|
Zapewne każdy z nas zna historię o Alibabie i czterdziestu rozbójnikach. Jak wiemy by dostać się do skarbu, należało wypowiedzieć słowa: "Sezamie otwórz się!".
 Zatem na podstawie tego bajkowego przykładu widzimy, że już starożytni Persowie używali pewnego rodzaju haseł, które strzegły dostępu do ich kosztowności. Mimo tak dużego postępu technicznego jaki miał miejsce na przełomie ostatnich, hasła nadal są najpowszechniejszą metodą uwierzytelniania. Współczesne mechanizmy wykorzystujące hasła, strzegą dostępu nie tylko do systemów informatycznych. Jednak w tej dziedzinie stały się podstawowym elementem bezpieczeństwa. Do tak dużej popularności tej metody uwierzytelniania przyczynił się z pewnością fakt, że w systemach informatycznych metoda ta nie wymaga dodatkowych kosztów (na jakie z pewnością bylibyśmy narażeni decydując się na innego rodzaju zabezpieczenia na przykład czytniki kart elektronicznych). Zapewne dużym plusem takiego rozwiązania jest również to, że chyba wszyscy użytkownicy wiedzą jak z niego korzystać. We współczesnych systemach informatycznych w celu uwierzytelnienia się, musimy podać hasło, a także nazwę użytkownika. Dzięki takiemu rozwiązaniu komputer nie tylko „wie”, że dana osoba jest uprawniona do korzystania z jego zasobów, ale także ma możliwość sprawdzenia z kim ma do czynienia. Mimo wielu zalet jakie niesie ze sobą używanie haseł, metoda ta nie jest bezpieczna. Chyba najpowszechniejszą techniką wykorzystywaną przez hakerów, w celu dostania się do zabezpieczonych systemów, jest właśnie odgadywanie haseł, bądź ich łamanie za pomocą specjalistycznych narzędzi. Sytuacja taka ma miejsce ponieważ znaczna większość użytkowników, nie rozumie istoty tego mechanizmu i nie umie stworzyć haseł na tyle skomplikowanych, by ich odgadnięcie przez osoby niepowołane było niemożliwe.
Słabe hasła
Najczęściej stosowane hasła są po prostu zbyt proste. Takie hasła dają możliwość ataku siłowego (ang. brute force). W tej metodzie haker stara się odgadnąć hasło, podając jego wszystkie możliwe kombinacje. Przyczyn tworzenia zbyt słabych haseł jest wiele. Bardzo często wybieramy hasła, które łatwo jest nam zapamiętać. W gruncie rzeczy nie jest to złe rozumowanie, jednakże takie hasła są łatwe do odgadnięcia przez inne osoby. Powinniśmy pamiętać, że dobre hasła to hasła łatwe do zapamiętania przez właściciela, a zarazem trudne do odgadnięcia przez intruza. Zatem jako hasła nie powinniśmy wybierać:
- nazwisk, pseudonimów, imion ukochanych osób (na przykład Gosia), imion przyjaciół, ulubionych aktorów (na przykład Sylwester) czy zwierząt (na przykład PiesKuba), przezwisk, widzimy więc, że w ogóle nie powinniśmy stosować żadnych nazwisk czy imion,
- nazwy naszego komputera czy używanego systemu operacyjnego,
- numeru naszego samochodu, telefonu, prawa jazdy, dowodu osobistego czy paszportu lub też nazwy ulicy, na której mieszkamy – nie powinniśmy używać żadnych informacji, które łatwo jest zdobyć,
- nazw miejscowości, kraju, kontynentów, rzek, jezior czy gór – zatem ogólnie nazw geograficznych,
- dat urodzin naszych lub naszych bliskich, znajomych,
- słów ze słownika,
- ciągów składających się z tych samych znaków (na przykład: dddddddd, 77777777 czy $$$$$$$$) lub ciągów będących kolejnymi znakami na klawiaturze (na przykład 12345678, zxcvbnm)
- wulgaryzmów, przekleństw także w obcych językach (na przykład fuck you),
- wyrazów pisanych wspak (na przykład toor czyli root pisany wspak).
Często do haseł stworzonych wymienionymi powyżej metodami dodawane są2 różne przedrostki lub końcówki, na przykład: 23Piotrków, Pilica19, Krzysiek25 i tak dalej. Inną metodą stwarzającą pozornie lepsze zabezpieczenie jest zastępowanie liter innymi znakami, graficznie do nich podobnymi. Litera l (małe L) zastępowana jest czasami przez 1 (jeden) na przykład A1icja, lub I (duże i) na przykład PoIitechnika. Spotyka się również stosowanie zamiast O (duże o) - 0 (zero) na przykład Z0RR0. Oczywiście sztuczki tego typu są pewnym utrudnieniem, ale nie rozwiązują one problemu słabych haseł. Hasła odgrywają bardzo ważną rolę i tylko od nas będzie zależało jak dobrze zabezpieczymy nasz system przed niepowołanymi osobami. Dobrym przykładem na to w jaki sposób słabe hasło może zostać wykorzystane do naruszenia systemu był robak Morrisa. Program ten (autorstwa Roberta Morrisa, stydenta Cornell University) wykorzystywał słabe punkty zabezpieczeń w celu dostania się do systemów komputerowych i replikowania się. Właśnie jednym z takich punktów były słabe hasła.
Dobre hasła
Chcąc stworzyć bezpieczne hasło, musimy wiedzieć, że takie hasło nie istnieje, gdyż wszystkie hasła można złamać metodą siłową (ang. brute force attack), czyli metodą sprawdzającą wszystkie istniejące możliwości. Powinniśmy jednak wiedzieć jak wiele mamy możliwości tworzenia haseł3. Jeśli za „k” przyjmiemy liczbę dostępnych na klawiaturze znaków, a „j” oznaczać będzie długość hasła (czyli liczbę jego znaków), wówczas, ze wzoru Lhaseł = kj jesteśmy w stanie wyliczyć liczbę możliwych do utworzenia haseł, gdyż z matematycznego punktu widzenia są to wariacje z powtórzeniami. Na tej podstawie, jeśli nasze hasło będzie się składało z dwóch znaków i jeśli za „k” przyjmiemy 26, gdyż przeważnie tyle mamy liter na klawiaturze, wówczas istnieje tylko 676 możliwości jego kombinacji. W przypadku hasła 8 literowego liczba ta wynosi już ponad 208 milionów. W tych przypadkach założyłem, że do ich stworzenia użyte zostały tylko duże lub tylko małe litery. Współczesne systemy uwierzytelniania rozróżniają przeważnie oba rodzaje liter, a także dają możliwość używania cyfr lub innych dowolnych znaków. Wówczas tworząc hasło złożone z ośmiu liter i mając do dyspozycji na przykład 100 różnych znaków, liczba możliwych kombinacji wynosi 10000000000000000. Liczba ta mówi chyba sama za siebie. Niektóre systemy dopuszczają możliwość stosowania haseł o długości nawet do 32 znaków! Widzimy więc, że wybierając hasło mamy bardzo dużo możliwości.
Oczywiście długość hasła nie świadczy o bezpieczeństwie systemu, jednak powinniśmy pamiętać, że im dłuższego hasła użyjemy, tym trudniej będzie je złamać. Chcąc zatem stworzyć hasło, które będzie stosunkowo trudno złamać, powinniśmy przestrzegać pewnych podstawowych zasad. Dobre hasło, to takie, które nie znajduje się w żadnym słowniku i nie pochodzi z żadnego języka (także z języka programowania), nie powinno być również modyfikacją takiego słowa. Aby móc powiedzieć, że dane hasło jest dobre powinno ono:
- składać się co najmniej z ośmiu znaków,
- zawierać duże i małe litery, a także cyfry, znaki specjalne i symbole (na przykład: %,#,*,@ i tym podobne ),
- być łatwe do wprowadzenia z klawiatury (by uniknąć podpatrzenia przez inne osoby nie powinniśmy wprowadzać go jedną ręką czy jednym palcem),
- być łatwe do zapamiętania, a tym samym trudne do odgadnięcia, mogą to być na przykład pierwsze litery słów z ulubionej piosenki na przykład: Józek nie daruję ci tej nocy! – zatem hasłem będzie J,ndctn! Takiego hasła na pewno nie znajdziemy w słowniku,
- być złożone na przykład z dwóch wyrazów połączonych ze sobą znakiem specjalnym na przykład BMW&Mercedes,
- być stworzone na podstawie ważnej dla nas daty, ale w taki sposób, że bierzemy dwie pierwsze litery nazw cyfr końcowych: dnia, miesiąca, roku oraz nazwy dnia tygodnia na przykład dla daty 13.05.2002 niedziela, będzie to trpidwni.
Stworzenie właściwego hasła (na przykład korzystając z powyższych wskazówek) nie jest elementem wystarczającym, który rozwiąże problem bezpieczeństwa. Konieczna jest także właściwa edukacja użytkowników. Powinni oni być świadomi zagrożeń, które mogą być następstwami niewłaściwej polityki operowania hasłami. Jak ważna jest ochrona haseł świadczyć może wypowiedź Kevina Mitnicka, jednego z najsłynniejszych hakerów na świecie. Po odsiedzeniu pięciu lat w jednym z amerykańskich więzień, na konferencji prasowej – zresocjalizowany haker – opisywał jak włamywał się do systemów. Ostrzegał on informatyków i menedżerów odpowiedzialnych za bezpieczeństwo wielkich korporacji. Mitnick oświadczył, że nigdy nie używał aplikacji hakerskich ani nie krył zbytnio swojej osoby. Powiedział, że najsłabszym ogniwem są ludzie: „Inwestujecie miliony w ściany ogniowe, systemy biometryczne i najprzeróżniejsze zabezpieczenia techniczne. A potem się okazuje, że wasz pracownik zapisał tajne hasło na karteczce i przylepił do monitora swego komputera”. Widzimy więc, że nie wystarczy stworzyć odpowiednio dobrego hasła, konieczne jest również przestrzeganie pewnych zasad:
- hasła nie powinny być nigdzie zapisywane (na przykład na karteczce przylepionej do monitora, powyższy przykład świadczy o tym, że w wielu przypadkach właśnie tak jest),
- konieczne jest częste zmienianie używanych haseł (na przykład zgodnie z zaleceniami ustawy o ochronie danych osobowych co najmniej raz na miesiąc),
- próby wpisania błędnych haseł powinny być limitowane, a w momencie przekroczenia limitu konto użytkownika powinno być blokowane,
- konieczne jest stosowanie znaków maskujących w czasie wpisywania hasła z klawiatury (na przykład********),
- system powinien wymuszać zmianę hasła przez użytkownika po upływie ustalonego okresu (na przykład po miesiącu),
- system powinien wyświetlać informacje o czasie ostatniego logowania (zarówno udanego i nieudanego), by użytkownik był w stanie zareagować w przypadku nielegalnych prób logowania,
- administrator powinien mieć możliwość zmiany haseł użytkowników, ale nie powinien ich znać,
- wszystkie wzorce haseł powinny być przechowywane w zaszyfrowanym pliku systemowym,
- należy pamiętać by w razie nawet chwilowej przerwy w pracy wylogować się z systemu, gdyż uniemożliwi to nieuprawnionej osobie wykonania nielegalnych procedur, za które odpowiadałby legalny użytkownik terminala,
- nie powinno używać się tego samego hasła w więcej niż jednym miejscu, gdyż w przypadku złamania go, podsłuchania lub odgadnięcia w jakiś inny sposób, wszystkie konta, które zabezpiecza stoją otworem,
- bardzo niebezpieczne jest używanie takiego samego hasła w systemie, jak nazwa użytkownika (na przykład Gosia Gosia).
Przeciętny użytkownik wpisuje swoje hasło przynajmniej raz dziennie i uważa, że jeżeli jest ono wystarczająco skomplikowane i nie zostało ono nikomu udostępnione, to jego dane są bezpieczne. Hasła są używane nie tylko do weryfikacji tożsamości użytkowników przy dostępie do plików, które przechowywane są na prywatnych kontach, lecz również podczas pracy z wielopoziomowymi zabezpieczeniami systemów baz danych. Kiedy użytkownik podaje hasło, nie jest ono wyświetlane na ekranie, aby uniemożliwić podejrzenie go przez osoby niepowołane. Pomimo tego, że hasła są dobrze strzeżone i system komputerowy ich nie wyświetla, konfiguracja w której każdy znak jest wysyłany przez sieć, umożliwia niezwykle proste ich przechwycenie przez programy typu sniffer. Użytkownicy nie zdają sobie sprawy, jak łatwo można ujawnić ich hasła przy pomocy prostego i łatwo dostępnego oprogramowania. |
Zatem na podstawie tego bajkowego przykładu widzimy, że już starożytni Persowie używali pewnego rodzaju haseł, które strzegły dostępu do ich kosztowności. Mimo tak dużego postępu technicznego jaki miał miejsce na przełomie ostatnich, hasła nadal są najpowszechniejszą metodą uwierzytelniania. Współczesne mechanizmy wykorzystujące hasła, strzegą dostępu nie tylko do systemów informatycznych. Jednak w tej dziedzinie stały się podstawowym elementem bezpieczeństwa. Do tak dużej popularności tej metody uwierzytelniania przyczynił się z pewnością fakt, że w systemach informatycznych metoda ta nie wymaga dodatkowych kosztów (na jakie z pewnością bylibyśmy narażeni decydując się na innego rodzaju zabezpieczenia na przykład czytniki kart elektronicznych). Zapewne dużym plusem takiego rozwiązania jest również to, że chyba wszyscy użytkownicy wiedzą jak z niego korzystać. We współczesnych systemach informatycznych w celu uwierzytelnienia się, musimy podać hasło, a także nazwę użytkownika. Dzięki takiemu rozwiązaniu komputer nie tylko „wie”, że dana osoba jest uprawniona do korzystania z jego zasobów, ale także ma możliwość sprawdzenia z kim ma do czynienia. Mimo wielu zalet jakie niesie ze sobą używanie haseł, metoda ta nie jest bezpieczna. Chyba najpowszechniejszą techniką wykorzystywaną przez hakerów, w celu dostania się do zabezpieczonych systemów, jest właśnie odgadywanie haseł, bądź ich łamanie za pomocą specjalistycznych narzędzi. Sytuacja taka ma miejsce ponieważ znaczna większość użytkowników, nie rozumie istoty tego mechanizmu i nie umie stworzyć haseł na tyle skomplikowanych, by ich odgadnięcie przez osoby niepowołane było niemożliwe.