Jak sprawdzić zabezpieczenia?

Najczęściej stosowanym testem penetracyjnym jest symulowanie ataku z zewnątrz, przez sieć Internet. Pierwszym zadaniem jest rozpoznanie sieci...
pobierz »

Pięć najczęstszych błędów przy tworzeniu haseł

15 marca 2010

PC World —

Zobacz też:

Czy twoje hasło też brzmi: "hasło"? Brak hasła administratora (Windows XP Home Edition) 33% internautów korzysta tylko z jednego hasła Policja przypomina: Podglądanie cudzych e-maili to przestępstwo Jak włamać się do komputera Bezpieczeństwo na Facebooku: Koobface i przejęcie grup Zmień hasło w ruterze, albo załatwi go Chuck Norris (z półobrotu) Cyber-szpieg mimo woli KeePass Password Safe bezpiecznie przechowuje hasła, grupując je na przejrzyste kategorie.

Konto w banku internetowym, sklepie online, skrzynka poczty elektronicznej, konto w internetowym domu aukcyjnym lub inne serwisy online - hasła są potrzebne na każdym kroku. To irytuje i nakłania do stosowania wszędzie tego samego hasła. Właśnie tak postępuje wielu internautów, popełniając niniejszym jeden z najczęstszych błędów. Jest on doskonale znany cyberprzestępcom, którzy wykorzystują go w bezlitosny sposób.

Abyś nie padł ich ofiarą, przygotowaliśmy zestawienie pięciu najgorszych błędów, które mogą ci się przydarzyć, gdy będziesz potrzebował nowego hasła.

Ponadto znajdziesz poniżej rady opisujące, jak tworzyć bezpieczne hasła i jak nimi zarządzać w wygodny sposób za pomocą bezpłatnego programu.

Błąd 1 - hasło jest zbyt krótkie, więc można je szybko złamać

Internauci wybierają często krótkie hasła, bo są łatwiejsze do zapamiętania. Jednak większa wygoda bardzo negatywnie odbija się na bezpieczeństwie. Przykładowe obliczenie unaocznia, jak długo hasło wytrzymuje atak siłowy. Takim mianem określa się procedurę, w której program usiłuje odgadnąć hasło, wypróbowując po kolei wszystkie możliwe kombinacje. Przypuśćmy, że długość hasła wynosi 6 znaków i składa się ono tylko z małych liter. Oznacza to, że wchodzi w rachubę 26 znaków, co przy podanej długości hasła daje w wyniku 308 915 776 kombinacji (26 do potęgi 6). Wydaje się, że to ogromna liczba. Tymczasem nowoczesny komputer z szybkim procesorem jest w stanie złamać takie hasło w ciągu zaledwie 10 sekund!

Zalecenie. Bezpieczne hasło powinno składać się co najmniej z ośmiu znaków, a ponadto zawierać wielkie i małe litery. Do złamania takiego hasła za pomocą ataku siłowego potrzeba mniej więcej dwóch miesięcy. Wydłużenie hasła o choćby jeden znak i stosowanie znaków innego typu (cyfr, znaków interpunkcyjnych i innych znaków specjalnych oprócz małych i wielkich liter) wielokrotnie zwiększa czas wymagany do jego ustalenia metodą polegającą na wypróbowywaniu wszelkich możliwych kombinacji.

Jeżeli zamierzasz używać hasło za granicą, zrezygnuj z używania znaków specjalnych w haśle (przynajmniej tymczasowo) lub przynajmniej zasięgnij z góry informacji, jakimi skrótami klawiaturowymi wpisuje się je na obcojęzycznych klawiaturach.

Błąd 2 - hasło jest zbyt proste, więc można je odgadnąć

Po skopiowaniu pliku języka trzeba włączyć polski interfejs. Hasło jest zbyt łatwe do odgadnięcia, gdy składa się z jednego słowa, które występuje w słowniku (dowolnego języka). Długość hasła odgrywa w tym wypadku drugoplanową rolę. Najprostszą metodą łamania haseł jest tzw. atak słownikowy. Zasada jego działania jest podobna do ataku siłowego, z tym że zamiast wszystkich możliwych kombinacji z wybranego zakresu znaków narzędzie wypróbowuje kolejno wszystkie wyrazy zawarte w określonym pliku słownika. Nawet pecet o przeciętnej wydajności nie potrzebuje wiele czasu, aby przerobić cały słownik średniej objętości.

W takim pliku słownika można umieścić nie tylko zwyczajne wyrazy, lecz także listę liczb. Dlatego nie zaleca się obierać za hasło daty urodzin. Równie proste do złamania są hasła utworzone wg określonego wzorca. Unikaj więc ciągów znaków takich jak 12345 czy qwerty, lecz również abcdef.

Przykład. Jeden z pracowników serwisu społecznościowego Twitter chciał zabezpieczyć swój profil hasłem happiness (z ang. szczęście). Pewien osiemnastoletni haker przeprowadził nocą atak słownikowy na ten profil. Już następnego dnia odkrył prawidłowe hasło. A ponieważ złamał profil administratora, mógł przejąć kontrolę nad wszystkimi kontami innych użytkowników, które gromadzi Twitter. Zaatakowanie tą metodą okazało się możliwe, bo Twitter dopuszczał dowolną liczbę kolejnych prób przy nieudanym zalogowaniu. Warto zauważyć, że podobnie jest w wielu innych portalach internetowych.

Zalecenie. Dobre hasło nie powinno znajdować się w żadnym ze słowników, a więc być pozbawione jakiegokolwiek sensu.

Błąd 3 - hasło jest gdzieś zanotowane lub zapisane cyfrowo

Dostępu do bazy chroni hasło główne - należy je dobrze zapamiętać lub zanotować i przechowywać w bezpiecznym miejscu. Nawet najlepsze hasło może w mgnieniu oka stać się bezwartościowe, gdy jest zapisane w niezaszyfrowanej postaci gdziekolwiek na twardym dysku. Wówczas może zostać podejrzane przez hakera lub złośliwy program. Niektórzy użytkownicy wysyłają wręcz swoje hasła na własny adres pocztowy, aby móc z nich korzystać, gdziekolwiek się znajdują. Inni notują swoje hasła na kartce, skąd mogą zostać przeczytane przez nieprzychylną osobę.

Zalecenie. Najlepiej zapamiętywać wszystkie swoje hasła. Jednak w wypadku skomplikowanych haseł okazuje się to niezwykle trudne. Gdy zechcesz je przechować w komputerze, powinieneś skorzystać z menedżera haseł, który pełni rolę swoistego sejfu. Hasła są tu gromadzone w zaszyfrowanej postaci, a więc zabezpieczone przed kradzieżą. Sam sejf jest chroniony tzw. hasłem głównym. Powinno ono być wyjątkowo bezpieczne, bo jest jedyną przeszkodą, która broni dostępu do wszystkich innych haseł. Ponadto nie powinieneś nigdzie notować swojego hasła głównego. Nie zapomnij go, bo byłoby to równie fatalne w skutkach. Wówczas straciłbyś dostęp do wszystkich swoich haseł, a nie uda ci się złamać silnego hasła głównego.

Aby bezpiecznie przechowywać swoje hasła, możesz skorzystać z bezpłatnego programu KeePass Password Safe Professional 2.10 lub KeePass Password Safe 1.17. Działa w środowiskach Windows XP, Vista i Windows 7. Aby uzyskać polską wersję interfejsu, pobierz tłumaczenie (do wersji 1.17, do wersji 2.10), po czym skopiuj zawartość archiwum ZIP do katalogu, w którym jest zainstalowana aplikacja. Następnie uruchom ją i wskaż polecenie View | Change language.