Użytkownik - admin, hasło – admin1. Przyjemne oraz łatwe do zapamiętania, wykorzystywane nawet na stronach rządowych. O ile ustawianie takich haseł usprawnia logowanie do sieci lub na pocztę, o tyle stwarza również zagrożenie dla bezpieczeństwa danych, stając się łatwym celem dla włamywaczy komputerowych.
Od umiejętnego i bezpiecznego korzystania z sieci zależy poufność i zabezpieczenie dostępu do prywatnych danych przez osoby trzecie. Wyróżnia się trzy metody uwierzytelniania:
-coś co wiesz (hasła),
-coś co masz (token, karta magnetyczna),
-coś, czym się charakteryzujesz (odcisk linii papilarnych, siatkówka oka).
Skupmy się tylko na pierwszym, podstawowym sposobie zabezpieczania – hasłach. W momencie logowania identyfikacja polega na podaniu nazwy użytkownika (informacji jawnej) oraz hasła (informacji tajnej). Prawidłowe wprowadzanie obu danych umożliwia zalogowanie się do sieci. Wynika stąd prosta zasada, że im trudniejsze hasło, tym większy problem dla włamywacza, który chce je złamać. Dlaczego więc użytkownicy sieci w rubryce hasła wciąż wpisują – „admin1” lub „123456”?
Otwarte drzwi dla złodzieja
Pomysłowość hakerów i ich umiejętne wykorzystywanie programów stanowią tylko jedną z przyczyn masowego wycieku danych. Zdecydowanie groźniejsza jest działalność samych użytkowników komputerów/sieci, którzy dla własnej wygody lub z braku wiedzy nie zabezpieczają dostępu do poufnych informacji. Co gorsza, gdy już to robią, to w niewłaściwy sposób. „Doświadczenia wskazują, że hasła są bardzo słabym ogniwem systemu bezpieczeństwa. Przy ich tworzeniu użytkownicy kierują się tym, żeby były łatwe, zapadające w pamięć, wykorzystują słowa, wyrażenia znajdujące się w słownikach” – mówi Krzysztof Sidorowski, ekspert Serwisu Strefa Napraw. Dodaje również, że większość haseł pozostaje taka sama od momentu powstania. Użytkownik stwarza co najwyżej 2-3 uniwersalne hasła, i w zależności od strony używa jednego z nich. „Nagminnym działaniem jest zapisywanie haseł na samoprzylepnych kartkach, które lądują obok komputera, dając możliwość wglądu do nich innym osobom np. w miejscu pracy” – dodaje. Czasami do używanego przez nas „uniwersalnego” słowa – hasła dodajemy wielką literę na początku oraz cyferki typu 123 lub nawet tylko 1, ponieważ wymaga tego od nas sam program zarządzający zabezpieczeniem.
Co wpisujemy najchętniej?
Jakie hasła pojawiają się w
głowach użytkowników sieci najczęściej?
„Szeroko wykorzystywane są proste kombinacje
klawiszowe typu „123456”, „qwerty”, ”qazwsx” lub wspomniany „admin1”. Popularnymi hasłami są także imiona i ich zdrobnienia, wulgaryzmy, daty urodzin partnerów, dzieci, zwierząt, a także
rzeczowniki typu „polska”, „miłość”, „sex” - wymienia Krzysztof Sidorowski,
ekspert Serwisu Strefa Napraw. Co więcej, ustawiane hasło uzależnia się od
miejsca, do którego chcemy się zalogować. A zatem jeśli jest to komputer
firmowy to hasłem może okazać się nazwa firmy, jeśli portal muzyczny – nazwa
ulubionego zespołu, portal filmowy – ulubiony film.
Tabela – Trudności złamania hasła
7-znakowe hasła |
Ilość kombinacji |
Czas złamania |
Tylko cyfry |
10 000 000 |
97 sekund |
Małe litery |
8 031 810 176 |
22 godziny |
Małe i wielkie litery |
1 028 070 000 000 |
116 dni |
Wszystkie znaki ASCII (litery, cyfry, znaki specjalne, symbole) |
817 215 000 000 000 |
252 lata |
Kilka istotnych wskazówek
Przy tworzeniu haseł warto wykorzystywać wszystkie możliwe znaki, a więc wielkie i małe litery, cyfry, symbole. Ważną kwestią jest także odpowiednia długość hasła. „Obecnie minimalna ilość znaków wynosi 8, maksymalna zaś 20. Więcej znaków daje więcej kombinacji, a zatem stwarza wyzwanie dla hakera, chcącego dostać się zasobów naszego komputera” – stwierdza Krzysztof Sidorowski, ekspert Serwisu Strefa Napraw. Opisuje także najczęstsze metody pozyskiwania haseł przez hakerów. „Najpopularniejszym sposobem jest tzw. brutal force – czyli wypróbowywanie przez odpowiedni program (np. Brutus) wszystkich możliwości kombinacji haseł, w zależności od jego długości. Nieco bardziej wyrafinowana jest metoda słownikowa, która bazuje na wpisywaniu przez program konkretnych słów, a nie sprawdzaniu znaku w każdej kombinacji. Pewnym rozwinięciem brutal force jest metoda tęczowa, która w skrótowy sposób zapisuje wypróbowane już hasła, oszczędzając w ten sposób moc obliczeniową komputera i skracając czas łamania zabezpieczenia” - opisuje Sidorowski.
Metody obrony przed hakerami
Oprócz tworzenia długich i skomplikowanych haseł istnieją także inne sposoby obrony przed hakerami, zarówno ze strony użytkownika, ale także samego systemu. „Ciekawym wyjściem jest wykorzystywanie uruchamianej w akcesoriach klawiatury ekranowej. Na monitorze pojawia się wirtualna klawiatura, a poszczególne znaki, wpisuje się poprzez kliknięcie w nie myszką. W ten sposób programy szpiegujące (keyloggery) nie mogą namierzać jakich klawiszy używaliśmy przy wprowadzaniu hasła” – tłumaczy Krzysztof Sidorowski, ekspert Serwisu Strefa Napraw. Inną metodą jest stosowanie haseł jednorazowych – generowanych przez tokeny lub używanie menadżerów haseł (np. KeePass) - specjalnych aplikacji, które przechowują w bazie danych loginy i hasła do wykorzystania. - „Rozwiązuje to problem zapominania ich przez użytkowników. Wszystkie dane znajdują się w jednym miejscu, a dostęp do nich ma tylko osoba, która posiada odpowiedni plik-klucz, który można nosić w pamięci flash. Najlepiej jednak co jakiś czas zmieniać hasła” – mówi Sidorowski.
Odpowiednie mechanizmy obronne wypracowują też same systemy, do których się logujemy. ”W momencie tworzenia haseł system kontroluje czy nie są one zbyt krótkie lub proste i wymusza na użytkowniku ich zmianę. Innym sposobem obrony jest blokowanie dostępu użytkownikowi po trzech nieudanych próbach wprowadzenia hasła lub wylogowywanie go z systemu jeśli przez kilka minut notuje brak aktywności” – dodaje ekspert.
Podsumowując, pamiętajmy, że w stu procentach zabezpieczenie się przed włamaniami do naszego komputera na poziomie użytkownika graniczy z niemożliwym. Jednak, żeby zmniejszyć ryzyko przestrzegajmy kilku prostych zasad:
-nie stosuj haseł domyślnych;
-nie używaj tzw. jednego dyżurnego hasła (modyfikowanego w zależności od wymogów systemu bezpieczeństwa danego portalu lub programu);
-zmieniaj hasła przynajmniej co kilka miesięcy;
-nie używaj w hasłach słów bezpośrednio kojarzących się z użytkownikiem;
-w miarę możliwości korzystaj z haseł jednorazowych (np. tzw. tokenów);
-solidną ochronę zapewniają firmy, specjalizujące się w zabezpieczeniu komputerów, sieci, aplikacji przed osobami niepowołanymi. Większość serwisów wykonuje taką usługę. Oczywiście różnią się one metodami i skutecznością oraz co za tym idzie ceną.
Źródło: Strefa Napraw - serwis