07/06/2013

Hasła na miarę XXI wieku

Porady

Niemal wszystkie instrukcje dotyczące bezpieczeństwa komputerowego, niezależnie od tego, czy mówimy o stronie pomocy na Facebooku, zasadach obowiązujących w firmie czy poradnika z serii „…. dla opornych”, zachęcają, abyśmy zawsze używali mocnych haseł. Z czasem zalecenie to stało się standardem, mimo że samo pojęcie „dobrego” hasła nieustannie zmienia się i nie ma sensu przypominać porady z lat 90-tych dotyczącej wybierania haseł. A zatem zastanówmy się na nowo, jak stworzyć mocne i niezawodne hasło.

35_21st_century_passwords

Po co to wszystko?

Hasła złożone z liter, cyfr i znaków specjalnych zaczęto najpierw stosować w celu ochrony kont komputerowych lub lokalnych dokumentów i archiwów. Nawet jeśli były zaszyfrowane, nadal możliwy był dostęp fizyczny do takich zasobów – ktoś mógł po prostu wpisywać po kolei hasła, aż trafił na poprawny „klucz”. Metoda ta, zwana „bruteforce”, była bardzo skuteczna w przypadku krótszych haseł. Im dłuższe i bardziej złożone hasło, tym więcej czasu zajmuje sprawdzenie wszystkich opcji. Hasło składające się z 4-5 znaków może zostać złamane w ciągu kilku sekund, jednak każdy nowy znak zwiększa czas potrzeby na złamanie go dziesięciokrotnie. To samo dotyczy kombinacji liter, symboli i cyfr – dodanie tych znaków znacznie zmniejszy szansę na złamanie hasła przy użyciu metody „bruteforce”.

Naturalnie, i tutaj istnieje pewien haczyk – jeżeli hasło będzie jedynie słowem – nawet długim i egzotycznym – łatwo będzie można je znaleźć. Wystarczy po prostu wypróbować każde słowo w słowniku – w końcu nie ma aż tak wiele słów na świecie. Dodatkowa cyfra w haśle znacznie zwiększa złożoność. Dlatego też eksperci zalecają stosowanie kombinacji liter, cyfr oraz innych znaków. Jednak takie hasła, oprócz tego, że są trudniejsze do odgadnięcia, są również trudniejsze do zapamiętania.

Dzisiaj sytuacja jest dość złożona: z jednej strony, wiele serwisów internetowych blokuje jakąkolwiek możliwość ataku typu „bruteforce”, mimo że w niektórych przypadkach nadal jest to możliwe. Z drugiej strony, dzięki botnetom złożonym z zainfekowanych komputerów hakerzy mają do dyspozycji potężną moc obliczeniową, którą mogą wykorzystać do szybszego złamania haseł.

Realia współczesności

Obecnie niemal każdy korzysta z wielu serwisów internetowych i każdy z nich wymaga hasła. Posiadanie tylko jednego hasła do wszystkiego jest ryzykowne, ponieważ złamanie hasła dla jednego serwisu mogłoby otworzyć drzwi do całego twojego życia cyfrowego. Jednak tylko ludzie o specjalnych zdolnościach mogą zapamiętać unikatową kombinację taką jak Xp89$ABG-faw?6 dla każdej odwiedzanej strony. Jak wybrać hasło, które jest zarówno bezpieczne jak i wygodne?

Recepta na hasło idealne

Najważniejsza zasada dotycząca tworzenia współczesnych haseł brzmi: hasło musi być długie. Można dodać kilka znaków, trzeba jednak uważać, aby nie powstał nic nieznaczący bełkot. Użyj łatwej do zapamiętania frazy i wprowadź do niej kilka zmian, aby zapobiec prostemu atakowi słownikowemu. ThereIsNothingEitherGood0Bad to znane, lekko zmodyfikowane zdanie. O wiele łatwiej zapamiętać znaną sentencję i kilka modyfikacji niż zestaw nic nieznaczących znaków. Uważaj jednak, Szekspir i inni klasycy nie są najlepszym źródłem fraz na hasła. Lepiej wymyśleć łatwą do zapamiętania własną frazę. Stosuj jedną frazę dla jednego serwisu.

Podczas wyboru długości i złożoności swojej frazy należy uwzględnić kilka czynników: wartość chronionych danych, prawdopodobną częstotliwość wprowadzania haseł oraz potencjalną potrzebę wprowadzania hasła na urządzeniu mobilnym *. Czynniki te wpływają na złożoność modyfikacji. Na przykład, EitherGood0Bad jest dobrym hasłem dla darmowego serwisu muzycznego, jednak już w przypadku głównego konta pocztowego lub internetowego serwisu bankowego, powinieneś stworzyć hasło w rodzaju There1sNothingEitherGood0BadButThinkingMakes1tSo1603. Podsumowując, należy posiadać różne hasła dla różnych serwisów i tworzyć je w oparciu o różne frazy.

To stanowi kolejne wyzwanie – niektóre serwisy posiadają ograniczenie długości hasła, dlatego lepiej nie korzystać z nich.

* Jeżeli stworzysz 10-znakowe hasło składające się z liter alfabetu łacińskiego, cyfr i znaków specjalnych, liczba kombinacji dla ataku typu „bruteforce” będzie wynosić 2,8*1018. Dla hasła złożonego jedynie z czterech popularnych słów liczba wariantów wynosiłaby niewiele mniej, bo 1,6*1017 Jeżeli dodasz pięć słów, możesz łatwo zwiększyć liczbę wariantów do 3,2*1021. Popularne słowa są zwykle skuteczniejsze niż trudny do zapamiętania bełkot.

Współczesna metoda

Chociaż frazy są znacznie łatwiejsze w użyciu niż losowa kombinacja znaków, nadal ważne jest, aby każde hasło było unikatowe. Według badania dotyczącego haseł, przeciętny użytkownik internetu posiada pięć różnych kont. Każde konto powinno mieć swoje własne hasło, które nie stanowi zbyt dużego obciążenia dla pamięci użytkownika. Niektórzy użytkownicy posiadają znacznie więcej niż pięć kont – co stanowi prawdziwe wyzwanie dla naszego mózgu. Dla takich przypadków stworzono specjalną kategorię aplikacji – menedżery haseł. Tego rodzaju moduł jest oferowany w rozwiązaniu Kaspersky PURE. Zawiera bazę danych z informacjami dotyczącymi konta użytkownika dla wszystkich możliwych stron internetowych, zasobów itd. Tablica ta jest zaszyfrowana przy użyciu potężnych algorytmów, dlatego właściciel musi wymyśleć tylko jedno bardzo mocne hasło umożliwiające dostęp do bazy. Trzeba tylko zachować to jedno hasło w pamięci, a komputer zajmie się całą resztą.