie zadba o odpowiednie zabezpieczenie bazy danych (analizy ataku na Sony Pictures wykazały, że hasła w ogóle nie były szyfrowane). Wtedy przestępcy mogą je łatwo przechwycić w postaci otwartego tekstu i na nic zdadzą się wysiłki użytkownika by uczynić hasło trudnym do złamania.

W takiej sytuacji o wiele lepiej sprawdza się posiadanie unikalnych - nawet niespecjalnie skomplikowanych - haseł do każdego serwisu niż używanie tego samego, silnego hasła na wielu stronach. W razie przeprowadzenia skutecznego ataku użytkownik musi wtedy zmienić tylko jedno hasło w jednym serwisie. Jeśli stosował wszędzie to samo hasło (nawet jeśli było ono sile), będzie musiał zmienić je na wszystkich odwiedzanych stronach.

Niestety, mało kto stosuje taką taktykę - analiza haseł, które wyciekły z Gawkera, wykazała, że 76% użytkowników tego serwisu używała w co najmniej kilku miejscach tego samego hasła. Co więcej - 67% użytkowników, którzy korzystali zarówno z serwisu Gawker, jak i Sony Pictures, w obu przypadkach używało tej samej kombinacji hasła i loginu.

Problem jest poważny i trudno tu stosować inne metody zapobiegawcze niż edukowanie użytkowników. Do korzystania z silnych haseł można użytkowników zmusić bez większego problemu - wystarczy wymusić pewne parametry hasła definiowanego przy zakładaniu konta. A zablokowanie możliwość wykorzystywania tego samego hasła w wielu serwisach jest praktycznie niemożliwe...