Artykuły dotyczące tematu: hasła

dodany: 19.06.2013 | tagi: , , , , , , , ,

Wygodne przechowywanie i synchronizacja haseł – 1password

15
Wygodne przechowywanie i synchronizacja haseł – 1password

Kilka miesięcy temu opisywałem w artykule oprogramowanie Keepass, które umożliwia przechowywanie haseł w bezpieczny sposób chroniący nas przed ich utratą. Program jest darmowy, co jest bardzo dużą zaletą, jednak nie miał dobrej wersji dla platformy Mac OS i iOS. Dodatkowo zależało mi bardzo mocno  na synchronizacji informacji o hasłach pomiędzy platformami. Keepass niestety jest wygodny w sytuacji, gdy mamy wszystkie hasła na jednym komputerze (można co prawda kopiować bazę pomiędzy urządzeniami przy użyciu chociażby usługi typu Dropbox), ale jakoś nie mogłem się przekonać i całe rozwiązanie wydawało mi się zbyt toporne.

(więcej…)

dodany: 07.05.2013 | tagi: , ,

Instalator Fedory 19 bez maskowania haseł?

1

Nadchodząca Fedora 19 wkroczyła w betatesty i niektórzy użytkownicy postanowili przetestować obrazy instalacyjne. Jeden z nich zauważył niepokojącą rzecz przy ustawianiu hasła roota – wpisany łańcuch nie jest maskowany dopóki użytkownik znajduje się w polu edycji.

Na bugtrackerze projektu pojawiło się zgłoszenie opisujące problem, ale Chris Lumens, jeden z developerów instalatora, sprostował, że instalator „zachowuje się tak, jak zamierzano” i wskazał także zalety zmiany, związane z rozwiązywaniem problemów dotyczących układu klawiatury. W jednym z dalszych etapów instalacji użytkownik proszony jest o utworzenie dodatkowego konta o normalnych przywilejach – tutaj również hasło nie jest maskowane.

Po instalacji systemu hasła ukrywane są tak, jak można się tego spodziewać. Inaczej tylko wygląda zmiana hasła użytkownika w środowisku graficznym Gnome, ale nawet wtedy użytkownik musi zaznaczyć opcje „pokaż hasło”, aby zobaczyć coś poza ciągiem gwiazdek. Właśnie w taki sposób powinno to być rozwiązane w instalatorze. Można też obrać inny kierunek i pokazywać tylko ostatnio wpisany znak.

Nie wiadomo, czy burzliwa dyskusja wywołana na liście dyskusyjnej Fedory przyniesie odpowiednie zmiany w instalatorze. Nawiązując do harmonogramu wydania, developerzy mają niewiele ponad miesiąc na uwzględnienie uwag – 18 czerwca upływa ostateczny termin wprowadzania zmian.

dodany: 28.03.2013 | tagi: , ,

Wpadka jednej z brytyjskich agencji wywiadowczych

0

Zdawałoby się, że istnieją na świecie agencje, po których można by się spodziewać poważnego traktowania spraw bezpieczeństwa dla wszystkich swoich działów, nawet tych mniej ważnych. Szczególnie jeśli co chwilę słychać o kolejnej rządowej agencji, która została skompromitowana na własne życzenie.

Brytyjski student, Dan Farral odkrył, że brytyjski sztab łączności rządowej (z ang.  Government Communications Headquarters, w skr. GCHQ) przesyła zapomniane hasła użytkownikom zalogowanym na stronach poświęconych karierze w GCHQ czystym tekstem.

GCHQ jest jedną z brytyjskich agencji wywiadowczych, która zajmuje się głównie wywiadem  sygnałowym i zabezpieczeniami [sic!] brytyjskiej komunikacji elektronicznej i przestrzeni cyfrowej.

Farrall w poście na swoim blogu napisał, że takie przechowywanie i przesyłanie danych wskazuje na to, że rodzaj informacji, które mogą w łatwy sposób wyciec może sprawić dużo więcej problemów niż zniszczona reputacja.

ZDNet postanowił dokładnie sprawdzić opisaną przez Farralla wpadkę i potwierdził, że hasła są faktycznie wysyłane w postaci czystego tekstu. ZDNet poszedł nawet o krok dalej i postanowił pobawić się z inżynierią wsteczną.

Oprócz podstawowych informacji strony wymagały podania numerów paszportów, powodów dla których chce się pracować w agencji, wymaganego doświadczenia na aplikowane stanowisko i kwalifikacji.

 

Niezła gratka dla niejednego wroga Wielkiej Brytanii

Farrell postanowił być dobrym obywatelem i zgłosił swoje odkrycie do GCHQ, niestety nie otrzymał żadnej odpowiedzi.

ZDNet postanowiło pchnąć sprawę dalej i zapytał oficjalnie agencję co myśli o odkryciu. GCHQ odpowiedziało, że obecny system, w którym aplikant wpisuje swoje dane jest przestarzały i agencja już zaczęła go wymieniać.

Ale pozostało pytanie: co z hasłami wysyłanymi do użytkownika czystym tekstem na jego adres e-mail?

GCHQ ma na to odpowiedź: Resetu kont dokonuje niewielki odsetek kandydatów. E-maile przychodzą z jasnymi instrukcjami, w jaki sposób chronić swoje dane.

No przecież! Logiczne, nie?

gchq-599x417

Zrzut ekranu redaktora ZDNet, Michaela Lee, który zresetował swoje konto i otrzymał e-mail, w którym specjalne instrukcje zawierają się w jednym zdaniu: Dla zachowania bezpieczeństwa zalecamy, abyś nie zapisywał i nie podawał swojego hasła osobom obcym.

 

dodany: 12.03.2013 | tagi: ,

Elementarz bezpiecznych haseł

0
Elementarz bezpiecznych haseł

Nigdy nie korzystaj z tego samego hasła w wielu miejscach. Aby nie zgubić się w nadmiarze różnych haseł, używaj tak zwanego banku haseł albo własnego sposobu tworzenia ich. Ponadto są sposoby pozwalające zapamiętać skomplikowane główne hasło do miejsca, w których będziesz przechowywać pozostałe.

Chociaż bezpieczeństwo użytkownika zależy w dużej mierze od niego samego, odpowiedzialność za bezpieczeństwo haseł spoczywa na twórcach i administratorach serwisów internetowych. Jeżeli bezmyślnie się z nimi obchodzą i przechowują hasła swoich użytkowników w czystym tekście, w przypadku włamania użytkownicy serwisu są na straconej pozycji. Rzecz ma się podobnie, gdy serwis przechowuje hasła w haszach MD5 albo SHA1, ale niesolonych – wtedy złamanie takiego ciągu jest tylko kwestią czasu (dodatkowo bardzo krótkiego).

(więcej…)

dodany: 05.12.2012 | tagi: , , ,

Nowy potwór trawiący hasła w kilka sekund

10

Krakowanie haseł – to zjawisko, które rozprzestrzenia się błyskawicznie. W ciągu ostatnich 5 lat nastąpił wybuch innowacyjności w sztuce krakowania haseł. Naukowcy zauważyli, że krakerzy zaczęli inspirować się  rozwiązaniami wykorzystywanymi w cloud computingu do szybszego i bardziej efektywnego łamania haseł.

Na Passwords^12 Conference w Oslo znów przesunięto granice możliwości krakerów. Naukowiec Jeremi Gosney (znany pod pseudonimem epixoip) zademonstrował coś, co zatrzęsło w posadach Open Computing Language (OpenCL) i technologię znaną jako Virtual OpenCL (VCL). Gosney uruchomił HashCat – program krakujący hasła w klastrze pięciu serwerów 4U wyposażonych w 25 GPU AMD Radeon i połączonych 10 Gbps szynami InfiniBand.  Jego system wynosi łamanie haseł na zupełnie nowy poziom i pozwala na efektywne renderowanie nawet najsilniejszych haseł chronionych słabszymi algorytmami szyfrowania, jak LM Microsoftu czy NTLM.

Źródło: SecurityLedger

W trakcie prezentacji system był w stanie przelecieć przez 348 miliardów skrótów haseł NTLM na sekundę. To sprawia, że nawet najbardziej bezpieczne hasło jest zagrożone intensywnymi atakami typu Brute Force i  atakami słownikowymi. Czternastoznakowe hasło systemu Windows XP hashowane przy użyciu LM (Lan Manager) upadnie w ciągu sześciu minut.

Narzędzia takie, jak klaster GPU Gosney’a nie nadają się do przeprowadzenia ataku online na żywym systemie. Lepiej sprawdzą się w atakach offline na zbiorach wycieku lub skradzionych hasłach, które były przechowywane w postaci zaszyfrowanej. Jeśli napastnicy posiadają zbiór zaszyfrowanych haseł, to nie są ograniczeni jedynie do określonej liczby prób wpisania hasła – w tym zakresie sprzęt i oprogramowanie stają się barierami.

– powiedział Per Thorsheim, organizator Passwords^12 Conference.

Klaster GPU jest imponująco szybko taktowany – 18 milionów [poprawka samego autora – przyp. red.] 63 miliardy prób na sekundę dla SHA1 i 20 miliardów na sekundę dla haseł hashowanych algorytmem LM i 180 miliardów na sekundę dla MD5. Tzw. powolnie hashujące algorytmy wypadają lepiej. Bcrypt (05) i sha512crypt  odpowiednio po 71 000 i 364 000 na sekundę. Na czacie IRC z Security Ledger Gosney powiedział,  że rozwijał nową platformę od kwietnia, po próbie połączenia tradycyjnych procesorów do krakowania haseł.

Byłem bardzo rozczarowany, że pomimo utworzenia klastra, VMware nie pozwala mi na stworzenie maszyny wirtualnej, która obejmowałaby wszystkie hosty w klastrze. Na przykład, gdybym miał pięć hostów ESX VMware z ośmioma rdzeniami, to chciałbym być w stanie stworzyć jedną maszynę wirtualną z 40 rdzeniami i wykorzystywać wszystkie węzły w klastrze.

Wtedy natknął się na VCL, mały i dotychczas nieuznawany projekt naukowców, którzy zarządzają rozproszonym systemem operacyjnym MOSIX.

To było to, czego chciałem, żadnego całego OS, ale z całą aplikacją OpenCL. I to było dla mnie wystarczające.

Po zabawie z VCL Gosney zwrócił się do profesora Amnona Baraka, jednego z twórców MOSIX. Gosney był zainteresowany dodaniem funkcji, które pozwalają na uruchomienie HashCata. Najpierw musiał jednak przekonać Baraka, że nie ma zamiaru obrócić świata w jeden wielki botnet. Wtedy profesor z entuzjazmem zaangażował się w prace nad dodaniem nowych funkcji.

Po kilku miesiącach ogromnej pracy, VCL umożliwia równoważenie obciążenia w klastrze. Teraz implementacja HashCata na VLC stała się możliwa i może być skalowana w górę, znacznie powyżej pułapu 25 GPU – co najmniej 128 GPU AMD. Według Gosneya HashCat i VLC to idealne małżeństwo dwóch fantastycznych programów, które pozwala im robić niespotykane rzeczy.

Gonsey’owi nie jest obce krakowanie haseł. Po wycieku 6 400 000 skrótów haseł z Linkedin on był pierwszym, który je odszyfrował i przeanalizował wyniki. On i jego partner ostatecznie złamali między 90% a 95% wartości haseł.

Klaster GPU Gosneya jest ostatnim skokiem w innowacyjność w temacie krakowania haseł w roku, w którym widzieliśmy wybitne algorytmy szyfrowania haseł łamiące się jak zapałka pod naporem takiej mocy obliczeniowej. W czerwcu Poul-Henning Kamp, twórca md5crypt() używanej przez FreeBSD i inne systemy operacyjne oparte na Linuksie, musiał przyznać, że funkcja mieszana nie jest już wystarczająca dla zastosowań produkcyjnych, które mogą stać się ofiarami systemów zasilanych GPU wykonujących blisko milion sprawdzeń na sekundę na sprzęcie GPU prosto z półki. Klaster Gosney przebił tę liczbę ponad siedemdziesięciokrotnie.

Epixoip planuje zarobić trochę na swojej maszynce. Więc jeśli ktoś ma ochotę ją wynająć, to może skontaktować się z wynalazcą. Będzie też można wykupić usługę odzyskiwania haseł i audytu domeny.

dodany: 05.12.2012 | tagi: ,

Tradycyjne hasła nie zabezpieczają już użytkowników w sieci

3
Tradycyjne hasła nie zabezpieczają już użytkowników w sieci

Skrzynki e-mail, konta w mediach społecznościowych czy internetowe konta bankowe, to tylko nieliczne obszary, skrywające wiele prywatnych informacji, do których dostępu strzegą hasła składające się z ciągu znaków. Niestety, przy obecnym zaawansowaniu metod algorytmicznych oraz coraz nowszych sposobów kradzieży danych, nie są już one wystarczające.

Najbardziej popularne hasła, używane przez nieświadomych internautów (np. słynne 123456), to zabezpieczenia, które może złamać nawet przeciętny użytkownik komputera przy użyciu prostych, darmowych programów dostępnych w sieci. Skala zagrożenia wzrasta kiedy okaże się, że identyczne lub bardzo podobne hasła są wykorzystywane w kilku miejscach jednocześnie. Nie wystarcza już korzystanie z takiego ciągu liczb, który będzie łatwy do zapamiętania przez użytkownika. W dobie Facebooka, czy informacji dostępnych w zasobach Google, hasło złożone z daty urodzenia również nie jest wystarczającym zabezpieczeniem.

Hasła mogą być skradzione na wiele sposobów, co samo w sobie świadczy o niskim poziomie zabezpieczenia jakie dają. Mogą one być odgadnięte przez hakera, pozyskane ze zrzutu ekranu, złamane za pomocą odpowiedniego software’u, skradzione za pomocą keyloggera, pozyskane poprzez atak phishingowy lub zresetowane i zmienione przez dostawcę poczty

podkreśla Tomasz Kuźniar, Dyrektor IT w FileMedic, producenta polskiego oprogramowania antywirusowego.

Za kradzież haseł odpowiedzialne są również zaawansowane wirusy komputerowe, które najczęściej kryją się w zainfekowanych linkach phishingowych przesyłanych e-mailem. Koniecznym staje się zatem korzystanie z nowoczesnego oprogramowania antywirusowego, które zabezpieczy wrażliwe dane, kiedy ludzki czynnik zawiedzie. Alternatywą dla tradycyjnych haseł składających się z ciągu znaków może być autoryzacja za pośrednictwem SMS, czy skanowanie linii papilarnych, jednak systemy oparte na tych rozwiązaniach wymagać będą dopracowania.

Pozostaje więc pytanie – czy technologie komputerowe dotarły do tego momentu, że konieczne jest odejście od korzystania z zabezpieczeń będących wyłącznie hasłami składającymi się z ciągu znaków i przejście na alternatywne zabezpieczenia, które zwiększą ochronę prywatnych informacji znajdujących się w sieci?

dodany: 03.12.2012 | tagi: ,

Prosty sposób na zabezpieczanie haseł

1

W poprzednim artykule nawiązałem do tematyki szyfrowania dysków i dbania o bezpieczeństwo własnych danych przechowywanych w komputerach. Już po napisaniu porównania dostępnych podejść pomyślałem, że warto też wspomnieć o powiązanym zagadnieniu, czyli o bezpieczeństwie haseł – istotnych elementów wszelkich mechanizmów ochrony dostępu do danych i urządzeń.

Zwykle użytkownicy komputerów korzystają ze standardowych i dostępnych mechanizmów, nie zastanawiając się, czy są one wystarczające i czy nie ma potencjalnego zagrożenia włamaniem. Wielu z nas konfiguruje hasło do profilu, będąc przekonanym, że nie jest możliwe uzyskanie dostępu do konta i kradzież danych. Wydaje nam się, że skoro mamy ustawione „trudne” hasło składające się z liter, cyfr i znaków specjalnych to nic się nie wydarzy.

Niestety, hasła do profili i kont nie są tak bezpieczne jak byśmy chcieli, a najsłabszym ogniwem jest zawsze człowiek. Nawet jeśli ustawimy niesamowicie trudne hasło, zaszyfrujemy dane na dysku i zainstalujemy kilka zabezpieczeń, zawsze ktoś może się domyślić jakie mamy hasło lub wejść w jego posiadanie nielegalnie. Wystarczy chwila nieuwagi, kartka z hasłem przyklejona koło monitora i jesteśmy w kłopocie. Działa to analogicznie do przyklejania numerów PIN do kart płatniczych (lub nanoszenia ich pisakiem na karcie (sic!).

Konto do profilu to jedne z wielu wrót do naszych danych – mamy przecież konta e-mailowe, na portalach społecznościowych, dostęp do konta bankowego przez internet. Zastanówcie się teraz przez chwilę, jak przechowujecie hasła do tych wszystkich usług i miejsc – czy pamiętacie wszystkie? A może notujecie je sobie w plikach tekstowych? Może trzymacie je w notatkach albo w programach pocztowych? Jaki sposób by nie był – po zalogowaniu do konta jest pełny dostęp do tych danych (chyba że zaszyfrujecie plik w którym są zapisane tak jak opisywałem poprzednio).

Przechowywanie haseł jest o tyle niewdzięczne, że często oprócz samego hasła musimy pamiętać także login, lokalizację usługi, nazwę schematu bazy danych czy inne powiązane informacje, bez których samo hasło jest bezużyteczne. Jeżeli wszystkie te dane zapiszemy np. w jednym niezaszyfrowanym pliku tekstowym, to w przypadku niepowołanego dostępu do niego przez inne osoby, będziemy mieli duży problem.

Rozwiązaniem, które jest popularne i odpowiada dokładnie potrzebom przechowywania haseł są programy z grupy „menedżerów haseł” (ang. Password Managers). Część z Was, drodzy Czytelnicy, pewnie wie o co chodzi lub przynajmniej o tym słyszała. Są to proste lub bardziej skomplikowane aplikacje instalowane na komputerze (lub dostarczane np. z systemem operacyjnym lub innymi programami), które umożliwiają bezpieczne zapisywanie wszelkich haseł, numerów kart kredytowych, loginów, PIN-ów itp. i zabezpieczenie dostępu do tych wszystkich danych jednym głównym hasłem (niestety nie da się tego uniknąć :-)).

Oprócz tego istnieją dodatkowe funkcjonalności – generatory haseł, zabezpieczenie przed złośliwym oprogramowaniem typu keylogger, wirtualne klawiatury w trakcie wpisywania hasła i inne opcje, ale przede wszystkim – dane są zaszyfrowane w bardzo bezpieczny sposób.

Przykładem takiego oprogramowania może być program KeePass, który oferuje naprawdę wszystko, co potrzeba i jest wygodny w użyciu. Po zapisaniu haseł możemy je łatwo skopiować do wykorzystania w formularzach, a przechowywane dane można na różne sposoby porządkować i uzupełniać. Sama aplikacja po uruchomieniu prezentuje się tak jak na poniższej ilustracji:

Dodawanie nowego hasła do bazy aplikacji jest trywialne i sprowadza się do wypełnienia jednego ekranu, przedstawionego na poniższej ilustracji:

Jest także dostępny generator haseł, który zapewnia odpowiednią ich zawartość i poziom bezpieczeństwa tak wysoki, jak sami zdecydujemy że ma być:

Powyżej zaprezentowana aplikacja jest jedną z wielu, a opisałem ją dlatego, że do tej pory się na niej nie zawiodłem i sprawdziła się w każdej typowej sytuacji, a co najważniejsze jest darmowa (open source) i zapewnia odpowiedni poziom bezpieczeństwa. Istnieje sporo alternatywnych rozwiązań, zarówno bezpłatnych, jak i komercyjnych i myślę, że warto spróbować także innych aplikacji, zanim powierzymy jednej z nich swoje dane.

Niezależnie od wybranego rozwiązania, warto na pewno skorzystać z jakiegokolwiek „menedżera haseł”. Trudno jest upilnować wszystkie liczne hasła, loginy i inne ważne dane tradycyjnymi sposobami (kartka, notes, plik tekstowy). Dzięki zastosowaniu takiej aplikacji, mamy wszystko w jednym miejscu i pod ręką.

Jak ze wszystkimi rozwiązaniami – to ma jedną naprawdę istotną wadę – jeśli zapomnimy hasło główne do pliku z danymi to możemy się pogodzić z faktem utraty wszystkich zapisanych danych – są zaszyfrowane. Ale to chyba jest mniej prawdopodobne niż zapomnienie połowy z tych haseł, które przechowujemy,  szczególnie, że wiele usług wymusza cykliczną zmianę, hasła np. co 30 dni. Pewnym ułatwieniem może być możliwość wykorzystania hasła do np. profilu w systemie Windows (przykładowo KeePass to oferuje) – wybór należy do użytkownika.

Dla porównania możliwości różnych aplikacji zamieszczam poniżej kilka linków – znajdziecie tam zestawienia i recenzje różnych rozwiązań i będziecie mogli łatwiej znaleźć coś dla siebie:

http://password-management-software-review.toptenreviews.com

http://lifehacker.com/5042616/five-best-password-managers

http://www.pcmag.com/article2/0,2817,2407168,00.asp

http://www.infoworld.com/d/security/review-7-password-managers-windows-mac-os-x-ios-and-android-189597

dodany: 26.11.2012 | tagi: , ,

Hasła są dead! Już nie chronią!

17

Przeciętny haker pozna Twoje hasło w 3 minuty.

Apokalipsa! Koniec ery haseł! – ogłosił w ubiegły czwartek dziennikarz, który stracił cały swój dorobek w internecie po tym, jak hakerzy pozyskali jego hasło. Myślisz, że Ciebie to nie dotyczy? Mylisz się!

Tego lata hakerzy zniszczyli całe moje internetowe życie w godzinę – powiedział Mat Honan, redaktor portalu Wired. Nie przesadził.

15 listopada w artykule „Kill the Password: Why a String of Characters Can’t Protect Us Anymore” („Zabijając hasło: dlaczego ciąg znaków już nas przed niczym nie ochroni”) ogłosił koniec ery haseł, których używamy w internecie.

Mnie to nie spotka – myślisz. Jesteś przekonany, że Honan to jakiś znany redaktor, który pewnie rozgniewał kogoś artykułem i ma za swoje. Zresztą, mieszkasz w Polsce, a tu nie ma hakerów.

Masz hasło? Haker już je zna…

Czytając te słowa, pewnie sprawdzasz skrzynkę mailową, jednocześnie przeglądając Facebooka. Za chwilę obejrzysz filmik na YouTubie. Potem sprawdzisz konto bankowe. Wszędzie musisz się zalogować, wpisać hasło, którym jest… Twoje imię? Imię kogoś bliskiego? Może… ulubione słowo? Data urodzin?

Nie? Masz 16-znakowe hasło, złożone z liter, cyfr i symboli?

Stosujesz kilka różnych haseł?

To zupełnie tak, jak Mat Honan!

Pechowy dziennikarz miał trzy różne hasła, każde po 7, 10 i 19 znaków alfanumerycznych. Cyberprzestępcy pozyskali je i włamali się do Twittera i Gmaila redaktora. Na jego koncie na Twitterze zamieścili rasistowskie i homofobiczne teksty. Włamali się też do jego telefonu, iPada
i MacBooka, kasując wszystkie wiadomości, dokumenty i zdjęcia. Cały jego dorobek.

Zdecydowanie atak hakerom uprościło to, że wszystkie trzy konta Honana – na Twitterze, Google’u
i w urządzeniach Apple’a – były ze sobą połączone.

Ha! Ja nie mam połączonych kont! – stwierdzisz z politowaniem.

Po czym, wzruszając ramionami dodasz, że nawet lepiej się stanie, gdy ktoś zajmie Twoje konto na Facebooku. (I tak tracisz na niego zbyt dużo czasu).

Czy rzeczywiście nie masz nic do stracenia?

Twoje hasło nie musi być celem samym w sobie. Obecnie hasła często wyciekają do sieci – hakerzy włamują się do komputerowych systemów i publikują na stronach listę nazw użytkowników
i haseł. Hakerzy liczą na to, że używasz tego samego hasła do logowania się w różnych miejscach. Poznając jedno hasło, z łatwością dostaną się do innych miejsc, z których korzystasz w sieci.

Twój e-mail. Twoje konto w banku. Twój adres i numer karty kredytowej. Zdjęcia pociech lub, co gorsza, Twoje, w negliżu. Informacja o tym, gdzie właśnie teraz jesteś, czytając te słowa.

– wylicza w artykule Mat Hanon.

O tym, jak szybko można pozyskać czyjeś hasło i wyrządzić komuś szkody, Honan przekonał się samodzielnie. Nauczył się, jak pozyskiwać hasła. Obecnie zajmuje mu to kilka minut.

Honan Barbarzyńca

Po feralnym ataku, Mat Honan zaczął sprawdzać zabezpieczenia w internecie. Przeraziło go to, co odkrył. Okazało się, że z łatwością może dostać się na czyjeś konto e-mail.

Wszystko, co muszę zrobić, to wejść na stronę i wpisać twoje imię i nazwę miasta, w którym się urodziłeś, co jest bardzo łatwe w erze Google’a. Z tymi danymi (…) otrzymuję możliwość zresetowania hasła, i mogę zalogować się na twoje konto.

– napisał, strasząc swoją potencjalną ofiarę.

Następnie dowiedział się, z jakiego banku korzysta. Potem zresetował stare i utworzył nowe hasło logowania się do banku. Od tego momentu mógł przeprowadzać operacje bankowe na koncie ofiary.

Dzięki „podejrzanej, zagranicznej stronie”, za dostęp do której zapłacił 4 $, mógł w ciągu 2 minut pozyskać dane o czyjejś karcie kredytowej, telefonie, numerze ubezpieczenia i adresie; w ciągu paru kolejnych – przejąć konta użytkownika na np. Amazonie; po następnych 10 – dostać się do jego kont w AT&T, Comcast czy Verizon (amerykańscy operatorzy telekomunikacyjni, mobilni i internetowi); po 20 minutach był w stanie przejąć konto PayPal ofiary.

Hasła – do muzeum!

Najłatwiejszym celem ataków są hasła. Są one artefaktami z czasów, kiedy nasze komputery nie były tak ze wszystkim połączone. Obecnie nie jest ważne, jak ostrożny będziesz – żaden długi czy unikalny ciąg znaków nie zatrzyma zawziętego i mocno zaangażowanego osobnika przed włamaniem się na twoje konto. Nastał koniec epoki haseł; tylko jeszcze sobie nie zdajemy z tego sprawy.

Kiedy powstał internet, hasła działały znakomicie. Do ochrony mieliśmy niewiele danych. Dla hakerów w tamtej epoce wyzwaniem było raczej włamywanie się do zasobów dużych firm, a nie do skrzynek pocztowych zwykłych użytkowników.

Następnym etapem było tworzenie tzw. bezpiecznych haseł. Z jednej strony nawoływano do ich tworzenia, tłumacząc, czym grozi wyciek danych. Z drugiej strony serwisy internetowe ograniczały ilość znaków haseł wymaganych do logowania się (gdyby użytkownicy zapominali swoich haseł, to łatwo zniechęcaliby się do korzystania z serwisu).

Kto zostaje hakerem?

Hakerzy stosują cały wachlarz technik, by poznać nasze hasła. Zgadują je, wyciągają z grupy haseł, które wyciekły, zdobywają za pomocą ataku brute force lub złośliwego oprogramowania oraz technik phishingowych (fałszowanie stron), kradną dzięki keyloggerowi lub przez maile.

Komu chce się wykradać nasze hasła, śledzić nas? Honan twierdzi, że przestępczym organizacjom, skupiającym hakerów i… nastolatkom.

Owszem, hakerzy działający w zorganizowanych grupach są niebezpieczni, bo są skuteczni i niezwykle płodni, ale młodociani (zazwyczaj 14-, 15-latkowie) cyberprzestępcy są od nich bardziej niebezpieczni, ponieważ są pomysłowi i innowacyjni.

Jeśli nie hasła, to co?

Internet nie umie dochować tajemnicy – napisał Honan. Jak więc mamy chronić swoje dane?

Przyszłość indywidualnej weryfikacji online nie może bazować jedynie na hasłach. Hasło powinno być jednym z elementów wielopłaszczyznowego procesu identyfikacji użytkownika.

Kiedy widzisz człowieka na ulicy i myślisz, że może jest to twój znajomy, nie pytasz go o dowód osobisty. Zamiast tego, patrzysz na kombinację wielu cech.

– pisze Honan.

Bierze się pod uwagę jego fryzurę, głos, ubranie oraz czy jest w miejscu, do którego zwykle chadza. Jeśli któryś z elementów nie pasuje, nikt nie uwierzy, że dowód osobisty, którym się legitymuje, należy do niego.

Jaka jest zatem przyszłość identyfikacji w internecie?

Po pierwsze, aby prawidłowe zidentyfikowanie nas w sieci było możliwe, musimy dać się dobrze poznać. Co oznacza, że musimy… pozwolić się śledzić. Jednym z elementów skutecznej weryfikacji użytkowników w przyszłości, jak twierdzi Honan, stanie się także identyfikacja biometryczna, a więc za pomocą naszego głosu, linii papilarnych i wzroku.

A Wy – dalej wierzycie, że hasła Was chronią?