Każdy, kto korzysta z jakichkolwiek zasobów z ograniczonym dostępem, musi się w jakiś sposób uwierzytelnić, udowadniając, że jest uprawniony do ich używania. Reguła ta dotyczy nie tylko świata komputerów i elektroniki, ale ogólnie całej naszej cywilizacji. Gdy jesteśmy np. kontrolowani w pociągu przez konduktora podajemy bilet, by udowodnić swoje prawo do przejazdu. Ale sami również poddajemy ocenie, czy osoba nas sprawdzająca jest do tego uprawniona: zwykle wystarczy rzut oka na strój (mundur). O ile w rzeczywistym świecie możemy polegać na swoich zmysłach i dokumentach, o tyle w świecie zer i jedynek jedynym dowodem na to, że dostęp do jakiegoś zasobu nam się należy, jest hasło.
Hasła tradycyjne
Hasła tradycyjne to oczywiście ciągi znaków wprowadzane najczęściej za pomocą klawiatury komputera. Z oczywistych względów hasło powinno być znane wyłącznie osobie uprawnionej do korzystania z zasobu, do którego dostęp jest za pomocą tegoż hasła chroniony. Mimo rozwoju różnych technik uwierzytelniania w cyfrowym świecie, tradycyjne hasła wciąż są szeroko stosowane i jeszcze długo ten stan nie ulegnie zmianie. Zupełnie odrębną kwestią jest natomiast jakość tych haseł. Do spektakularnych kradzieży danych tysięcy, a nawet milionów użytkowników popularnych serwisów być może wcale by nie doszło, gdyby administratorzy tych serwisów bardziej dbali o bezpieczeństwo świadczonych przez nich usług. Jednak zawężanie zagadnienia bezpieczeństwa tylko do roli administratorów to zamiatanie problemu pod dywan. W istocie udane ataki na tożsamość ludzi w świecie cyfrowym miałyby znacznie mniejszy zasięg, gdyby osoby korzystające z konkretnych serwisów i usług więcej wagi przykładały do ustawienia odpowiednio silnego hasła.
Siła hasła
Jak określić, czy dane hasło jest silne czy słabe? Miarą siły hasła jest jego entropia (stopień nieuporządkowania, losowość). Entropię haseł wyraża się w bitach i właśnie ta wartość pokazywana jest w programach do zarzadzania hasłami (m.in. w opisywanym przez nas w warsztacie programie KeePass) czy generatorach haseł. Maksymalna liczba kombinacji danego hasła wyrażona jest liczbą zapisaną jako dwójka do potęgi równej liczbie bitów entropii hasła. Innymi słowy, w przypadku hasła o entropii wynoszącej 128 bitów liczba kombinacji zapewniających skuteczne złamanie tego hasła metodą brute force wynosi 2128 – to niewyobrażalnie olbrzymia liczba (ok. 3,4 * 1038).
Narzędziami ułatwiającymi stworzenie bezpiecznych, silnych haseł są tzw. generatory haseł. Mogą one występować w postaci programów instalowanych na komputerze lub w formie usługi dostępnej przez przeglądarkę. Przedstawicielem tej drugiej klasy generatorów jest mechanizm dostępny na stronie www.dobrehaslo.pl. Oferowany tam generator haseł pozwala utworzyć dowolną liczbę haseł bazujących na określonych przez użytkownika zestawach znaków, dodatkowo obliczana jest od razu siła hasła, liczba kombinacji i szacowany czas łamania hasła.
Tych haseł nie stosuj
Zanim przejdziemy do ustawiania odpowiednio silnych haseł, warto poznać te, których na pewno nie powinniśmy stosować. W witrynie www.whatsmypass.com znajduje się strona z listą pięciuset najgorszych haseł wszech czasów (http://www.whatsmypass. com/the-top-500-worst-passwords-of-all-time). Jakie hasło znajduje się na pierwszym miejscu? 123456, ale w wykazie znajdziemy znacznie więcej takich kwiatków. Jeżeli na wspomnianej liście odnajdziesz swoje hasło, to już wiesz, że musisz je zmienić. Tym bardziej zachęcamy do jak najszybszego skorzystania z proponowanych przez nas narzędzi i zastosowania się do opisanych reguł. W przypadku polskojęzycznych serwisów wiele prostych (słabych) haseł to oczywiście zwroty w naszym języku. Zasadniczo użycie jakichkolwiek zwykłych słów jako haseł to zły pomysł.
Hasło jako fraza kodująca
Niektórym bardzo trudno zapamiętać skomplikowane ciągi znaków, stanowiące często silne i bezpieczne hasła. Nie każdy ma talent do liczb i cyferek. Istnieją jednak metody radzenia sobie z tym problemem. Notowanie haseł na żółtych karteczkach przyklejanych do monitora do nich nie należy! Zamiast np. 9-znakowego hasła alfanumerycznego do uwierzytelnienia się w jakiejś usłudze można wykorzystać tzw. frazy kodujące. To nic innego jak trochę dłuższe hasła, tyle że składające się ze słów. Oczywiście zwykłe słowa narażone są na tzw. atak słownikowy (patrz ramka: metody łamania haseł), ale kilka trików pozwala stworzyć hasło w postaci trudnej do złamania, lecz łatwiejszej do zapamiętania frazy kodującej. Hasło w postaci frazy musi spełniać kilka warunków: powinno być znacznie dłuższe od hasła alfanumerycznego (20–30 znaków wcale nie jest przesadą), nie powinno zawierać słów ze słownika ani stanowić cytatów z literatury (np. fragment “Pana Tadeusza” to zły pomysł). Przykładem frazy kodującej może być skrótowiec utworzony z tak banalnego zdania jak “Codziennie rano o ósmej kupuję bułki na śniadanie”. Fraza mogłaby w tym przypadku wyglądać tak: “Cdznnie_ranoo8.kup_buł naŚndn”. Fraza ma 29 znaków, a mimo to łatwiej ją zapamiętać niż 10-znakowe hasło typu “q#F_(.23ax”. Uwaga, nie w każdym przypadku możliwe jest użycie frazy jako hasła. Niektóre usługi wymagające uwierzytelniania nie umożliwiają logowania za pomocą haseł dłuższych niż np. kilkanaście znaków.
Metody łamania haseł
- Atak typu brute force – polega po prostu na wypróbowaniu każdej możliwej kombinacji liter, cyfr i znaków specjalnych. Metoda “brutalnej siły” jest bardzo czasochłonna, nieoptymalna, ale za to w 100% skuteczna. Dlatego tak ważna jest długość hasła – każdy dodatkowy znak wydatnie zwiększa trudność złamania hasła tą metodą.
- Atak słownikowy – zasadniczo metoda podobna do ataku brute force, z tą różnicą że zamiast wszystkich możliwych kombinacji znaków algorytm poszukujący hasła opiera się na konkretnych słowach i innych ciągach znaków, o których wiadomo, że są często stosowane przez użytkowników (np. 123qwe).
- Tęczowe tablice – stanowi połączenie metody brute force oraz metody słownikowej, jednak w tym przypadku atakujący dysponuje nie słownikiem, lecz bazą tzw. skrótów. Metodę tę stosuje się w przypadku haseł zakodowanych jednokierunkową funkcją skrótu.
Hasła obrazkowe i biometryczne gadżety
Hasło obrazkowe, dostępne np. w systemie Windows 8.x, na pierwszy rzut oka wydaje się o wiele lepszym, a przede wszystkim wygodniejszym rozwiązaniem od tradycyjnych haseł alfanumerycznych. Wystarczy, że wybierzemy obrazek, a następnie nakreślimy na nim sobie tylko znany wzór lub połączymy wybrane punkty. Owszem, logowanie się poprzez wskazywanie dotykiem określonych, znanych tylko osobie uprawnionej punktów na ilustracji jest łatwe, jeżeli chodzi o zapamiętanie hasła, ale już znacznie gorzej będzie z bezpieczeństwem wprowadzania tego typu haseł. W otwartych przestrzeniach biurowych zaobserwowanie logowania za pomocą hasła obrazkowego jest znacznie łatwiejsze niż śledzenie klawiatury (bo oczywiście hasło na ekranie wyświetlane jest w postaci gwiazdek lub kropek). Ponadto ocenia się, że liczba możliwych kombinacji dla hasła obrazkowego odpowiada zaledwie 6-znakowym hasłom, a analiza behawioralna (choćby uwzględnienie przyzwyczajeń ludzi do wskazywania określonych punktów – np. czubka nosa) jeszcze bardziej zawęża liczbę kombinacji. Mimo wszystko hasło obrazkowe jest silniejsze od czterocyfrowych PIN-ów.
Alternatywą dla haseł tradycyjnych są dodatkowe urządzenia wykorzystujące w procesie uwierzytelniania nie tyle to, co użytkownik wie (hasło), lecz to, jakimi cechami indywidualnymi się charakteryzuje. Mowa tu o czytnikach biometrycznych. Wiele współczesnych komputerów wyposażanych jest standardowo w czytnik linii papilarnych. Jego użycie stanowi z pewnością wygodną metodę uwierzytelniania, nieobciążającą naszej pamięci. Warto jednak pamiętać, że biometria, zwłaszcza gdy jest wykorzystywana do logowania się do usług online, niesie ze sobą pewne ryzyko. Baza danych klientów serwisu online, zawierająca dane uwierzytelniające tych klientów, może zostać skradziona przez cyberprzestępców. Gdyby skradziono nam klasyczne hasło, moglibyśmy je zmienić na nowe. Odcisku palca, dłoni czy wzoru siatkówki oka nie zmienimy.
Bezpieczne przesyłanie
Nawet najlepsze hasło okaże się mało warte, jeżeli będzie przesyłane otwartym bądź łatwym do podsłuchania kanałem komunikacyjnym. Dlatego zawsze należy sprawdzić, czy hasło wprowadzane w momencie uwierzytelniania nie jest narażone na podsłuch. W przypadku logowania przez Internet wystarczy najczęściej skontrolować, czy nawiązane połączenie przez przeglądarkę internetową jest zaszyfrowane – wszystkie przeglądarki WWW sygnalizują to odpowiednimi symbolami umieszczanymi najczęściej w okolicach paska adresowego. Pamiętaj: jeżeli strona, do której chcesz uzyskać dostęp, nie jest w żaden sposób zabezpieczona, to nie masz żadnej gwarancji, że po pierwszym twoim logowaniu, ktoś nie będzie znał już twojego hasła. Oczywiście czasem zachodzi potrzeba skorzystania z informacji umieszczanych w tego typu kiepsko chronionych serwisach, ale wtedy rejestrując się w nich, unikajmy ujawniania danych, skoro nie mamy żadnej gwarancji ich bezpieczeństwa.
Jak tworzyć bezpieczne hasła?
Stosowanie się do poniższych reguł bardzo poprawi twoje bezpieczeństwo podczas korzystania z wszelkich zasobów komputerowych i internetowych wymagających uwierzytelnienia oraz znacznie utrudni ewentualne działania cyberprzestępcom.
- Więcej znaków = lepiej Każdy dodatkowy znak hasła znacząco komplikuje próby jego złamania. Wiele serwisów nie dopuszcza stosowania haseł krótszych niż sześcioznakowe, ale moce obliczeniowe współczesnych komputerów są już na tyle duże, że nawet ośmioznakowe zróżnicowane hasło może zostać złamane w stosunkowo krótkim czasie. Dlatego zalecamy stosowanie haseł dłuższych niż ośmioznakowe. Oczywiście nie tylko długość hasła ma znaczenie – patrz: kolejne reguły.
- Zróżnicowanie znaków Utworzenie choćby i 30-znakowego hasła składającego się np. z samych jedynek to kiepski pomysł. Powtarzalne ciągi znaków są łatwe do złamania nawet dla komputerów z poprzedniego wieku! Również stosowanie ograniczonego zestawu znaków (np. tylko samych cyfr lub tylko małych liter alfabetu łacińskiego) ułatwia zadanie łamaczom haseł. Stosuj małe i wielkie litery, nie bój się cyfr ani znaków interpunkcyjnych.
- Zróżnicowanie haseł Powszechnie stosowane systemy uwierzytelniania powinny być bezpieczne dla użytkowników, tak jednak nie jest. Z pewnością słyszałeś o atakach na popularne serwisy i fora internetowe, w wyniku których agresorzy zdobywali hasła internautów odwiedzających dany serwis. Nawet najlepiej ułożone, długie i silne hasło nie będzie stanowiło dobrej ochrony, jeżeli będziesz go używał do wszystkich serwisów, kont i usług wymagających uwierzytelnienia. Pamiętaj, różne hasła do różnych usług!
- Unikaj szablonów Współczesne algorytmy stosowane w narzędziach łamiących hasła uwzględniają m.in. sposób wprowadzania hasła. Jak sądzisz, czy hasło 1qazxsw2 jest bezpieczne? Wygląda na dość skomplikowane, ale będzie łatwe do odgadnięcia przez hakera. Przytoczone hasło nie tylko łamie regułę nr 2 (tylko małe litery i cyfry), ale jest bardzo przewidywalne ze względu na sposób wprowadzania. Wystarczy spojrzeć na klawiaturę każdego komputera. To sąsiadujące klawisze.
- Żadnych imion i słów Oczywiste jest, że jeżeli jako hasła użyjesz imienia osoby bliskiej, to raczej takiego hasła nie zapomnisz. Niestety, zarówno imiona, jak i wszelkie słowa w danym języku są złym pomysłem. Tego typu hasła podatne są na tzw. atak słownikowy i można je złamać w dość krótkim czasie.
- Zapisz hasło To, że namawiamy do zapisania hasła, może się wydawać dziwne, ale przy stosowaniu się do powyższych reguł najsłabszym ogniwem jest ludzka pamięć. Oczywiście nie chodzi nam o zapisanie hasła na karteczce przylepionej do laptopa czy monitora, ale o zapisanie hasła w miejscu, w którym nikt oprócz ciebie nie będzie się go spodziewał, a ewentualny znalazca nie będzie wiedział, że to hasło. Dla ułatwienia: portfel jest złym pomysłem.
KeePass: menedżer haseł
Dzięki tym wskazówkom żadne z waszych haseł nie zostnie złamane, ani… zapomniane.
Duża liczba stosowanych haseł rodzi problem: jak nimi zarządzać? Można skorzystać z dedykowanego oprogramowania, takiego jak przedstawiony przez nas program KeePass Password Safe 2.24
1. Wstępna konfiguracja menedżera haseł
Podczas pierwszego uruchomienia program proponuje włączenie mechanizmu automatycznej aktualizacji – zróbmy to. Język można zmienić, wybierając z menu »View« pozycję »Change language« i klikając przycisk »Get more languages«. W oknie przeglądarki pojawi się lista plików z tłumaczeniami. Pobierz plik z polskim tłumaczeniem interfejsu, właściwym dla wersji programu KeePass (tu: 2.24). Rozpakuj go i przenieś do folderu KeePassa. Po uruchomieniu i powtórnym wywołaniu »Change language« na liście zobaczysz już polski do wyboru.
2. Tworzenie nowej bazy haseł
Z menu »Plik« wybierz »Nowy…«, a następnie w otwartym oknie Eksploratora Windows wskaż lokalizację dla tworzonej bazy haseł. Gdy to zrobisz, pojawi się okno, w którym określasz, w jaki sposób baza haseł będzie chroniona. Domyślnie zaznaczone jest pole wyboru “Hasło główne”, co oznacza ochronę za pomocą hasła wpisanego w widoczne obok pole tekstowe.
3. Dodatkowe zabezpieczenie, plik klucza
Warto skorzystać z tzw. pliku klucza, zawierającego możliwie najbardziej losowe dane. Aby utworzyć taki plik, w oknie »Stwórz zbiorczy klucz główny« zaznacz pole »Plik klucza«, kliknij »Utwórz«, a następnie w oknie »Entropia« tak długo poruszaj (zupełnie dowolnie) myszką w polu po lewej stronie, aż pasek “Wygenerowanych bitów” się zapełni. Kliknij »OK« i zapisz plik w bezpiecznym miejscu (np. na USB). Do zalogowania się do twojej bazy będzie wymagane zarówno hasło, jak i utworzony plik-klucz.
4. Ustawienia bazy danych
Kolejne okno pozwala nadać nazwę tworzonej bazie, dodać jej opis, przyporządkować domyślną nazwę użytkownika do każdego nowego wpisu (przydatne, jeżeli do wielu usług logujesz się za pomocą tej samej nazwy użytkownika). Możliwy jest również wybór, czy plik bazy ma być kompresowany, jak program ma traktować usunięte wpisy (kasowane bezpowrotnie czy usuwane do Kosza) oraz czy zmiana klucza ma być wymuszana po określonej liczbie dni.
5. Tworzenie wpisu w bazie
Na pasku ikon w oknie głównym kliknij »Dodaj wpis« lub użyj skrótu klawiaturowego [Ctrl] + [I]. Pojawi się okno »Dodaj wpis«, w którym wprowadzasz dane dotyczące usługi wymagającej logowania: jej nazwę (pole “Tytuł”), nazwę użytkownika, hasło dostępu do danej usługi (program od razu obliczy siłę hasła) ewentualnie adres URL usługi oraz dodatkowe informacje, które można umieścić w polu “Notatki”. Kliknij »OK«, by zapisać nowy rekord bazy. Nowy wpis zobaczysz na liście w oknie głównym programu.
