03/12/2013

Jakich haseł NIE używać

Porady

Jeśli jesteś zarejestrowanym klientem firmy Adobe, lepiej zmień swoje hasło. W wyniku ataku na Adobe firmie tej skradziono hasła użytkowników, które następnie zostały opublikowane w internecie. Ktoś nawet zrobił z nich krzyżówkę. Mamy zatem dobrą okazję do sprawdzenia, jakich haseł lepiej NIE używać.

passwords

Ostatnia wpadka Adobe polegała na wycieku danych klientów, a konsekwencje tego faktu z pewnością będą długofalowe. Początkowo firma Adobe oświadczyła, że incydent dotyczył około 3 milionów użytkowników. Okazało się jednak, że zhakowana baza danych zawierała około 150 milionów wpisów; co więcej, przechowywane hasła były słabo chronione i w wielu przypadkach można było przywrócić je do oryginalnej postaci. W związku z tym Facebook wymusił na swoich użytkownikach, którzy znajdowali się wśród ofiar, zmianę hasła, jeśli było ono takie samo w portalu społecznościowym.

Używanie jednego hasła do wielu usług serwisów online jest poważnym podważeniem kwestii bezpieczeństwa. Co gorsza, miliony użytkowników popełniają ten sam błąd podczas wymyślania nowego hasła. Uczmy się zatem na błędach i pamiętajmy o najbardziej popularnych hasłach z bazy Adobe.

1.  „Password”, „qwerty” i „123456”

Zadziwiające, że mimo upływu wielu lat te bardzo oczywiste hasła wciąż znajdują się na czele listy najbardziej popularnych. W bazie Adobe hasło „123456” zajęło pierwsze miejsce –  używało go ponad 2 miliony osób ze 150 milionów użytkowników, których hasła wyciekły z Adobe. Na drugim miejscu uplasowało się nieco bardziej skomplikowane hasło „123456789”, tuż za słowem „password”, które wybrało 345 tysięcy użytkowników. Również popularna była sekwencja klawiszy „qwerty” – na miejscu 6.

2. Nazwa firmy/strony lub wariacje na ten temat

Możesz myśleć, że login „John” i hasło „Facebook” są oryginalne. Ale nie są. Oczywiście, nazwa serwisu może nie znajdować się w słownikach wykorzystywanych przez hakerów do łamania haseł. Jednak doświadczony haker z pewnością doda ją do swoich zasobów (jak mieliśmy okazję przekonać się w przypadku Adobe). Zasada ta jest używana w hasłach, które zajęły 4, 9, 15 i 16 miejsce w Adobe top-100: „adobe123”, „photoshop”, „adobe1” i „macromedia”.

3. Nazwa użytkownika = hasło i inne podpowiedzi

Nawet jeśli inni dostawcy szyfrują przechowywane hasła znacznie lepiej niż zrobiło to Adobe, całkiem prawdopodobne, że haker bez wielkiego wysiłku zobaczy dodatkowe pola w bazie danych. Okazało się, że mogą one być całkiem przydatne w przywracaniu haseł. Pola te to nazwa użytkownika, adres e-mail, podpowiedź do hasła itp. Największym hitem jest hasło, które jest dokładnie takie samo jak nazwa użytkownika. Inne „sprytne” sposoby są również imponujące. Część ludzi zapisuje swoje hasła w polu podpowiedzi do hasła lub wprowadza tak oczywiste odpowiedzi jak „od 1 do 6” lub „pierwsza i ostatnia litera”.

4. Oczywiste oczywistości

Facebook należy do ulubionych narzędzi hakerów. Posiadając adres e-mail oraz nazwę użytkownika ofiary, z łatwością można wyszukać na Facebooku odpowiedzi na podpowiedzi do haseł typu „pies”, „imię syna”, „urodziny”, „praca”, „nazwisko panieńskie matki”, „ulubiony zespół” itp. Około jedna trzecia wszystkich podpowiedzi odnosiła się do członków rodziny i zwierząt domowych, a dodatkowe 15% podpowiedzi cytowało bezpośrednio lub prawie bezpośrednio hasła.

5. Proste sekwencje

Wygląda na to, że kombinacjom liter lub cyfr nie ma końca. Jednak ludzie nie wykorzystują w pełni tego potencjału i korzystają z bardzo silnych „inspiracji” w postaci alfabetu i klawiatury. Takie hasła jak „abc123”, „00000”, „123321”, „asdfgh” czy „1q2w3e4r” już istnieją. Jeśli masz jakąś sekwencję liter i cyfr, która jest łatwa do zapamiętania, zapomnij o niej – jest ona także wygodna dla hakera i najprawdopodobniej znajduje się już w słownikach z hasłami wykorzystywanymi do przeprowadzania ataków.

6. Podstawowe słowa

Według różnych badań między jedną trzecią a połową wszystkich haseł znajdują się pojedyncze wyrazy ze słownika, które zazwyczaj należą do grupy 10 tysięcy najczęściej wykorzystywanych słów w danym języku. Nowoczesne komputery mogą zapamiętać 10 000 haseł w kilka sekund i z tego powodu nie są one do końca bezpieczne. Na szczycie listy Adobe znajduje się wiele haseł typu: „sunshine”, „monkey”, „shadow”, „princess”, „dragon”, „welcome”, „jesus” „sex”, „god”.

7. Oczywiste modyfikacje

Aby ataki słownikowe były trudniejsze do przeprowadzenia, większość serwisów wymaga od użytkowników tworzenia hasła zgodnie z określonymi zasadami. Na przykład: przynajmniej 6 znaków, koniecznie zawierających wielkie i małe litery oraz cyfry oraz znaki specjalne. Jak już kiedyś napisałem, są to metody z 20 wieku i musimy je przemyśleć, ale użytkownicy już stworzyli sobie sposób, aby obejść te wymagania. Z całą pewnością pierwsza litera będzie wielka, która zresztą będzie jedyna w całym haśle, a na końcu znajdzie się najbardziej popularna modyfikacja numeryczna – czyli dodanie cyfry „1”.  W bazie danych Adobe triki te są pomieszane z oczywistymi słowami, co najzwyczajniej skutkuje kiepskimi hasłami typu „adobe1” czy „password1”. Najbardziej  popularnymi znakami są wykrzyknik i podkreślenie.

8. Oczywiste modyfikacje-2 (1337)

leetspeekDzięki filmowi „Hakerzy” i innym elementom popkultury szerokie grono widzów wie już o „języku hakera” LEET (1337), który wyróżnia się zamianą kilku liter na podobnie wyglądające cyfry lub znaki oraz innymi prostymi modyfikacjami. Tworzenie takich zastąpień to z pozoru dobry pomysł, bo hasło typu „H4X0R” lub „$1NGL3” wyglądają imponująco. Niestety, nie są one bardziej skomplikowane niż zwykły „hacker” i „single”, ponieważ istnieje specjalny dodatek do aplikacji łamiącej hasła, tzw. mutation engine, który dokonuje wszelkich tego typu oczywistych modyfikacji na każdym wyrazie słownikowym.

9. Dynamiczne sentencje

W nowoczesnym świecie dłuższe hasła zawsze są lepsze, ponieważ parafrazy są uważane za skuteczniejszą ochronę niż hasło. Jednak, istnieje kilka wyjątków – bardzo krótkie i ekstremalnie przewidywalne frazy. W top-100 Adobe możesz znaleźć „letmein”, „fuckyou” i „iloveyou”. Nic dodać, nic ująć.

10 PESEL itp.

Hasła te są na pewno trudniejsze do odgadnięcia. Ale hakerzy z pewnością zadadzą sobie więcej trudu, aby wyszukać te numery, kiedy zobaczą podpowiedź typu „mój numer PESEL”. Gdy są one wymieszane z nazwą użytkownika, datą urodzenia i innymi informacjami dostępnymi w portalach społecznościowych, taki komplet danych można niestety wykorzystać do kradzieży tożsamości i nielegalnego zarabiania pieniędzy.

11. Te same hasła w różnych serwisach

Chociaż ta zła praktyka nie jest związana bezpośrednio z atakiem na Adobe, jest ona tak popularna jak wykorzystywanie ciągu „123456”. Mam na myśli używanie tego samego hasła do różnych serwisów online. Dlaczego nie jest to dobry pomysł? Jeśli twoje hasło z Adobe stało się znane dla hakerów, mogą oni próbować dokonać zestawienia twojego adresu e-mail z tym hasłem we wszystkich popularnych stronach typu Facebook lub Gmail i włamania się nie na jedno, lecz na wiele twoich kont. Według badania przeprowadzonego prze B2B international dla Kaspersky Lab 6% użytkowników używa jednego hasła do wszystkich swoich kont, podczas gdy 33% używa tylko kilku haseł. Jeśli była wśród nich strona Adobe, użytkownicy ci  są teraz zagrożeni włamaniem się do ich całego cyfrowego życia.

Oczywiście wszystkie wyżej wymienione błędy są popełniane z jednego prostego powodu – w dzisiejszych czasach używamy 5-10 serwisów online i trudno jest zapamiętać dla każdego z nich unikatowe i skomplikowane hasło. Na szczęście istnieje proste techniczne rozwiązanie tego problemu.

Oto nasze wskazówki:

  • Nie używaj tego samego hasła do wielu stron.
  • Używaj długiego i silnego hasła.
  • Sprawdź siłę swojego hasła za pomocą specjalnych usług.
  • Używaj specjalnego menedżera haseł do przechowywania wszystkich swoich haseł w postaci zaszyfrowanej i nie marnuj swojego czasu na zapamiętanie ich. W ten sposób możesz mieć unikatowe, bardzo skomplikowane i silne hasło dla każdej strony bez ryzyka, że je zapomnisz.