1 Używając tej techniki, zapamiętamy wiele trudnych do złamania haseł
2 Hakerzy wykradają również bardzo mocne hasła
Nawet jeśli dysponujemy silnym hasłem, korzystanie z niego nie musi zapewniać bezpieczeństwa. Kiedy wpisujemy je na obcym komputerze, ten może je zapamiętać i wyjawić postronnej osobie. Służą do tego programy zwane keyloggerami. Ale możemy je wywieść w pole, używając przy wprowadzeniu hasła klawiatury ekranowej Windows – wystarczy wpisać »osk« w Pasek wyszukiwania systemu. Wprowadzane znaki hasła są domyślnie zastępowane czarnymi kropkami lub gwiazdkami. Nie rezygnujmy z tego – niektóre keyloggery mogą wysyłać zrzuty ekranowe, ale przy takiej konfiguracji nie wyjawią one żadnych informacji. Pamiętajmy też, żeby tam, gdzie to możliwe, korzystać z protokołu SSL (https na początku adresu URL), który zapobiega przesyłaniu hasła przez Internet otwartym tekstem.
3 W atakach siłowych najważniejsza jest długość hasła dostępowego
Warto czuć respekt przed możliwościami obliczeniowymi kart graficznych. ATI Radeon HD 5970 przyspiesza nie tylko gry – może służyć również do sprawdzania 103 000 danych dostępowych na sekundę. Ataki słownikowe, w których hasło jest porównywane z tymi najczęściej używanymi, to dla tej karty kwestia sekund. Ale nawet jeśli mamy hasło losowe, nie może ono być zbyt krótkie, ponieważ wtedy narażamy się na atak siłowy – algorytm wypróbowuje wszystkie kombinacje z określonego zestawu znaków. Ale liczba możliwych układów rośnie wykładniczo wraz z każdym kolejnym znakiem hasła. Dlatego hasła powinny być długie: co najmniej osiem lub więcej znaków.
4 Generatory haseł nie mają osobistych upodobań
Utworzyliśmy kod dostępu z początkowych liter wyrazów zdania oraz dodaliśmy znaki specjalne i liczby. Choć utworzone w ten sposób hasło jest stosunkowo bezpieczne, to hakerzy mogą skrócić czas ataku metodą algorytmu siłowego, wykluczając znaki, o których wiedzą, że prawie nigdy nie są używane przy tworzeniu kodów dostępu. Ryzyko to wyeliminujemy, korzystając z generatora haseł. Narzędzie traktuje tak samo wszystkie znaki, a w zapamiętaniu tak powstałego kodu pomoże zbudowanie zdania z jego kolejnych elementów.
5 Naprawdę mocne hasła nie mają termimu przydatności do użycia
Teoretycznie haseł nigdy nie trzeba zmieniać. Jeśli dostępu do aplikacji lub usługi sieciowej broni naprawdę silny kod, to po latach będzie on tak samo bezpieczny jak w dniu utworzenia. Mimo to banki, pracodawcy i usługi online domagają się czasami zmiany hasła. Powodem są zagrożenia wynikające ze stosowania i zapisywania danych dostępowych przez użytkowników, np. na serwetce w kawiarni albo w emailu do znajomego. Aby zredukować te zagrożenia, od czasu do czasu serwisy wymuszają zmiany danych dostępowych. Administratorzy wyświadczają sobie jednak niedźwiedzią przysługę, jeśli wymagają ich w zbyt częstych odstępach, to standardową reakcją jest dodawanie do hasła nazwy miesiąca lub daty. Skutek jest taki, że hakerzy za pomocą specjalnych algorytmów mogą zrekonstruować pierwotną wersję danych dostępowych.
6 Egzotyczne znaki są uciążliwe, ale mocne
Szczególnie silne okazują się hasła, których nie można wpisać, korzystając ze zwykłych klawiszy. W celu przyspieszenia łamania kodu dostępu hakerzy najczęściej wyłączają je ze sprawdzania. Ich wpisywanie jest nieco uciążliwe, ale już liczenie uderzeń w klawisze wyprowadzi hakera w pole, ponieważ znaki specjalne wymagają użycia większej liczby klawiszy. I tak znak “®” uzyskujemy, trzymając wciśnięty klawisz [ALT] i wciskając na klawiaturze numerycznej ciąg »0174« – jeden znak wymaga więc pięciu uderzeń. Poniżej znajduje się lista z wyborem znaków specjalnych. Stosowanie ich nie tylko utrudnia ataki metodą siłową, ale także powoduje, że klasyczne ataki słownikowe są skazane na klęskę. Jedyna trudność: rozważmy, gdzie korzystamy z hasła i czy w tych miejscach mamy do dyspozycji znaki specjalne. Zestaw dostępny w telefonach komórkowych jest na ogół bardzo ograniczony, a więc wpisanie takiego kodu będzie niewykonalne.
7 Sejfy haseł są bardzo wygodne, ale…
W Sieci jest mnóstwo programów do ochrony haseł, np. program KeePass (www.chip.pl/download). Takie sejfy to wygodny sposób na przechowywanie wszystkich haseł w jednym miejscu. Ale to, co z jednej strony jest wygodne, z drugiej może być źródłem zagrożeń. Aby zobaczyć bowiem kody dostępu do aplikacji, kont i innych danych, musimy wpisać hasło główne. Jeśli kontrolę nad naszym pecetem potajemnie przejmie trojan, haker uzyska dostęp do naszych chronionych zasobów, począwszy od kont email, a skończywszy na danych logowania do e-banku. Jedyny sposób na względnie bezpieczne używanie sejfów polega na uruchamianiu ich razem z przeglądarką w maszynie wirtualnej. W ten sposób program ten jest widoczny tylko podczas pracy z poufnymi danymi, a w pozostałym czasie zostaje ukryty jako plik kontenera maszyny wirtualnej.
Sejfy haseł pracujące na pececie mają jeszcze jedno ograniczenie: są niedostępne w podróży. Pewnym wyjściem są aplikacje tego typu dla komórek. Ilustracja u góry przedstawiająca narzędzie MobileKnox ma platformę Symbian. W Ovi-Store Nokii kosztowało ono w dniu zamykania numeru około 2 euro. Dla innych systemów operacyjnych przeznaczonych dla smartfonów również istnieją sejfy haseł.
8 Łatwo obliczyć, jak długo hasło będzie opierać się przed atakiem siłowym
Sami możemy oszacować poziom bezpieczeństwa hasła. Najpierw musimy ustalić, z jakiego zasobu znaków je zbudowaliśmy. Prosty przykład to PIN. W grę wchodzą cyfry od 0 do 9,w sumie dziesięć możliwości na pozycję. Zakładamy, że hasło składa się z sześciu znaków. Łatwo policzyć, że liczba jego możliwych kombinacji wnosi 106, czyli 1 000 000. W punkcie 3. pisaliśmy o karcie dla graczy Radeon HD 5970. Mając ją do dyspozycji, narzędzie Password Recovery, możemy wypróbowywać ok. 103 tys. haseł na sekundę. Dzielimy wymieniony wyżej milion kombinacji przez tę wartość i szybko ustalamy wynik, jaki uzyskałby haker na sprawdzenie wszystkich wariantów naszego PIN-u: tylko 9,7 sekundy.
9 Hasło można także otrzymać w spadku
Jeśli wszystko zrobiliśmy dobrze, nasze dane są bezpieczne jak Fort Knox. Ale co w przypadku naszej śmierci? Zgodnie z prawem dziedziczeniu podlegają również witryny, WWW, konta email i rachunki bankowe. Ale to, co z formalnoprawnego punktu widzenia brzmi banalnie, staje się wyzwaniem, jeśli nie wiadomo skąd zdobyć hasła do tych serwisów ani jakie działania w ogóle odbywały się w świecie wirtualnym.
Z tematem mierzyły się różne podmioty, a ich wynikiem jest oferta zarządzania cyfrowymi danymi w przypadku śmierci zleceniodawcy. W DataInherit (www.datainherit.com) możemy bezpłatnie zapisać 50 haseł i 10 MB ważnych danych, które w przypadku śmierci właściciela zostaną przekazane wskazanej osobie.
10 Same słowa bywają niebezpieczne
Istnieje już oprogramowanie pozwalające na łamanie w kilka sekund haseł do sieci WLAN i serwisów sieciowych, np. ElComSoft Wireless Security Auditor na współczesnym procesorze Intel Core i7 testuje ok. 4000 haseł WPA/s. Program jest drogi (ok. 4700 zł), jednak z Sieci można ściągnąć jego scrackowane wersje. A wtedy włamanie do naszej sieci WLAN może być dla sąsiada kwestią minut. Przed takim atakiem jesteśmy chronieni tylko wtedy, gdy jako haseł będziemy używać najbardziej absurdalnych ciągów znaków.