11 sierpnia 2017, Wojciech Kulik

Hasło powinno być długie i proste

Kategoria: Ciekawostki Technologie i Firma Internet Bezpieczeństwo, Tematyka: Bezpieczeństwo w firmie

Hasło powinno być długie, by jego rozszyfrowywanie zajmowało jak najwięcej czasu i proste, żebyśmy byli w stanie je zapamiętać.

Przynajmniej jedna cyfra, jeden znak specjalny, po jednej wielkiej i małej literze i brak autentycznych słów w ich „naturalnej” formie. Z tymi wskazówkami dotyczącymi tworzenia „mocnego hasła” w Internecie spotkał się chyba każdy. Rzecz w tym, że podążanie za takimi radami wcale nie zapewni nam bezpieczeństwa w firmie ani w domu. A przynajmniej bezpieczeństwo nie będzie większe niż gdybyśmy postawili na najzwyklejszy w świecie możliwie najdłuższy ciąg znaków (choćby i miał to być „prawdziwy” wyraz za „prawdziwym” wyrazem). 

Człowiek, któremu przypisuje się stworzenie i popularyzację tych wskazówek – Bill Burr – ma dziś 72 lata i zdaje się mówić „$0rRy”. Przyznaje, że zasada „liter, liczb i znaków” oraz zmiany hasła co 90 dni, ostatecznie przez te wszystkie lata tylko wywoływała irytację i prowadziła do tego, że mamy większy problem z zapamiętywaniem haseł, bo te nie brzmią normalnie. Tymczasem „zwykłe” hasła właśnie mogą okazywać się nawet bezpieczniejsze. Dobrze obrazuje to nie-taki-nowy komiks XKCD:

hasła komiks
ilustracja: XKCD (CC BY 2.5)

Bill Burr, który zawarł swoje wskazówki w 8-stronicowym poradniku, gdy pracował dla amerykańskiego Narodowego Instytutu Standaryzacji i Technologii, stwierdził ostatnio, że są one w zasadzie bezużyteczne. On sam nie był ekspertem z dziedziny cyberbezpieczeństwa i nie do końca wiedział, jak działają hasła, więc sugerował się tylko swoimi – błędnymi, jak się okazuje – przypuszczeniami. 

Burr przeprasza, ale nie do końca można go winić. Wtedy wiedza na ten temat nie była tak powszechna jak dzisiaj, a i nie można było przewidzieć, że te zasady tak się zakorzenią. Zresztą nie jemu jednemu jest przykro z powodu tego, czego dokonał. Autor wyskakujących okienek też nie wiedział, że doprowadzi to do plagi irytujących reklam (i przeprasza), a Tim Berners-Lee, czyli ojciec WWW, przeprasza za niepotrzebne podwójne ukośniki w adresach internetowych.

Wracając do haseł, eksperci najczęściej dają teraz tylko dwie rady dotyczące ich tworzenia. Pierwsza jest taka, by były one możliwie najdłuższe (bo im więcej znaków, tym trudniej jest je rozszyfrować), druga – by nie zawierało informacji osobistych (np. daty urodzenia, imion bliskich itp.) ani nie tworzyło sensownego zdania. Dodają też, że zmiana hasła nie jest wymagana co 90 dni, lecz najlepiej jest to robić wtedy, gdy pojawia się podejrzenie, że ktoś mógł wejść w jego posiadanie.

Źródło: Inquirer, Gizmodo, Wall Street Journal. Ilustracja: Clker-Free-Vector-Images/Pixabay

Komentarze

  • mgkiler, #

    DOKŁADNIE.

    Od dawna o tym mówiłem.

    Wreszcie to zrozumieli.

    Mnie też to wkurzało jak musiałem po 5 razy przechodzić rejestrację, bo trzeba mieć dużą, małą, cyferkę, znaczek, itp w haśle...

  • chotnik2, #

    Trzeba miec cyfre, znaczek, a haslo max 8 znakow...

  • echnat0n, #

    A wystarczy dobry menedżer haseł i w zasadzie problem znika.

  • Snack3rS7PL, #

    Open source mam rozumieć?

  • chotnik2, #

    Heartbleed w OpenSSL i ostatnio 2 dziury w kernelu Linuxa dzieki ktorym mozna bylo zdobyc roota przez przepelnienie stosu CPU, pokazaly ze oprogramowanie open source nie jest takie bezpieczne za jakie sie je uwaza.

  • Snack3rS7PL, #

    Raczej chodzi o wartość zaufania - tzw. trustworthy. Bezpieczeństwo przecież można poprawić, a open-source daje pewne zaufanie.

  • Johny6, #

    Racja! Używajcie długich, łatwych do zapamiętania haseł słownych żeby byle gimbazol rozbroił je w najdalej godzinę prostym atakiem słownikowym.

  • deLillah, #

    Czytamy ze zrozumieniem. Tak, szkoła nie oferuje takiego przedmiotu.

  • kitamo, #

    atakiem słownikowym?
    matko bosko :)

    spróbuj rozbroić hasło takim sposobem przy uzyciu 5 randomowych słów.
    Nie zdajesz sobie sprawy chyba ile czasu by to zajęło i jak bardzo nieskuteczna jest ta metoda przy wpisaniu znaków ciągiem.

  • chotnik2, #

    Dokladnie.
    Polecam zobaczyc ile jest kombinacji 5 wybranych slow z calego jezyka polskiego ustawionych w dowolnej kolejnosci.

  • chotnik2, #

    Ale bredzisz.
    Ty widziales taki slownik co zawiera np. wyrazy grupowane po 5 we wszystkich mozliwych kombinacjach i jeszcze wszystkie wyrazy z tego jezyka?
    Do tego :
    1. atakujacy nie wie, ze ty uzywasz takiej metody, predzej bedzie strzelal w znaki specjlane i duze litery
    2. mozesz zmiksowac jezyki, powodzenia ze ktos ma takie polaczone i jeszcze 2-3 jezykowe slowniki
    3. Podstawa tej zasady (co jest dla ogarnietych oczywiste, widac dla ciebie nie) jest to ze atakujacy nie wie:
    - ile jest slow
    - ile jest znakow w sumie
    czyli masz do sprobowania np od 1 do 10 slow X wszystkie mozliwe slowa jezyka X umieszczone w dowolnej kombinacji.
    Zaleta dlugich hasel jest wlasnie to, ze nie wiadomo jak sa dlugie.

    Dodatkowo mozesz to jeszcze umocnic jakas regula ktora tylko ty znasz, np :
    - ostanie o w ostatnim wyrazie zamieniam na 0 (jestdzisladnapog0da)
    - ostatnie litery wyrazow zmieniam na duze (jesTdziSladnApogodA)
    - wstawiam jakas ulubiona liczbe np. po 2 wyrazie (jestdzis666ladnapogoda)

    To eleminuje z zasadzie jakiekolwiek ataki slownikowe i szkoda ze ta grafika nie podpowiada chociaz 1 takiego udziwnienia.

  • Kenjiro, #

    Szkoda tylko, że niektóre firmy (nawet lub szczególnie banki) mają błędne przeświadczenia i np. ograniczają długość hasła, nawet do 12 znaków!
    Dla mnie np. sklep, który ogranicza długość hasła poniżej 20 znaków jest z góry spalony.

  • darioz, #

    W przyszłości kiedy będą komputery kwantowe i super komputery z procesorami 1000 Ghz będą łamać hasła to trzeba będzie tworzyć takie hasła, które nie tylko mają, duże, małe, litery, cyfry i podstawowe znaki specjalne jakie są na klawiaturze jak !? ale i takie których nie ma na klawiaturze, ale można je wpisać np przez wciśnięcie jakiejś kombinacji klawiszy czyli, jak nuty, ułamki, pierwiastki, figury geometryczne czyli trójkąty, kwadraty, trapezy, równoległoboki i koła!
    Do takich haseł trzeba będzie również wpisywać litery z różnych języków np z alfabetu chińskiego czy arabskiego!
    Dopiero takie hasło składające się z ponad 100 takich nietypowych znaków (nut, trójkątów, trapezów, ułamków, pierwiastków) sprawi że hasła będą nie do złamania!!!

  • Kiciulek, #

    wtedy będą inne sposoby poświadczeń

  • Snack3rS7PL, #

    Toś poleciał z tymi figurami :D Może jeszcze sześciany, równoległoboki, ostrosłupy? :D Nie mogę xD

  • chotnik2, #

    Niestety dalej sa systemy gdzie sa mocne limity na haslo np. musi miec od 8 do 12 znakow... Raj dla brute forca.

Dodaj komentarz

Dodawanie komentarzy tylko w wersji dla PC. Już wkrótce wersja mobilna.

Nie przegap