Hasła są słabym ogniwem w łańcuchu bezpieczeństwa komputerowego, ponieważ nawet te najbardziej zaawansowane mogą być niezwykle łatwe do rozszyfrowania dla hakerów. I chociaż wybór wieloskładnikowego, nieoczywistego hasła zmniejsza ryzyko włamania, to nadal nie chroni przed nim całkowicie. Czy więc mierniki i testery haseł mają jakikolwiek sens?
Właściciele witryn mogą stosować szereg środków, aby pomóc użytkownikom w wyborze lepszych, silniejszych haseł, a jedną z najpopularniejszych technik jest dołączanie miernika siły wpisywanych fraz. Zostały one zaprojektowane tak, aby osoba tworzące nowe konto mogła mieć pewność, czy jej hasło jest odporne na próby jego złamania. Problem polega na tym, że tego nie gwarantują.
Widząc, jak pasek koło hasła zmienia się z czerwonego na zielony (lub z komunikatu „słabe” na „mocne”) czujesz, że wykonałeś dobrą robotę i nic nie zagraża Twoim danym. W praktyce jednak strony internetowe nie informują Cię o tym, czy hasło jest łatwe do rozszyfrowania, a jedynie pokazują, czy spełnia ono szereg cech, które dany portal uznał za najodpowiedniejsze do stworzenia silnej zapory.
Proste liczniki haseł sprawdzają długość i składniki wpisanej przez Ciebie frazy. Sugerują się listą kontrolną dla pożądanych komponentów, które powinieneś zawrzeć w swoim haśle. Znajdują się na niej takie punkty, jak użycie:
Pomaga to w określeniu zdolności hasła do wytrzymania ataku brute force. Jest to technika łamania zabezpieczeń, która polega na wpisywaniu różnych kombinacji przy stosowaniu prostego klucza. W takim przypadku odgadnięcie banalnego hasła „kot”, jest niezwykle proste, jednak już „K0t” stanowi wyzwanie.
Istnieje wiele narzędzi, które powiedzą Ci, czy Twoje hasło jest bezpieczne, czy też nie. Możesz to sprawdzić przez GoodPassword.info. Wystarczy, że wpiszesz swoje hasło i zobaczysz jego mocne i słabe punkty. Szukasz innego rozwiązania? Znana firma, która produkuje oprogramowanie antywirusowe również udostępnia swój tester - to Password Checker Kaspersky.
Atak brute force zakłada, że wszystkie hasła są równie dobre. W rzeczywistości niektóre frazy są znacznie lepsze od innych, ponieważ wybory dotyczące zabezpieczeń nie są przypadkowe - opierają się na wzorcach i zwyczajach.
Współczesne łamanie haseł polega na tworzeniu inteligentnych domysłów w kolejności, w której najprawdopodobniej uzyska się największą liczbę złamanych haseł przy najmniejszym wysiłku.
Atakujący mogą dostarczać oprogramowanie do łamania haseł za pomocą ogromnych repozytoriów prawdziwych słów, a następnie tworzyć reguły do modyfikowania ich w taki sam sposób, jak robisz to podczas tworzenia haseł.
Nie jest więc zaskoczeniem, że niektóre słowa są używane częściej niż inne, a hakerzy świetnie zdają sobie sprawę z uroczych sztuczek i złych nawyków, których używa się do „skomplikowania” hasła. Orientują się, że wpisuje się 0 zamiast O i 4 zamiast A, że hasła przeważnie zaczynają się od wielkiej litery, a na nich końcach umieszcza się znaki specjalne i cyfry. Posiadając taką wiedzę i specjalne narzędzia, wcześniejszy „K0t” jest to złamania w przeciągu niecałej sekundy.
To, że ktoś używa słabych haseł, nie wynika tylko z tego, że nie zdaje sobie sprawy, że może stać się celem ataku. Bardziej problematyczne jest to, że cokolwiek robisz w internecie, przeważnie musisz zalogować się na stronę, aby móc korzystać z jej wszystkich funkcji. To powoduje dość patologiczną sytuację, w której do zapamiętania masz setki loginów i haseł, więc aby się w tym nie pogubić albo je powielasz (co pozwala hakerom na jeszcze szybsze przejęcie niewyobrażalnej ilości danych) albo decydujesz się na coś prostego.
Prawda jest jednak taka, że nawet naiwne hasła mogą być odbierane przez niektóre strony jako wyjątkowo silne. „Qwerty1234” zostanie przyjęte przez 99% witryn, a z kolei „sdertevuiadbegyu” odpadnie już w co czwartym serwisie, ponieważ nie posiada wielkich liter i liczb. A bacząc na działanie hakerskiego oprogramowania, to właśnie to drugie ma jakiekolwiek szanse na zabezpieczenie konta przez atakami.
„Qwerty1234” znajduje się w pierwszej dziesiątce najczęściej używanych haseł (pomijając te zupełnie śmieszne typu „hasło”), więc aby je rozszyfrować wystarczy mieć klawiaturę i dostęp do internetu. Z kolei rozpracowanie ciągu znaków, które nie ma sensu, stanowi zagwozdkę nawet dla programów łamiących hasła.
Badacze z Uniwersytetu Concordia w Montrealu zbadali użyteczność testerów siły hasła na stronach internetowych prowadzonych przez wielkie firmy takie jak Google, Yahoo, Twitter, Facebook i Microsoft. Naukowcy wykorzystali algorytmy do sprawdzania milionów popularnych, a co za tym idzie niezbyt dobrych haseł, za pomocą tych mierników, a także za pomocą testerów usług zarządzania hasłami. Wyniki ich pracy były rozczarowujące zarówno dla badaczy, jak i dla wielkich korporacji.
W głównej mierze niepokojący jest fakt, że to samo hasło na jednym serwisie nie zostanie przyjęte, z kolei już na drugim nie ma takiego problemu. Jaki więc miałby być cel wykorzystywania mierników haseł na stronach, skoro dają tak niespójne informacje?
Wbrew wszystkiemu, co zostało napisane powyżej, odpowiedzieć na to pytanie brzmi: tak. Mierniki siły haseł są zaprojektowane z dobrymi intencjami, aby chronić użytkowników przed narażeniem się na ataki. I mają one rzeczywisty wpływ na to, jakie hasło zostanie wpisane. Badania zainicjowane przez Microsoft i przeprowadzone w University of California w Berkeley oraz w University of British Columbia wykazały, że mierniki haseł zachęcają użytkowników do wymyślania bardziej skomplikowanych fraz. Lepiej więc, żeby pojawiały w jakiejkolwiek formie się na stronach, niż jakby miały z nich zniknąć.
Nie oznacza to jednak, że działają one prawidłowo – ich system oceny hasła jest dość uproszczony, schematyczny i nie odzwierciedlający rzeczywistych potrzeb ochrony. Mają jednak charakter doraźny i chociaż przypominają o tym, że jakość hasła ma ogromne znaczenie dla Twojego bezpieczeństwa w sieci.
Chcesz stworzyć naprawdę silne i trudne do zapamiętania hasło, które jednocześnie łatwo będzie zapamiętać? Przeczytaj poradnik Twoje hasła w końcu bezpieczne! Poradnik bezpieczeństwa haseł komputerowych. Oprócz metody tworzenia mocnych haseł prostych i łatwych w zapamiętaniu, znajdziesz tam także TOP 100 najczęściej używanych haseł w Polsce oraz sposób na to, aby trzeba było zapamiętać tylko 3 hasła.
Komentarze