Zmierzch loginów i haseł? Uczeni przedstawiają bezpieczniejsze i łatwiejsze alternatywy

Kombinacja login/hasło jako mechanizm zabezpieczenia dostępu do wszelkiego rodzaju zasobów informatycznych towarzyszy nam od lat. Codziennie logujemy się dziesiątki razy do rozmaitych witryn i usług sieciowych. Innowacji w tej dziedzinie za wiele nie ma, nie licząc tych okropnych loginów do systemów bankowych, w których musimy podać ósmy, jedenasty i dwudziesty siódmy znak hasła, a reszta pozostaje zamaskowana. Czy jednak naprawdę login i hasło towarzyszyć nam będą po kres świata (albo przymusowe wprowadzenie biometrii)? Uczeni z Instytutu Maksa Plancka w Dreźnie znaleźli ciekawą alternatywę.

Być może same hasła nie są złe, ale z jakiegoś tajemniczego powodu większość haseł nie wygląda jak „21.RvAa!O7n”, przypominają raczej coś w stylu „kasia123”. Większość użytkowników wybiera bowiem coś, co będzie im łatwo zapamiętać, co gorsza, raz wybrane łatwe hasło stosuje już później wszędzie gdzie się da. I wystarczy jeden skuteczny atak na witrynę, która przechowuje funkcje skrótu haseł i jedna duża tęczowa tablica, by wydobyć jawną ich postać. Wówczas napastnikom niewiele trzeba, by przejąć tożsamość ofiary, dostać się do jej wrażliwych danych w serwisie bankowym czy na prywatnym profilu w sieci społecznościowej.

Ofiarami takich ataków padają nie tylko nieuświadomieni technicznie użytkownicy. Ostatnie ataki przeciwko firmie HBGary (która zapomniała, że nie drażni się Anonimowych) oraz oficjalnej witrynie MySQL.com (której administratorzy zapomnieli, co to jest SQL Injection) pokazały, że takie słabe hasła to codzienność także w biznesie IT, wśród ludzi, którzy „powinni wiedzieć lepiej”.

Na pomoc fizyka chaosu?

Tatiana Laptiewa, wraz ze swoimi kolegami z Instytutu Maksa Plancka Fizyki Złożonych Systemów w Dreźnie znalazła rozwiązanie, które może zaradzić problemowi słabych haseł. Korzysta ono z koncepcji zaczerpniętych z chaotycznej dynamiki, błędów zaokrąglania, przejść fazowych i rozpoznawania CAPTCHA, by zbudować algorytm wzmacniający bezpieczeństwo haseł.

Sednem koncepcji jest podzielenie długiego, bezpiecznego hasła na dwie części. „Pierwsza część jest zapamiętywana przez użytkownika, druga zaś zamieniana w obrazek CAPTCHA, a następnie zabezpieczana za pomocą ewolucji dwuwymiarowego systemu dynamicznego bliskiego przejściu fazowemu, w taki sposób, że standardowe ataki siłowe okazują się nieskuteczne” – piszą autorzy. Z artykułem „The weak password problem: chaos, criticality, and encrypted p-CAPTCHAs”, w szczegółach objaśniającym pomysł niemieckich fizyków osoby nie obawiające się nieliniowej algebry mogą zapoznać się tutaj.

Precz z hasłami, niech żyją klucze

Jeszcze bardziej radykalny pomysł ma brytyjski uczony, Frank Stajano z Uniwersytetu w Cambridge. Chce całkowicie pozbyć się haseł, i to nie tylko online. W artykule „Pico: no more passwords” pisze: „z punktu widzenia usability, hasła i PIN-y się już skończyły. Choć są one wygodne dla je implementujących, to dla użytkowników są coraz trudniejsze w zarządzaniu. Wymagania stawiane użytkownikom (hasła, których nie da się zgadnąć, które są różne od siebie, których się nigdy nie zapisuje) nie są realistyczne w sytuacji, gdy każda osoba musi zarządzać tuzinami haseł”.

Co więc w zamian? Stajano przedstawia koncepcję sprzętowego tokenu Pico, który zwalnia użytkowników z konieczności pamiętania haseł i PIN-ów, noszonego ze sobą podobnie, jak nosimy klucze do domu. Token taki „miałby kilka przycisków, mały wyświetlacz, kamerę zdatną do odczytywania kodów 2D i krótkozasięgowy interfejs radiowy”. Mógłby przypominać telefon, zegarek, czy bransoletkę.

Każda aplikacja, do której dostęp uzyskiwalibyśmy przez Pico, miałaby swoją własną parę kluczy prywatny-publiczny. Pico „rozmawiałoby” z nią przez swój interfejs radiowy, wysyłając informację zakodowaną publicznym kluczem aplikacji, a informacja ta zawierałaby jednorazowy klucz publiczny wygenerowany przez Pico, którym by szyfrowała odpowiedzi do tokenu. Pozwalałoby to na zachowanie nie tylko bezpieczeństwa, ale i prywatności użytkownika – jego tożsamość byłaby ujawniana aplikacji dopiero po tym, jak tożsamość aplikacji zostałaby zweryfikowana przez token.

Być może pomysł z Pico jest zbyt radykalny, by zostać w najbliższej przyszłości zaimplementowany, ale przynajmniej pokazuje dobrze, jak bardzo niewygodny dla użytkowników jest obecny system loginów i haseł. Z artykułem Stajano możecie zapoznać się tutaj.

A jakie są Wasze polityki wobec zarządzania hasłami? W jaki sposób je tworzycie i jaki cykl życia dla nich stosujecie?

źródło: theregister.co.uk, xxx.lanl.gov

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

18 skomentuj »

Komentarze

#1 defman^® 2011-04-05 10:32:13 0
"Być może pomysł z Pico jest zbyt radykalny, by zostać w najbliższej przyszłości zaimplementowany, ale przynajmniej pokazuje dobrze, jak bardzo niewygodny dla użytkowników jest obecny system loginów i haseł"

Nic nie pokazuje. Dla mnie login i hasło jest bardzo intuicyjne i w sumie nie wyobrażam sobie lepszego systemu. Jeśli chodzi o nowe rozwiązania w tej dziedzinie to najważniejsze jest pytanie: na ile zwiększy to bezpieczeństwo? Jeśli podobne jak Pico systemy będzie się nosiło z kluczami, więc tak samo jak klucze, ktoś będzie mógł je nam ukraść, możemy je zgubić itd. I teraz czy procent tych przejęć będzie mniejszy od przejęć klasycznych haseł? Jeśli nie to po co się tym w ogóle zajmować?
IP: 83.23.184.[...] Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0) Gecko/20100101 Firefox/4.0
#2 eimi^® 2011-04-05 10:58:47 0
@defman: przeczytaj artykuł Stajano. Ja swoje hasła generuję algorytmicznie, na podstawie nazwy usługi, tak że nawet jak zapomnę go dla danej witryny, to mogę je łatwo odtworzyć.

Ale... rozmawiałem kiedyś z pewnym człowiekiem, który prowadzi pewną całkiem popularną w PL usługę webową. Powiedział mi sporo ciekawych rzeczy o hasłach wykorzystywanych przez użytkowników w jego systemie. Większość to właśnie "kasia123" - co więcej, przy rejestracji użytkownicy podali swoje e-maile. Losowo wybrał niewielką próbkę swoich userów, by sprawdzić, do kont ilu z nich może się zalogować za pomocą podanego hasła. Było to jakieś 40%.

To jest poważny problem. Przeciętni użytkownicy lepiej rozumieją koncepcję pilnowania swoich kluczy, niż stosowania dziesiątków różnych trudnych haseł.
IP: 90.156.40.[...] Mozilla/5.0 (X11; Linux i686; rv:2.0.0) Gecko/20100101 Firefox/4.0
#3 szmon 2011-04-05 11:02:24 0
Wiele razy juz udowodniono ze zbytnie ulatwienia nastreczaja wiecej problemow. Jak ktos jest w miare rozgarniety to bedzie mial wlasna metode generowania hasla takiej postaci: &*crjnsbzdipk0831 (codziennie rano jem na sniadanie bulke z dzemem i popijam kawa dzien/miesiac waznej daty i 2 znaki specjalne po kolei z klawiatury). Mozna wyslec 3 proste zdania, nauczyc sie na pamiec, troche przemieszac i hasla sa gotowe. do tego menadzery zapamietywania, wtedy jest tylko 1 haslo, reszta w menadzerze wygenerowana losowo. Czy to naprawde jest takie trudne? Najlepsze sa podpowiedzi do hasel. Co z tego ze ktos ma haslo J*(D*HJdfnglesd## skoro jego kotek nazywa sie 'mruczek' i ja o tym wiem?
IP: 89.76.166.[...] Mozilla/5.0 (Windows NT 5.2; rv:2.0) Gecko/20100101 Firefox/4.0
#4 pozi 2011-04-05 11:11:15 0
Co do problemu zgubienia, kradzieży tokenizera to pewnie zostało by rozwiązane to jednym zbiorczym hasłem (do samego urządzenia), które mogło by być bardzo silne. Zapamiętać jedno nawet trudne hasło jest łatwiej niż 10 czy 20 średnich. W tej chwili hasła też użytkownicy zapisują w przeglądarkach, notesach, telefonach. Często zapominają co, gdzie jest (zwiększa się prawdopodobieństwo wypłynięcia haseł) tu było by jedno centralne miejsce łatwe do pilnowania. Plusem jest to, że jest jedno centralne miejsce trzymania haseł, ile razy zdarza się, że ktoś zakłada sobie konto np. na forum w pracy i chce wejść na nie w domu, ale nie pamięta hasła. Tak by je miał przy sobie.. Widzę inny problem dość błahy, co będzie jak człowiek np. przyjdzie do pracy bez urządzenia?! Teraz część haseł pamięta, część ma zapisane, ale jak jest gapą to jego sprawa.
IP: 78.133.161.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101206 Ubuntu/10.10 (maverick) Firefox/3.6.13
#5 pozi 2011-04-05 11:15:46 0
o tym o czym mówi elmi, czyli dublowaniu się haseł, rozwiązaniu Pico mogło by też rozwiązać problem, urządzenie samo by generował hasła/klucze, które były by niepowtarzalne.
IP: 78.133.161.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101206 Ubuntu/10.10 (maverick) Firefox/3.6.13
#6 eimi^® 2011-04-05 11:17:35 0
Tokenizer w kluczykach do auta :). A może tokenizer po prostu kluczykami do auta? W ten sposób trudno byłoby dostać się do pracy bez swoich haseł.
IP: 90.156.40.[...] Mozilla/5.0 (X11; Linux i686; rv:2.0.0) Gecko/20100101 Firefox/4.0
#7 dariusz.wieckiewicz.org 2011-04-05 12:28:07 0
Ja powierzam moje hasła Generatorowi KeePass 3-ema kombinacjami po 12 znaków, i tyle. KeePass, i bazy kdb (nie kdbx) da się odczytać nawet w telefonie, więc mam hasła pod ręką.

Co do innych rozwiązań, na hasła znajdą się osoby, które je złamią, i na urządzenia, które będą temu służyć też się znajdą.
IP: 83.145.154.[...] Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Chrome/10.0.648.204 Safari/534.16
#8 defman^® 2011-04-05 13:14:31 0
@emi ale skoro to takie proste (łamanie haseł użytkowników) to czemu nikt masowo tego nie robi? Ano może dlatego, że jeszcze trzeba mieć po co włamywać się na skrzynki emailowe itd. Co z tego, że moja poczta ma hasło kasia123 skoro odbieram tam głównie spam i powiadomienia z nk? Gdzie tu sens pracy nad rozwiązaniem (Pico), z którego skorzysta może 1% użytkowników, i to ten procent, który już obecnie pilnuje swoich haseł?

Zaś wspomniane hasło do Pico jest jak wspomniany wyżej przykład pytania pomocniczego do hasła ^^ Po prostu teraz ludzie nie używają skomplikowanych haseł i w to urządzenie też by zabezpieczali takim, które mogą zapamiętać.
IP: 83.23.184.[...] Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0) Gecko/20100101 Firefox/4.0
#9 xdi 2011-04-05 14:35:58 0
powinnismy sobie ufac i nie stosowac zadnych hasel.
IP: 150.254.163.[...] Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
#10 d-d 2011-04-05 15:56:32 0
ostatnio już coś chyba o tym było - telefon z NFC może zastąpić większość loginów i haseł. Jestem za, pod jednym warunkiem, że nikt nie pozna mojego numeru telefonu.
IP: 78.122.201.[...] Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Chrome/10.0.648.204 Safari/534.16
#11 Leone 2011-04-05 20:53:47 0
Nie podobają mi się jakiekolwiek systemy, które gromadzą hasła, aby cokolwiek ułatwić.

Nie wierzę w to, że tokenizer byłby na tyle dobrze zabezpieczony, że nie dałoby się dobrać do haseł - szczególnie gdyby 'zły pan' miał to urządzenie w ręku.

Poza tym, ktoś chciałby oddawać wszystkie hasła jednej firmie? (bo ktoś musi produkować te tokenizery, ktoś musi je obsługiwać)

Jestem zdania, że nie ma nic lepszego niż zestaw haseł - bardzo trudne do banku, poczty, najważniejszych aplikacji, średnie (najlepiej takie, które można mieszać) i jedno-dwa słabe, do miejsc, na których nam się zależy.
IP: 91.150.221.[...] Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0) Gecko/20100101 Firefox/4.0
#12 BioComp^® 2011-04-06 02:52:41 0
A jak ktoś takiego tokena ukradnie? Ja np. nigdy nie korzystam z managera haseł w telefonie (np. udostępnianego przez Opera Mobile). Co do mojego postępowania z hasłami, mam różne, wszystkie zapisane w programie na pendrive pod jednym hasłem które pamiętam - w razie zapomnienia, sięgam po pendrive i odczytuje z jakiego serwisu jakie hasło (pomijając np. bank w którym i tak jest token). Pendrive tego nigdy nigdzie ze sobą nie zabieram :>
IP: 89.79.111.[...] Opera/9.80 (Windows NT 6.1; U; pl) Presto/2.7.62 Version/11.01
#13 Tomasz Kowalczyk^® 2011-04-06 02:53:24 0
"za pomocą ewolucji dwuwymiarowego systemu dynamicznego bliskiego przejściu fazowemu"

A to ciekawe, myślałem jednak że zostanie użyty dwustopniowy algorytm dualny z dynamiką fazową mniejszą od 4*PI, w końcu jest bardziej skuteczny.
IP: 95.49.88.[...] Mozilla/5.0 (Windows NT 6.1; rv:2.0) Gecko/20100101 Firefox/4.0
#14 Iwoldan^® 2011-04-06 22:03:09 0
Tak się złożyło że moje najsłabsze hasło przeznaczyłem do Webhosting.pl Zaraz je więc zmienię, bo jeszcze pomyślicie że lekceważę portal który bardzo sobie cenię.
IP: 178.56.51.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Chrome/10.0.648.204 Safari/534.16
#15 Iwoldan^® 2011-04-06 22:28:54 0
A może używać Pico i hasła równocześnie? Co dwa zabezpieczenia to nie jedno. Złodziej nawet gdy złamie zabezpieczenia w ukradzionym Pico i tak niewiele zyska. Nie będzie znał przecież dodatkowego hasła do serwisu.

Swoją drogą funkcje Pico powinna mieć jedna z moich komórek. Szczególnie ta, którą zawsze odnajduję dzwoniąc na nią ze smartphone, który jest na tyle duży że nie ginie :-)
IP: 178.56.51.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Chrome/10.0.648.204 Safari/534.16
#16 wiseguy 2011-04-07 21:24:48 0
Kombinują, wymyślając jakieś kretynizmy. Token noszony razem z kluczami? Wystarczy, że go zgubimy, albo nas okradną i jest problem. Najlepszą metodą jest coś w stylu: http://wijjo.com/passhash/

Rozwiązanie proste i skuteczne. Wystarczy zapamiętać jedno hasło-matkę, a do każdego serwisu już zostanie wygenerowane inne. Nawet gdy baza danych jakiegoś portalu wycieknie (co się ostatnio często zdarza), to nie musimy się martwić o zmianę haseł w innych serwisach.
IP: 172.191.49.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.16) Gecko/20110319 Firefox/3.6.16
#17 Darox5 2011-05-07 20:25:46 0
Moim zdaniem pomysł z pico jest bardzo dobry.

JESTEM ZA!!
IP: 83.10.89.[...] Mozilla/5.0 (Windows NT 6.1) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.65 Safari/534.24
#18 ruffo 2011-05-14 17:58:55 0
Hasło 8 znakowe wymaga jakiegoś czasu (niewielkiego) do złamania, ale po zabezpieczeniu (np. logowania do banku) skryptem, blokującym logowanie np. 10 sek. pauzą, po podaniu błednego hasła - ten czas wydłuża się w nieskończoność! Oczywiście, jeśli hasło musi być łamane, nie zgadywane, czy kradzione! Więc raczej nie ma się co bać złamania hasła, ale jego kradzieży.
IP: 80.245.177.[...] Opera/9.80 (X11; Linux i686; U; pl) Presto/2.8.131 Version/11.10

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.