dodany: 26.11.2012 | tagi: , ,

Autor:

Hasła są dead! Już nie chronią!

17

Przeciętny haker pozna Twoje hasło w 3 minuty.

Apokalipsa! Koniec ery haseł! – ogłosił w ubiegły czwartek dziennikarz, który stracił cały swój dorobek w internecie po tym, jak hakerzy pozyskali jego hasło. Myślisz, że Ciebie to nie dotyczy? Mylisz się!

Tego lata hakerzy zniszczyli całe moje internetowe życie w godzinę – powiedział Mat Honan, redaktor portalu Wired. Nie przesadził.

15 listopada w artykule „Kill the Password: Why a String of Characters Can’t Protect Us Anymore” („Zabijając hasło: dlaczego ciąg znaków już nas przed niczym nie ochroni”) ogłosił koniec ery haseł, których używamy w internecie.

Mnie to nie spotka – myślisz. Jesteś przekonany, że Honan to jakiś znany redaktor, który pewnie rozgniewał kogoś artykułem i ma za swoje. Zresztą, mieszkasz w Polsce, a tu nie ma hakerów.

Masz hasło? Haker już je zna…

Czytając te słowa, pewnie sprawdzasz skrzynkę mailową, jednocześnie przeglądając Facebooka. Za chwilę obejrzysz filmik na YouTubie. Potem sprawdzisz konto bankowe. Wszędzie musisz się zalogować, wpisać hasło, którym jest… Twoje imię? Imię kogoś bliskiego? Może… ulubione słowo? Data urodzin?

Nie? Masz 16-znakowe hasło, złożone z liter, cyfr i symboli?

Stosujesz kilka różnych haseł?

To zupełnie tak, jak Mat Honan!

Pechowy dziennikarz miał trzy różne hasła, każde po 7, 10 i 19 znaków alfanumerycznych. Cyberprzestępcy pozyskali je i włamali się do Twittera i Gmaila redaktora. Na jego koncie na Twitterze zamieścili rasistowskie i homofobiczne teksty. Włamali się też do jego telefonu, iPada
i MacBooka, kasując wszystkie wiadomości, dokumenty i zdjęcia. Cały jego dorobek.

Zdecydowanie atak hakerom uprościło to, że wszystkie trzy konta Honana – na Twitterze, Google’u
i w urządzeniach Apple’a – były ze sobą połączone.

Ha! Ja nie mam połączonych kont! – stwierdzisz z politowaniem.

Po czym, wzruszając ramionami dodasz, że nawet lepiej się stanie, gdy ktoś zajmie Twoje konto na Facebooku. (I tak tracisz na niego zbyt dużo czasu).

Czy rzeczywiście nie masz nic do stracenia?

Twoje hasło nie musi być celem samym w sobie. Obecnie hasła często wyciekają do sieci – hakerzy włamują się do komputerowych systemów i publikują na stronach listę nazw użytkowników
i haseł. Hakerzy liczą na to, że używasz tego samego hasła do logowania się w różnych miejscach. Poznając jedno hasło, z łatwością dostaną się do innych miejsc, z których korzystasz w sieci.

Twój e-mail. Twoje konto w banku. Twój adres i numer karty kredytowej. Zdjęcia pociech lub, co gorsza, Twoje, w negliżu. Informacja o tym, gdzie właśnie teraz jesteś, czytając te słowa.

– wylicza w artykule Mat Hanon.

O tym, jak szybko można pozyskać czyjeś hasło i wyrządzić komuś szkody, Honan przekonał się samodzielnie. Nauczył się, jak pozyskiwać hasła. Obecnie zajmuje mu to kilka minut.

Honan Barbarzyńca

Po feralnym ataku, Mat Honan zaczął sprawdzać zabezpieczenia w internecie. Przeraziło go to, co odkrył. Okazało się, że z łatwością może dostać się na czyjeś konto e-mail.

Wszystko, co muszę zrobić, to wejść na stronę i wpisać twoje imię i nazwę miasta, w którym się urodziłeś, co jest bardzo łatwe w erze Google’a. Z tymi danymi (…) otrzymuję możliwość zresetowania hasła, i mogę zalogować się na twoje konto.

– napisał, strasząc swoją potencjalną ofiarę.

Następnie dowiedział się, z jakiego banku korzysta. Potem zresetował stare i utworzył nowe hasło logowania się do banku. Od tego momentu mógł przeprowadzać operacje bankowe na koncie ofiary.

Dzięki „podejrzanej, zagranicznej stronie”, za dostęp do której zapłacił 4 $, mógł w ciągu 2 minut pozyskać dane o czyjejś karcie kredytowej, telefonie, numerze ubezpieczenia i adresie; w ciągu paru kolejnych – przejąć konta użytkownika na np. Amazonie; po następnych 10 – dostać się do jego kont w AT&T, Comcast czy Verizon (amerykańscy operatorzy telekomunikacyjni, mobilni i internetowi); po 20 minutach był w stanie przejąć konto PayPal ofiary.

Hasła – do muzeum!

Najłatwiejszym celem ataków są hasła. Są one artefaktami z czasów, kiedy nasze komputery nie były tak ze wszystkim połączone. Obecnie nie jest ważne, jak ostrożny będziesz – żaden długi czy unikalny ciąg znaków nie zatrzyma zawziętego i mocno zaangażowanego osobnika przed włamaniem się na twoje konto. Nastał koniec epoki haseł; tylko jeszcze sobie nie zdajemy z tego sprawy.

Kiedy powstał internet, hasła działały znakomicie. Do ochrony mieliśmy niewiele danych. Dla hakerów w tamtej epoce wyzwaniem było raczej włamywanie się do zasobów dużych firm, a nie do skrzynek pocztowych zwykłych użytkowników.

Następnym etapem było tworzenie tzw. bezpiecznych haseł. Z jednej strony nawoływano do ich tworzenia, tłumacząc, czym grozi wyciek danych. Z drugiej strony serwisy internetowe ograniczały ilość znaków haseł wymaganych do logowania się (gdyby użytkownicy zapominali swoich haseł, to łatwo zniechęcaliby się do korzystania z serwisu).

Kto zostaje hakerem?

Hakerzy stosują cały wachlarz technik, by poznać nasze hasła. Zgadują je, wyciągają z grupy haseł, które wyciekły, zdobywają za pomocą ataku brute force lub złośliwego oprogramowania oraz technik phishingowych (fałszowanie stron), kradną dzięki keyloggerowi lub przez maile.

Komu chce się wykradać nasze hasła, śledzić nas? Honan twierdzi, że przestępczym organizacjom, skupiającym hakerów i… nastolatkom.

Owszem, hakerzy działający w zorganizowanych grupach są niebezpieczni, bo są skuteczni i niezwykle płodni, ale młodociani (zazwyczaj 14-, 15-latkowie) cyberprzestępcy są od nich bardziej niebezpieczni, ponieważ są pomysłowi i innowacyjni.

Jeśli nie hasła, to co?

Internet nie umie dochować tajemnicy – napisał Honan. Jak więc mamy chronić swoje dane?

Przyszłość indywidualnej weryfikacji online nie może bazować jedynie na hasłach. Hasło powinno być jednym z elementów wielopłaszczyznowego procesu identyfikacji użytkownika.

Kiedy widzisz człowieka na ulicy i myślisz, że może jest to twój znajomy, nie pytasz go o dowód osobisty. Zamiast tego, patrzysz na kombinację wielu cech.

– pisze Honan.

Bierze się pod uwagę jego fryzurę, głos, ubranie oraz czy jest w miejscu, do którego zwykle chadza. Jeśli któryś z elementów nie pasuje, nikt nie uwierzy, że dowód osobisty, którym się legitymuje, należy do niego.

Jaka jest zatem przyszłość identyfikacji w internecie?

Po pierwsze, aby prawidłowe zidentyfikowanie nas w sieci było możliwe, musimy dać się dobrze poznać. Co oznacza, że musimy… pozwolić się śledzić. Jednym z elementów skutecznej weryfikacji użytkowników w przyszłości, jak twierdzi Honan, stanie się także identyfikacja biometryczna, a więc za pomocą naszego głosu, linii papilarnych i wzroku.

A Wy – dalej wierzycie, że hasła Was chronią?

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

17 odpowiedzi na “Hasła są dead! Już nie chronią!”

  1. avatar Cascad napisał(a):

    A to nie był przypadkiem atak socjotechniczny przez tel. na jedną z usług fApple dzięki której możliwe było zresetowanie haseł do pozostałych usług?

  2. avatar Adam Wicherek napisał(a):

    Wszystko ma wady i zalety. Kiedyś była akcja u któregoś z producentów (nie pamietam którego) który miał słabe oprogramowanie do rozpoznawania twarzy. Aby odblokować komputer wystarczyło zdjęcie danej osoby.

  3. avatar GDR! napisał(a):

    2-factor authentication i hasła jednorazowe też dają radę, nie trzeba od razu iść w biometrię – chociaż na pewno sa mniej wygodne niż przeskanowanie opuszka palca czy przyłożenie oka do kamery.

  4. avatar >> ? napisał(a):

    No ja myślę że raczej mało kto by dał rade złamać moje hasła gdyż się to składa w fajne drzewko którego nikomu nie zdradzę :)

  5. avatar java go trekking napisał(a):

    obviously as if your internet site nevertheless you have to do phone punctuational for numerous of this threads. A lot of them are generally rife by using spelling issues i in locating this incredibly worrisome to tell the truth on the flip side I will undoubtedly keep coming back again.

  6. avatar ipad video tutorial napisał(a):

    Thank you for various other insightful web site. The location in addition could possibly I purchase which sort of information written in this kind of fantastic solution? I own a endeavor that i am only at this moment concentrating on, and i have recently been for the start looking outside pertaining to these kinds of data.

  7. avatar Look At This napisał(a):

    But no matter how prepared you will be, you will feel doubt and anxiety.
    Obese patients should not undergo this procedure for the reasons described above, and due to the risk of blood
    clots that can start in the calf veins and travel to the lung veins.
    The bath should last only for a few minutes, however.

  8. avatar bus to malaysia napisał(a):

    Heya i’m just to the major occasion right here. I discovered this kind of mother board and that i in finding It truly valuable & the item solved the problem away considerably. I hope to give a thing again and assistance other folks such as you solved the problem.

  9. avatar Bath linen sets napisał(a):

    This is a fantastic and also handy part of info. Now i’m delighted you distributed this beneficial information along with us Bath linen sets. Please keep us knowledgeable such as this. We appreciate you discussing.

  10. avatar poems napisał(a):

    Fine way of explaining, and pleasant article to
    take facts about my presentation subject matter, which i am going to deliver in academy.

  11. avatar travel gears napisał(a):

    Heya i’m for your most important time period listed here. I ran across this plank so i in finding It genuinely useful & the idea forced me to be available considerably. I’m hoping to provide a very important factor yet again as well as assist other individuals just like you assisted me.

  12. avatar music composer napisał(a):

    It was making music against all odds, like swimming upstream, jogging with ankle weights or breathing through a straw for long periods of time. whereas he worked as a writer in a small screen project. Take this list and develop your own for summer reading, extended study, or for “just because“ reading.

  13. avatar travel,leisure napisał(a):

    Heya we’re initially right here. I stumbled onto that panel and I to find This process useful & it helped me available a lot. I hope to give some thing backside in addition to help other people as you made it easier for my family.

  14. avatar Helene napisał(a):

    Prettry part of content. I simply stumbled upon your site and in accession capital to asssert that I

    get in fact loved account your weblog posts. Any

    way I will be subscribing for your augmment and even I fulfillment you get right of entry to consistently fast.

  15. Woah this site is usually magnificent i like researching your content.. Manga, Manga Reader, 8Manga, Manga App, Manga Reader App, manga viewer, naruto manga viewer, bleach manga viewer, read manga Android, read manga iPad, read manga iPhone, read manga mobile, best android manga app, manga reader software, android manga reader, iphone manga reader, ipad manga reader Continue the nice pictures! You comprehend, lots of person’s want all-around in this information, you could support these people tremendously.

  16. avatar tour batam napisał(a):

    What’s up colleagues, its wonderful paragraph about tutoringand entirely explained, keep it up all the time.

  17. avatar iPhone Onderdelen napisał(a):

    For hottest news you have to visit the web and on the

    web I found this web page as a finest web site for latest updates.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *