Skończmy z tymi hasłami, i tak się nie sprawdzają. Frazy zapewniają użytkownikom większe bezpieczeństwo

Niedawno na łamach bloga Niebezpiecznik.pl pojawił się wpis poświęcony najpopularniejszym w Polsce hasłom, na podstawie danych pozyskanych z pewnego randkowego serwisu. Czy hasła te przypominały coś w rodzaju rV88_1(oo!sS, czyli wzór idealnego hasła zdaniem niektórych specjalistów od bezpieczeństwa? Oczywiście, że nie! Popularnością za to cieszyły się hasła takie jak „qwerty”, „polska”, „dupa” czy „legia”, których łatwość złamania jest przeogromna. Podobnie wygląda też sytuacja w masowej kulturze – w nowym serialu BBC pt. „Sherlock” nasz detektyw uzyskuje dostęp do wojskowej bazy danych, stosując hasło „maggie” (od Margaret Thatcher). Co poszło nie tak w dziedzinie haseł?

Korporacyjni administratorzy wielokrotnie zwracali uwagę na to, że wymyślane przez użytkowników hasła są mierne, a do tego często zapisuje się je na żółtych karteczkach, przylepianych do monitorów. Czyżby ludzie byli po prostu głupi, niezdolni do stworzenia i stosowania mocnych haseł, czyli przynajmniej ośmioznakowych kombinacji liter, cyfr i znaków specjalnych?

A może to sama koncepcja takiego wyszukanego hasła jest zupełnie nierealistyczna i może się sprawdzić tylko wśród pozbawionych życia towarzyskiego smutnych cyferpunków? Tak właśnie uważa Nick Selby z oferującej usługi konsultingowe w zakresie bezpieczeństwa IT firmy TRM Partners. Jego zdaniem ludzie nie są głupi – po prostu zostali postawieni w sytuacji bez wyjścia. „Nie można w wyniku szkolenia wymóc na ludziach, by stosowali coś, czego nie da się zapamiętać, następnie wymagać, by to pamiętali, i zastrzegać, by tego nie zapisywali. Nie możesz tego zapamiętać, nie możesz tego zapisać – czy to problem z użytkownikiem? Nie sądzę” – powiedział Selby w wywiadzie dla serwisu Dark Reading.

Jeśli nie skomplikowane hasła w stylu tych, które generuje nam WordPress, to co? Oczywiście frazy, składające się z kilku prostych słów. Łatwiej je zapamiętać, a trudniej złamać, nawet jeśli nie są w nich stosowane znaki specjalne i cyfry. Wielu ekspertów zgadza się z Selbym. Abbas Haider Ali, wiceprezes firmy xMatters, mówi: „Lubię korzystać z howsecureismypassword.net jako testu na to, jak bezpieczne jest moje hasło. Zgodnie z tą witryną, złamanie hasła b4x87g-m zajęłoby dwa dni. Tymczasem złamanie mojej przypadkowo wymyślonej frazy This password is easy to remember, and crazy to break! zajęłoby 36 kwadecyliardów (36*10^87) lat”.

Inny specjalista, Phil Lieberman, prezes firmy Lieberman Software dodaje: „Frazy są o wiele lepszym rozwiązaniem na współdzielenie tajemnic niż hasła składające się z pojedynczych słów (…) to kwestia prostej matematyki: możliwość odtworzenia hasła składającego się z jednego słowa jest kwestią długości hasła i szukania w tablicy mieszającej. Jeśli fraza składa się z więcej niż 14 znaków, wyszukania takie stają się bardzo kosztowne. Jest bardzo mało długich słów w języku angielskim, które są łatwe do zapamiętania, lecz fraza czy zdanie są łatwe do stworzenia i zapamiętania, nawet gdy w długości przekraczają 14 znaków”.

Czemu zatem frazy nie są stosowane powszechniej, a serwisy internetowe często zmuszają nas do stosowania haseł składających się z małych i dużych liter, cyfr i znaków specjalnych? Może być to po prostu kwestia technicznego zacofania, związanego z używaniem przestarzałych technologii – wiele systemów uwierzytelniania z lat 90 zeszłego wieku miało ograniczenia co do długości hasła, np. do ośmiu znaków. Do tego dochodzą problemy z wszechobecnym ukrywaniem znaków podczas wpisywania haseł, wskutek którego prawdopodobieństwo popełnienia błędu przy wpisywaniu dłuższej frazy znacząco rośnie. Dla wielu firm i organizacji stworzenie polityk zarządzania hasłami, które by były przyjazne dla fraz jest po prostu bardzo trudne – twierdzi Nishant Kaushnik, główny architekt oprogramowania firmy Identropy. Polityki takie muszą bowiem uwzględniać zarówno czynnik ludzki, jak i wymogi licznych aplikacji i narzędzi używanych w sieciach.

Stojący po stronie fraz eksperci zalecają jednak programistom zakasanie rękawów. „Wciąż walczymy w bitwach jutra z technologiami i filozofiami z wczoraj i przedwczoraj. A musimy po prostu przerobić systemy, tak by radziły sobie frazami, a nie tylko z hasłami. Spróbujcie wpisać spację – w połowie serwisów, w których zarejestrowaliście się w Internecie, nie będzie to działało” – mówi Nick Selby, a Marcus Carey, badacz z firmy Rapid7 zauważa, że choć trudno nauczyć starego psa nowych sztuczek, to warto pomyśleć chociaż o alternatywach dla interfejsu logowania – na przykład takich, w których użytkownik kolejno wpisuje ciąg prostych słów, razem składających się na frazę.

Oczywiście niektóre systemy już dziś dobrze dają radę ze złożonymi hasłami. Do Google Apps bez problemu można się logować frazami, które zawierają spacje, zaś Active Directory Microsoftu obsługuje frazy mające do 128 znaków. Ale wciąż spotykamy się w mniejszych serwisach z głupim wymogiem stosowania haseł, których zapamiętanie jest trudne, a efektywność kiepska. Kiedy ta moda minie?

źródło: darkreading.com, hacker news

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

19 skomentuj »

Komentarze

#1 ToJa 2012-01-10 14:38:20 0
Ludzie są leniwi, nie będzie im się chciało stosować haseł po 50 znaków. Lepszym wyjściem są dobrze szyfrowane menedżery robiące kopie w chmurze i hasła w stylu t0J3$7m0)eH@5lo . Według podanego w artykule serwisu, złamanie hasła zajęłoby 2 biliony lat więc jest to chyba wystarczający poziom bezpieczeństwa. Ja jestem w stanie pamiętać takie hasła a menedżery sprawiają że nie trzeba ich pamiętać więc nie widzę problemu. Oczywiście jeśli użytkownicy ufają menedżerom :)
IP: 89.68.147.[...] Mozilla/5.0 (X11; Linux i686) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.75 Safari/535.7
#2 ciekawski 2012-01-10 14:42:38 0
To wszystko jest kwestią gustu. Jeśli mielibyśmy stosować frazy i wg sugestii nie maskować jej (w celu uniknięcia błędu) to jak zabezpieczyć owe frazy przed oczami ciekawskich, stojących za naszymi plecami? Wielu webmasterów/programistów oczywiście zapomni wyłączyć opcję auto-podpowiadania i wszystko to nie będzie wcale bezpieczne. Z innej jednak strony, jeśli owe podpowiadanie będzie wyłączone - osoba zmuszona do logowania się do aplikacji X razy dziennie będzie sfrustrowana faktem ciągłego wpisywania frazy, więc ją skróci. I tak powróciliśmy do punktu wyjścia.
IP: 83.5.233.[...] Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
#3 PRC 2012-01-10 14:57:42 0
@ciekawski: Maskowanie hasła/hasło maskowane to takie, gdzie za każdym razem (w uproszczeniu) podajesz inne znaki ze swojego hasła, czyli nie wpisujesz całego hasła a np. 3, 4 ,8 ,7 12 ,21 znak... I nie ma to nic zapewne wspólnego z "gwiazdkami zamiast znaków" podczas wpisywania, o czym Ty piszesz... ;-)
IP: 85.222.49.[...] Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0) Gecko/20100101 Firefox/10.0
#4 ciekawski 2012-01-10 15:13:32 0
@PRC nie ma to większego znaczenia w tym przypadku. Maskowane hasła jeszcze bardziej spowalniają proces uwierzytelniania. Wydaje mi się, że rozwiązaniem idealnym w przyszłości będzie (mam nadzieję) biometryka :)

Nie mniej jednak dziękuję za uwagę. My mistake :-)
IP: 83.5.233.[...] Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
#5 ciekawski 2012-01-10 15:14:30 0
@PRC: nie ma to większego znaczenia w tym przypadku. Maskowane hasła jeszcze bardziej spowalniają proces uwierzytelniania. Wydaje mi się, że rozwiązaniem idealnym w przyszłości będzie (mam nadzieję) biometryka :)

Nie mniej jednak dziękuję za uwagę. My mistake :-)
IP: 83.5.233.[...] Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
#6 PRC 2012-01-10 15:30:01 0
@ciekawski: Oczywiście, że ma znaczenia - wpisać frazę bez maskowania, trochę jak teraz pisze ten komentarz (tyle, że z ukrywaniem/gwiazdkowaniem znaków) nie jest specjalnie trudne, a i na pewno nie trwa (dożo) dłużej, niż szukanie "znaków specjalnych", czy wł/wył CL w celu wpisania dużej litery, jak to wielu "mniej obytych z komputerami" użytkowników ma w zwyczaju. Ale zgadzam się, że w tym wypadku hasło maskowane (gdzie trzeba podać konkretne znaki z całego hasła) jest chybionym pomysłem, ale niestety niektórzy (zwłaszcza banki) się lubują w tym potworku... A hasło maskowane + fraza (ale i/lub dłuższe hasło niż "kilka znaków") to już szczególnie nieprzyjazna para...
IP: 85.222.49.[...] Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0) Gecko/20100101 Firefox/10.0
#7 PRC 2012-01-10 15:34:04 0
Ps. Biometryka pewnie jak mówisz - prędzej czy później wyprze "z większości zastosowań hasła, niezależnie czy będą to f4FG%ytg4 czy frazy... Choć na pewno nie wszędzie... Zresztą to już teraz powoli się dzieje -coraz doskonalsze czytniki linii papilarnych montowane w coraz "popularniejszych" (tańszych) laptopach... Odblokowanie telefonu (ale i do komputera są odpowiednie programy) twarzą... I to tylko na rynku konsumenckim, popularnym... Ale do pełnej popularyzacji jeszcze trochę...
IP: 85.222.49.[...] Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0) Gecko/20100101 Firefox/10.0
#8 RRR 2012-01-10 15:38:06 0
W Polsce używana jest skala długa, w której 10^87 to kwadecyliard, natomiast oktowigintylion to 10^168.
IP: 194.181.62.[...] Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 1.1.4322; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; OfficeLiveConnector.1.4; OfficeLivePatch.1.3; .NET4.
#9 eimi^® 2012-01-10 21:02:45 0
@RRR: dziękuję, masz rację, poprawione! niestety gubię się w nazwach powyżej 10^60.

Biometryka to fatalne rozwiązanie. Czyni z ciebie najsłabszy punkt całego systemu, zachęca do ataków na ciało. Póki co zaś wciąż trudniej dostać się do naszej pamięci, niż do np. linii papilarnych czy siatkówki.

@BlackBear, nie, miałem na myśli cyferpunków (http://en.wikipedia.org/wiki/Cypherpunk) Cyberpunki to twarde hardkory i się hasłami nie przejmują :), tylko siłowo wypalają chrom.
IP: 90.156.32.[...] Mozilla/5.0 (X11; Linux x86_64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
#10 ani 2012-01-11 07:24:45 0
Problem leży jeszcze w ograniczeniach przy wpisywania haseł w większości stron/witryn.

Czyli np.:

- max 8 czy 15 znaków

- nie można używać białych znaków

- nie można używać diakrytycznych

- można tylko specyficzne typy, np. a-zA-Z0-9\.\-\_ etc

Nie wiem, czym np. jest takie ograniczenie w Hotmail i nie tylko, że tam można tylko użyć max 15 znaków.

Tak samo podobnie, ale przy loginie jest w Gmail, gdzie nie można użyć np znaku _ (podkreślenia). Do tego Ja.Jestem jest równoważne z jajestem - dziwne, ale ok niech im będzie...

Aha. I wytłumaczy mi kto dlaczego tylko jeden wyraz z captcha wystarczy wpisać? Tzn nie trzeba drugiego przepisywać?!

Pzdr
IP: 178.181.176.[...] Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.9.2.18) Gecko/20110628 Ubuntu/10.04 (lucid) Firefox/3.6.18
#11 George 2012-01-11 08:07:45 0
No nie wiem, czy biometria to takie super zabezpieczenie. Co bowiem zrobić, jeśli zabezpieczenie takie zostanie złamane? Jestem przekonany, że gdy taki system zabezpieczania stanie się powszechny, upowszechnią się także metody jego łamania: np. sztuczne palce z kopiami linii papilarnych i problem powróci. Hasło można zmienić, ale jak zmienić linie papilarne lub wzór siatkówki oka?
IP: 109.197.60.[...] Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
#12 biometria jest be 2012-01-11 10:25:37 0
Większość tanich czytników można złamać żelatynowym odciskiem palca, bo nie sprawdzają żywotności wzorca.

Podobnie poddaje się bardzo dużo skanerów tęczówki - przy pomocy odpowiednio spreparowanego zdjęcia. Też dlatego, że nie potrafią odróżnić czy to żywy obiekt czy spreparowany.
IP: 195.205.254.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.15) Gecko/2009101601 Firefox/3.0.15 (.NET CLR 3.5.30729)
#13 od dawna 2012-01-11 12:36:11 0
od dawien dawna wiadomo, ze najslabszym ogniwem w tym calym haslowaniu jest czlowiek, co z tego, ze wymysli sobie jakas fraze jak ja zapisze na zoltej karteczce na monitorze salon kosmetyczny Opole depilacja Opole kosmetyczka Opole
IP: 77.253.64.[...] Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
#14 sevencats 2012-01-11 13:38:46 0
No cóż, wynika, że należy wyeliminować człowieka ;) Na poważnie: zdumiewa mnie narzekanie na lenistwo ludzi, itp. Zmusza się bogu ducha winnego człowieka do zapamiętywania dziesiątków pinów, puków, haseł, a potem zdziwienie, że usiłuje jakoś przez to przebrnąć. Są ważniejsze rzeczy do zapamiętania niż 50 haseł do 50 różnych usług. Ile fraz trzeba by w miejsce haseł zapamiętać? Mogę się założyć, że i tak większość użyje: "sezamie otwórz się" do wszystkiego albo czegoś równie popularnego. Mnóstwo razy widziałem ludzi przed bankomatami w panice grzebiących w małych karteczkach wyjętych z portfela.

Sprawę skanowania odcisków palców i w ogóle łamanie zabezpieczeń w społeczeństwie informatycznym zgrabnie i profetycznie opisał Janusz Zajdel w "Limes inferior".

Po prostu nie ma dobrej metody. To czego nie da się złamać, nie da się też zapamiętać.

Teraz próbuje się łączyć usługi bez potrzeby oddzielnego logowania, ale jak ktoś Ci wykradnie jedno hasło ma dostęp do wszystkiego.

Teraz akurat siedziałem i odświeżałem kilka razy captcha, bo odczytać nie mogłem. Te wyrazy są coraz bardziej zniekształcone. Może kurs odczytywania niedługo trzeba będzie dołączać.
IP: 46.112.176.[...] Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
#15 obsservator 2012-01-11 13:51:31 0
Fraz używam od wielu lat tam, gdzie się da. Jeżeli jeszcze wtrąci się jedną, czy dwie cyfry, tudzież wielką literę, a fraza ma przynajmniej 30 znaków, algorytmy brute-force będą bezradne. Język polski jest dodatkowym utrudnieniem przy próbach ataków słownikowych, bo przy frazie słowa oczywiście się odmienia... Jeżeli usługa nie pozwala na użycie spacji, zawsze można zlepić słowa, wpisywania to specjalnie nie utrudnia... Dodatkowa zaleta to fakt, że osoba dobrze pisząca na klawiaturze frazę wpisze znacznie szybciej niż hasło z przypadkowych znaków, nawet jeżeli je pamięta. To utrudnia podpatrzenie wpisywania (no, chyba że ktoś nas kamerą sfilmuje...).
IP: 212.33.95.[...] Mozilla/5.0 (Windows NT 5.1; rv:8.0.1) Gecko/20100101 Firefox/8.0.1
#16 pozmu^® 2012-01-11 16:56:59 0
@BLACK BEAR®

albo bluetooth

✌✌✌✌✌
pozmu.net blog.pozmu.net
IP: 2.98.216.[...] Opera/9.80 (Windows NT 6.1; U; Edition United Kingdom Local; pl) Presto/2.10.229 Version/11.60
#17 spinlock_rw 2012-01-11 19:24:37 0
O wiele łatwiej jest zapamiętać długą fraze "moja_kochana_zona_ma_piekne_niebieskie_oczy_i_czarne_dlugie_wlosy" niż krótkie haksiorskie słabe hasełko "d
IP: 94.40.119.[...] Mozilla/5.0 (Ubuntu; X11; Linux i686; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
#18 jack 2012-01-16 09:45:37 0
Wyjściem z sytuacji zdaje sie czytniki lonii ppilarnych niegdyć stosowane w np. laptopach . wygląda jednak na to, że nie za bardzo ten sposób jajlepszego zabezpieczenia sie przyjął .
IP: 89.229.187.[...] Mozilla/5.0 (Ubuntu; X11; Linux i686; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
#19 hjhggg 2012-01-16 10:52:13 0
idiotyzm po co spacje.mozna je omija
IP: 77.65.118.[...] Mozilla/5.0 (X11; U; Linux armv7l like Android; en-us) AppleWebKit/531.2+ (KHTML, like Gecko) Version/5.0 Safari/533.2+ Kindle/3.0+

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.