Artykuły dotyczące tematu: tworzenie haseł

dodany: 06.05.2013 | tagi:

Dlaczego różne serwisy wymagają różnych haseł?

6
passwords

Rejestracja kont oraz towarzyszące temu ustawianie hasła przypomina próby integracji z obcym krajem bez znajomości lokalnych zwyczajów. Jeden serwis wymaga hasła o długości 8 znaków, w innym można mieć nawet 64-znakowe hasło; jeden pozwala wyłącznie na znaki alfanumeryczne, a inny wspiera także znak podkreślenia, podczas gdy jeszcze inny pozornie akceptuje wszystkie znaki specjalne (“pozornie”, ponieważ okazuje się, że możesz pożegnać się z kwadratowymi nawiasami albo wykrzyknikiem). Czasem zdarza się też tak, że hasło musi zawierać cyfrę i chociaż jedną wielką literę, ale za żadne skarby nie może zaczynać się od cyfry.

Korzystanie z lwiej części serwisów bez założenia zabezpieczonego hasłem konta zwykle mija się z celem. Jak pisał Marcin Skrylec na swoim blogu, w czasach nieustających włamań do większych i mniejszych stron i powiązanych z nimi wyciekami haseł, używanie tego samego hasła w wielu miejscach nie jest najmądrzejszym pomysłem. Praktycznym rozwiązaniem mogą być łatwe do zapamiętania zdania lub losowe kombinacje słów z ewentualnymi udziwnieniami w postaci znaków specjalnych bądź cyfr. Tego typu hasła są nie tylko bezpieczne, ale także przystępne dla szarych użytkowników. Niestety, tak jak każdy sposób tworzenia haseł – od zdań po losowe łańcuchy znaków – zawodzi w obliczu ograniczonej liczby znaków.

Większość stron ma swoje własne dziwactwa dotyczące haseł, ale bardzo rzadko, o ile w ogóle, jest zrozumiale wyjaśnione, czemu nie można używać tak krótkiego, długiego, prostego lub skomplikowanego hasła, jak chce użytkownik. (Cóż, można zrozumieć niechęć do prostych i krótkich, ale w innych przypadkach nie jest to tak oczywiste). Niezależnie od metody tworzenia haseł, może się okazać problematyczne, jeśli będzie zbudowane z wielu słów, ponieważ będzie za długie, jeśli do jego stworzenia nie będzie można użyć znaków specjalnych, a także – z drugiej strony – jeśli będzie za krótkie.

Każda firma wypracowała zupełnie różne poziomy równowagi między tym, co: czyni hasło bezpiecznym, może być zapamiętane przez człowieka i może być obsłużone przez system informatyczny. Warto wiedzieć, z czego te różnice wynikają – nie tylko z punktu widzenia samych komputerów.

Dlaczego różne serwisy wymagają różnych haseł?

Firma finansowa Charles Schwab ma ścisły limit długości haseł – nie mogą być one dłuższe niż 8 znaków, ale jednocześnie nie mogą mieć one ich mniej niż 6. Fakt, że tak istotne dane finansowe są chronione przez zaledwie 8 znaków, nie odpowiada części klientów.

Jak mówi Sarah Bulgatz, dyrektor do spraw public relations, firma

obecnie pracuje nad zmianami, które wiązałyby się ze stosowaniem dłuższych haseł

i dodaje, że podejrzany dostęp do któregoś z kont skutkuje dodatkowymi pytaniami o bezpieczeństwo. Na pewno kogoś by to uspokoiło, ale wiadomo, jak łatwo znaleźć odpowiedzi na tego typu pytania, zwłaszcza z Facebookiem pod ręką. Tak czy siak, nie podano żadnego wytłumaczenia, dlaczego hasła muszą być tak krótkie.

Dwuskładnikowe uwierzytelnianie bezdyskusyjnie wydaje się najlepszym sposobem na powstrzymanie ciekawskich przed uzyskaniem dostępu do cudzych kont. Charles Schwab oferuje zainteresowanym klientom darmowy „token bezpieczeństwa”, który generuje sześciocyfrową liczbę, którą trzeba podać przy logowaniu poza tradycyjnym hasłem. Niestety – dwuskładnikowe uwierzytelnianie jest tak samo narażone na wyłudzenia, jak hasła.

Microsoft (w Windows Live) również narzuca ograniczenia na hasła swoich użytkowników i klientów: nie może być ono dłuższe niż 16 znaków i krótsze niż 8, ale może zawierać wielkie i małe litery, znaki specjalne i cyfry. Limity te tłumaczone są tym, że długość hasła ma nikłe szanse na powstrzymanie ataku na konto, a łamanie haseł rzadko jest dużym problemem. Ciężko się z tym nie zgodzić, szczególnie, jeśli weźmie się pod uwagę liczne włamania do największych serwisów w przeciągu roku. Należy także pamiętać, że atak brute force przy pomocy wydajnej karty graficznej nie stanowi wyzwania, oczywiście pod warunkiem wycieku bazy danych. Nawet wykluczając bezpośredni atak na infrastrukturę serwerową, użytkownicy niezwykle często nabierają się na phishing, padają ofiarą malware i używania tych samych haseł w wielu miejscach. W żadnym z tych przypadków długość i stopień skomplikowania hasła nie stanowi zabezpieczenia, w najlepszym razie opóźni włamanie. Nawiązując do wypowiedzi Erica Doerra, pracownika Microsoftu, z powodu różnic między ograniczeniami haseł w różnych produktach, zmiany są większe niż być powinny i potrzebują więcej czasu, nim trafią na rynek.

Nie wszyscy użytkownicy akceptują takie wytłumaczenie, co pokazuje wątek na Stackoverflow. Jeden z użytkowników twierdzi, że ograniczenia długości hasła są pozbawione sensu, inny nazywa je bezwartościowymi. Jeszcze inny zauważa, iż limit znaków w haśle może sugerować, że dana firma przechowuje hasła w czystym tekście i tym samym nie korzysta z funkcji skrótu. Takie obchodzenie się z hasłami nie jest najmądrzejszym pomysłem, szczególnie jeśli ktoś uzyska do nich dostęp, a nie są to niestety pojedyncze przypadki.

Evernote jest względnie elastyczne w kwestii haseł. Muszą mieć one więcej niż 6 znaków, ale górna granica wynosi aż 64, ponadto pozwala na wszelkie znaki specjalne, z wyjątkiem spacji. Brzmi dziwnie? Zasady dotyczące haseł są opisane w formie wyrażenia regularnego w API serwisu, ale spacje nie są wspierane, bo ich umiejscowienie na początku i końcu hasła jest zbyt problematyczne. Jak wyjaśnia Dave Engberg, pełniący obowiązki CTO, oprogramowanie musi wiedzieć, jak obchodzić się ze spacjami. Część frameworków i zewnętrznych aplikacji usuwa spacje poprzedzające lub następujące po haśle, natomiast inne nie.

Dodanie obsługi spacji tylko wewnątrz hasła wymusiłoby wydłużenie wyrażenia regularnego, co najmniej 3 razy. Ten dodatkowy wysiłek zaowocowałby zaledwie półtoraprocentowym zwiększeniem entropii (w bardzo dużym uogólnieniu – losowości) hasła. Po ostatnim włamaniu zdecydowano o wdrożeniu dwuskładnikowego uwierzytelniania, co ma nastąpić jeszcze w tym roku.

Znaki specjalne stanowią zupełnie odrębny problem. Długość hasła w AT&T musi mieścić się pomiędzy 8 i 24 znakami, ale z niestandardowych znaków dozwolone są tylko myślniki i podkreślniki. Zabawnym wytłumaczeniem firmy jest to, że klientom nie spodobało się wpisywanie skomplikowanych haseł podczas korzystania z telefonów. Trzeba jednak pochwalić rozwinięte reguły chroniące przed atakami słownikowymi.

Dosyć miernym pocieszeniem jest to, że różnice w ograniczeniach haseł chronią użytkowników przed lenistwem i korzystaniem z tej samej kombinacji we wszystkich miejscach. Niestety, duża część ataków ma niewiele wspólnego z zawartością hasła, a więcej z manipulacjami. Poza nielicznymi przypadkami, ograniczenie długości albo używanie znaków specjalnych nie będzie miało znacznego wpływu na bezpieczeństwo konta.

Źródło: arstechnica.com

Artykuł jest przekładem artykułu z powyższego źródła. Redakcja portalu WebSecurity.pl rości sobie prawa autorskie do przekładu, honorując jednocześnie autorskie prawa autora tekstu źródłowego.

dodany: 12.03.2013 | tagi: ,

Elementarz bezpiecznych haseł

0
Elementarz bezpiecznych haseł

Nigdy nie korzystaj z tego samego hasła w wielu miejscach. Aby nie zgubić się w nadmiarze różnych haseł, używaj tak zwanego banku haseł albo własnego sposobu tworzenia ich. Ponadto są sposoby pozwalające zapamiętać skomplikowane główne hasło do miejsca, w których będziesz przechowywać pozostałe.

Chociaż bezpieczeństwo użytkownika zależy w dużej mierze od niego samego, odpowiedzialność za bezpieczeństwo haseł spoczywa na twórcach i administratorach serwisów internetowych. Jeżeli bezmyślnie się z nimi obchodzą i przechowują hasła swoich użytkowników w czystym tekście, w przypadku włamania użytkownicy serwisu są na straconej pozycji. Rzecz ma się podobnie, gdy serwis przechowuje hasła w haszach MD5 albo SHA1, ale niesolonych – wtedy złamanie takiego ciągu jest tylko kwestią czasu (dodatkowo bardzo krótkiego).

(więcej…)