Hasła – 6 najczęściej popełnianych błędów

Na wstępie musimy zaznaczyć, że nie ważne, jak dobre zabezpieczenia będą miały systemy informatyczne, jeśli człowiek będzie zbyt leniwy, by samemu się zabezpieczyć. To nam samym najbardziej powinno zależeć na naszym bezpieczeństwie.

W tym wpisie zajmiemy się zagadnieniem, jakich haseł nie tworzyć i dlaczego.

1. Po pierwsze – hasła dla leniwców

Jak pokazują dane zbierane od 2012 roku przez firmę SplashData’s: prawie połowa haseł, które udało się ustalić (głównie poprzez wycieki danych do sieci) to wyrażenia typu: “123456” lub “password”. Ponadto w pierwszej 20 najczęściej używanych haseł znajdziemy: “12345678”, “qwerty”, “12345”, “123456789”, “football”, “1234”, “baseball”, “welcome”, “1234567890”, “abc123”, “111111” czy “1qaz2wsx”. Jak łatwo zauważyć, są to hasła, które można odgadnąć bez jakiegokolwiek wysiłku. Nowsze edycje podobnych badań pokazują, że problem ten nadal jest duży – tzn. wciąż większość z nas pozostaje „leniwcami”.

Jak użytkownik, który nie poświęcił nawet chwili, żeby wymyślić swoje hasło może czuć się bezpiecznie – nie wiem – zwłaszcza, że często tak właśnie wyglądają hasła do skrzynek pocztowych, poprzez które możemy uzyskać dostęp do wszystkich serwisów, w których mamy konto!

Można być niemalże pewnym, że potencjalny włamywacz pierwszego czego użyje, by złamać nasze zabezpieczenia, to wyrażenia ze słownika 500 najbardziej popularnych haseł w internecie, by sprawdzić, czy w ogóle musi się wysilać – czy sami udostępnimy mu interesujące dane. Dopiero, gdy ta metoda zawiedzie, lub ma uzasadnione przekonanie, że to byłoby zbyt proste – będzie szukał bardziej szczegółowych informacji.

2. Dane dla nas charakterystyczne

Drugą grupą najczęściej używanych haseł są te dotyczące naszej osoby. Często jest tak, że PIN do karty kredytowej to po prostu data naszych urodzin lub urodzin kogoś nam bliskiego. W erze internetu, gdzie datę urodzin może zdobyć praktycznie każdy – nawet jeśli sami jej nie udostępniamy, to wchodząc na znany wszystkim portal z twarzą w nazwie i przeglądając naszą tablicę bardzo łatwo możemy znaleźć wpisy z życzeniami urodzinowymi. Określenie daty ich powstania jest równie łatwe. Nie jest to więc mocne zabezpieczenia.

Inną popularną metodą jest używanie imienia, ksywki lub nazwiska swojego albo kogoś z bliskich – te informacje również łatwo znaleźć śledząc wpisy w social media.

Nawet jeśli uważasz, nie masz profilu w mediach społecznościowych – co z tego, że Twoją ksywkę znają tylko najbliższe Ci osoby, skoro one też mogą być skore do “sprawdzenia danych” swoich przyjaciół. Nie chciałbym przez to popadać w paranoje, ale jak pokazują dane statystyczne – pod wpływem emocji człowiek robi różne rzeczy, a niektórych później żałuje. Lepiej po prostu nie kusić losu.

3. Nazwy słownikowe: przedmiotów, czynności

Jeśli jednak osoba, której zależy na naszych informacjach – nie zna nas osobiście i nie zna naszych bliskich, a lista najbardziej popularnych haseł zawiodła, do dyspozycji pozostają ataki słownikowe.

Polegają one na skanowaniu słowników różnych języków (głównie używany jest język angielski oraz język ojczysty osoby hakowanej, ale nie ma przeszkód użycia innych danych) i kolejnym przenoszeniu ich w pole hasła.

Oczywiście jeśli miałby to człowiek wykonywać ręcznie, całość trwałaby bardzo długo i byłaby nieefektywna. Jednakże dzięki znajomości programowania jesteśmy w stanie w 5 minut napisać program, który będzie podstawiał za hasło dowolny rekord ze słownika.

W powszechnym języku, którym posługuje się nasz naród zawiera do 10 000 słów (jak podaje Rada Języka Polskiego). Natomiast wielki słownik ortograficzny PWN to zbiór 140 000 słów. Przy wykorzystaniu programu, który jest w stanie sprawdzić tylko 15 haseł na sekundę (co jest śmieszną liczbą jeśli chodzi o możliwości operacyjne) – żeby sprawdzić cały słownik ortograficzny PWN – wystarczą 2 godziny i 39 minut (przy programie, który ma wydajność 100 haseł na sekundę wystarczą 23 minuty – a to wciąż nie jest nawet jedna dziesiąta możliwości). A trzeba pamiętać, że wydajność takich ataków wzrasta wraz ze wzrostem mocy obliczeniowych urządzeń wykorzystywanych przez napastników!

Z tego powodu używanie zwykłych wyrazów jako hasło nie jest najlepszym rozwiązaniem.

4. Hasła słabe

Słabe hasła to kolejny łatwy do sforsowania punkt naszych zabezpieczeń. Jeśli nasze hasło nie znajduje się na liście 500 najgorszych, ani nie jest słowem z języka, kolejną metodą do jego określenia jest brutalny atak – w tym przypadku sprawdzamy kolejno wszystkie łańcuchy znaków o określonej długości. Jak pokazują statystyki opublikowanych list z hasłami, średnia ich długość wynosi mniej niż 6 znaków.

Przy założeniu wydajności 100 operacji na sekundę, jeśli użytkownik używa w haśle tylko pięciu małych liter (dostępnych na klawiaturze) sprawdzenie wszystkich kombinacji zajmie komputerowi maksymalnie półtorej dnia, a to tylko przy założeniu, że ostatni wygenerowany ciąg będzie prawidłowym (z dystrybuanty rozkładu normalnego należałoby się spodziewać raczej, że po około 20 godzinach uzyskamy dostęp). Co prawda przy 6 literowym haśle czas wykonania tego ataku trwa ponad miesiąc, ale założenie naszej wydajności nie jest zbyt wygórowane, dlatego nasze kalkulacje traktowałbym raczej jako górną granicę, niż normę.

Oczywiście warto zwrócić tu uwagę na fakt, że większość stron posiada już zabezpieczenia przed takimi atakami i zablokuje dostęp do strony logowania przy częstych próbach zakończonych niepowodzeniem. Jednakże zdarzają się jeszcze serwisy, które owych zabezpieczeń nie posiadają – w nich jedynym ograniczeniem będzie przepustowość systemu logowania.

5. Wszędzie takie same hasło

Częstym błędem popełnianym przez osoby, których hasło jest wyszukane i spełnia zasady dobrego hasła (zob. Hasła – porady, praktyczne wskazówki) jest używanie go dla każdej strony i w każdym systemie logowania.

Nie trzeba bardzo się interesować bezpieczeństwem w sieci, żeby dochodziło do nas coraz więcej informacji o wyciekach danych z baz różnych firm (w tym również danych dotyczących użytkowników – razem z ich hasłami i loginami). Jako użytkownicy nie jesteśmy w stanie temu zapobiec i możemy mieć tylko nadzieje, że firmy posiadające informacje o nas rzetelnie wypełniają swoje obowiązki dotyczące zabezpieczenia zbiorów. Jednak nawet tacy giganci jak HBO czy Google nie zawsze są w stanie odeprzeć atak.

W takim wypadku osoba o niecnych intencjach znajdując w jakimś wycieku nasze dane może spróbować użyć ich do logowania w innych portalach – często z pozytywnym skutkiem.

6. Generatory haseł (i ich przechowywanie)

Na koniec warto zwrócić jeszcze uwagę na używanie generatorów haseł. Nie ma w tym nic złego, a nawet można uznać, że takie hasła w większości przypadków będą silniejsze od naszych, zwłaszcza jeśli dodamy do nich jeszcze coś od siebie. Trzeba jednak zwrócić uwagę, że hasło ma nam pozwolić na dostęp – czyli musimy je zapamiętać, a to w przypadku ciągów, które wyglądają tak: “śg/Wuć’śn}Mng” może nie być łatwe.

Wiele spośród osób, które używają generatorów zapisują dane do logowania na karteczce ulokowanej w pobliżu komputera, co sprawia, że dobre hasła nie spełniają swojej podstawowej funkcji – nie są prywatne, bo każdy, kto nas odwiedzi ma do nich dostęp (a czasami wystarczy rozmowa na Skypie, albo zdjęcie udostępnione w mediach społecznościowych).

Przypomina to osoby, które w portfelu z kartą kredytową trzymają karteczkę, na której znajduje się przypisany do niej PIN. W takiej sytuacji wystarczy zgubić portfel, aby pozbyć się oszczędności – niejako na własne życzenie.

Podsumowując – niestety, często to człowiek jest najsłabszym ogniwem systemu zabezpieczeń, będąc zbyt leniwym, by należycie zadbać o swoje dane przechowywane w internecie.

W następnych artykułach z cyklu poświęconego hasłom, przyjrzymy się jak skonstruować dobre hasła, które trudno złamać oraz w jaki sposób bezpiecznie je przechowywać.

Autor: Wawrzyniec Ordziniak

ZOBACZ RÓWNIEŻ:

Hasła – porady, praktyczne wskazówki

Hasła – przechowywanie

Poradnik cyberbezpieczeństwa cz.4 – Keylogger