"Używaj bezpiecznego hasła” – to jedna z najczęstszych porad dotyczących bezpieczeństwa w świecie nowych technologii. Spotykamy się z nią tak często, w pracy jak i poza nią, że powinniśmy zdawać sobie doskonale sprawę z tego, jak takie hasło powinno wyglądać i jak należy z niego korzystać. Ale jak to wygląda w praktyce?
Powszechnie znany jest wzorzec dobrego hasła – powinno mieć nie mniej niż osiem znaków i zawierać zarówno małe, jak i wielkie litery oraz cyfry lub znaki specjalne. Wymóg taki jest określony m.in. w ustawie o ochronie danych osobowych i dotyczy kont użytkowników przetwarzających dane osobowe w systemach informatycznych podłączonych do internetu. Co więcej – ustawa wymaga, aby takie hasła były zmieniane nie rzadziej niż co 30 dni. I jest to z pewnością polityka gwarantująca używanie silnych haseł, ale... z punktu widzenia audytorów bezpieczeństwa ma ona jedną olbrzymią wadę!
Hasła – te bezpieczne – generowane są często przez automaty i próba ich zapamiętania stanowi nie lada wyzwanie dla użytkowników. Zwłaszcza jeśli potrzeba taka występuje przynajmniej raz w miesiącu. Oczywiste zatem staje się, że każdy użytkownik swoje bezpieczne hasło będzie chciał gdzieś zapisać. I tutaj można by mnożyć przypadki haseł zapisanych w sposób, który z bezpieczeństwem nie ma nic wspólnego: od karteczek samoprzylepnych na monitorze lub pod klawiaturą do wydruków upublicznionych na tablicach ściennych. W rezultacie mamy więc efekt całkowicie odwrotny do zamierzonego.
Aby zastanowić się nad tym problemem, należy przeanalizować najpierw jego źródło. Wzorzec silnych haseł został oparty na doświadczeniach płynących z analizy przeprowadzanych na nie ataków. Warto wiedzieć, że ataki takie mogą polegać na próbach odgadnięcia hasła lub też jego złamania.
W pierwszym przypadku atak odbywa się z wykorzystaniem tzw. słownika – zbioru ciągów znaków, które są najczęściej używane jako hasła. Będą to więc m.in. zarówno wyrazy (np. „admin”, „haslo”, „pass”), jak i kolejne znaki znajdujące się koło siebie na klawiaturze (np. „qwerty” czy „1qaz”). Skąd wiadomo, które hasła są najbardziej popularne? Z wycieków baz danych z nieodpowiednio zabezpieczonymi hasłami... Atak metodą słownikową nie daje gwarancji odgadnięcia hasła, ale jest bardzo szybki i stanowi najczęściej pierwszy krok hakera w próbie przełamania zabezpieczeń systemu informatycznego.
Drugi rodzaj ataku, tzw. metoda brute-force, czyli siłowego przełamania hasła, polega na automatycznym generowaniu ciągów znaków losowo lub też systematycznie w oparciu o założony schemat (np. zaczynając od „aaa”, „aab”, „aac” itd.). Ponieważ atak ten bazuje na automatyzacji, jego skuteczność zależy przede wszystkim od mocy obliczeniowej sprzętu, z którego wykorzystaniem jest przeprowadzany. Warto wiedzieć, że złamanie hasła złożonego z czterech dowolnych znaków z wykorzystaniem typowego domowego laptopa zajmie hakerowi nie więcej niż kilka minut, hasło o długości do sześciu znaków podda się w ciągu 30 godzin, ale na złamanie takiego o długości ośmiu znaków potrzeba już 36 lat! Niestety, zmotywowani hakerzy potrafią zaangażować w tym celu nie tylko pojedyncze maszyny, ale też całe sieci złożone z kilkuset lub nawet kilku tysięcy komputerów, co pozwala znacząco skrócić czas potrzebny na złamanie hasła. Atak ten gwarantuje też, że krótkie hasło prędzej czy później zostanie złamane!
Wiemy już zatem, czym kierowano się przy ustalaniu wzorca bezpiecznego hasła: nie powinno być ogólnie znanym słowem oraz powinno być na tyle długie, aby nie dało się go łatwo złamać metodą siłową. Pozostaje zatem kwestia zapamiętywania i przechowywania haseł. Aby uniknąć zapisywania ich na karteczkach lub w notatniku, zaleca się wykorzystanie aplikacji umożliwiających stworzenie bezpiecznej bazy, np. darmowych Password Safe lub KeePass. Jest to najlepsze rozwiązanie dla haseł zmienianych co 30 dni. A jeżeli chcielibyśmy łatwiej pamiętać nasze hasła, to najlepiej niech będą to długie frazy, np. cytaty z wierszy lub piosenek przedzielane cyframi lub znakami specjalnymi, np.: „WlazłKotek2NaPłotek!”. Pomimo użycia popularnych wyrazów, nie da się takiego hasła łatwo odgadnąć, a jego długość praktycznie uniemożliwia skuteczność ataków siłowych. Z hasłami wiążą się jeszcze inne kwestie bezpieczeństwa, ale o tym już następnym razem...
Złamanie hasła złożonego z czterech dowolnych znaków zajmie hakerowi wyposażonemu w typowy domowy laptop nie więcej niż kilka minut, hasło o długości do sześciu znaków podda się w ciągu 30 godzin.