Coś o hasłach i dlaczego przysparzają o ból głowy

Data publikacji: 2022-05-18
Artur Rybarczyk

Coś o hasłach i dlaczego przysparzają o ból głowy

Masa historii, utraconych danych, zmagań z użytkownikami i nie tylko. Hasła wydają się nam być podstawą dzisiejszego świata cyfrowego. Tylko czy to dobrze? 

Na samym początku chciałbym przytoczyć pewną historię z lat 80. z jednej z pierwszych społeczności hackerskich na MIT i jej członka – Richarda Stallmana – oraz haseł.

Możesz go lubić lub nim gardzić, ale na w przeszłości był dość znany z walki o hasła i to nie w ten „dobry” sposób. Przynajmniej w oczach informatyków i rzeczywistości, którą znamy dziś.  

Jeśli nie wiesz, o czym mówię, nie martw się, zaraz wszystko będzie jasne. Mówiąc prosto, zanim pojawił się dzisiejszy Internet, istniał ARPAnet MIT, na który po prostu składała się mniejsza sieć połączonych ze sobą komputerów. Gdy wiedziałeś wystarczająco dużo, mogłeś uzyskać dostęp do ARPAnetu. Ale musiałeś znać lub skądś wytrzasnąć poświadczenia dające dostęp.

To, co robił Stallman, to notoryczne publikowanie swoich danych uwierzytelniających użytkownika i udostępnienie ich społeczności. Często stosował strategię posiadania tego samego hasła i loginu jako akt buntu (brzmi jak coś, co znasz z dzisiejszych czasów?)  

To był jego hackerski i nieco idealistyczny światopogląd, który odegrał tutaj rolę. Według Free as in Freedom: Krucjata na rzecz Wolnego Oprogramowania Richarda Stallmana tak opowiadał o swoich motywacjach: 

„[Kiedy] hasła po raz pierwszy pojawiły się w MIT AI Lab, [postanowiłem] kierować się moim przekonaniem, że nie powinno być żadnych haseł”, powiedział później Stallman. „Ponieważ nie wierzę, że ochrona komputera jest naprawdę pożądana, nie powinienem chcieć pomagać w utrzymaniu reżimu bezpieczeństwa”. 

Czytanie go dzisiaj jest… dziwne. Czy możesz sobie wyobrazić własny komputer otwarty dla wszystkich i pozwalający każdemu na dostęp do czegokolwiek? Ja nie. Ten niepokój, który być może masz z tyłu głowy, jest dokładnie powodem, dla którego hasła były wdrażane i używane praktycznie od czasu, gdy komputery zostały wprowadzone do naszych firm i domów.

Chociaż poglądy Stallmana były skrajne, hasła zawsze były niedogodnością dla użytkowników i nadal są postrzegane jako takie przez niektórych, zwłaszcza gdy częste zmiany haseł są wymuszane przez administratorów i polityki bezpieczeństwa. Przez długi czas była to niedogodność, która w porównaniu z innymi opcjami była (i nadal jest) niezwykle wygodna. 

Mówiąc szczerze, mamy więcej niż jeden problem. Ale po kolei. 

W swoim życiu w Internecie najprawdopodobniej doświadczyłeś irytującej sytuacji, w której zakładasz konto w serwisie i ustawiasz hasło oraz widzisz instrukcję „Twoje hasło musi mieć co najmniej 8 znaków, nie więcej niż 20 i zawierać co najmniej: jeden duży znak, jedną cyfrę i jeden znak specjalny” bla, bla, bla, wszyscy znamy formułkę określającą regułę złożoności hasła.

To jest jeden z naszych problemów. 

Czemu? Cóż… ludzie będą ludźmi. Zrobimy absolutne minimum, aby spełnić regułę i iść do przodu. Może nie wszyscy, może nie zawsze, ale jednak. Ja sam tak robiłem. Kilka razy. Daje nam to proste hasła, które mogłeś zobaczyć, takich jak Pa$$w0rd albo Schabowy1!. Tysiące lub setki tysięcy takich haseł wyciekają każdego roku w wyniku włamań. Być może widziałeś nawet artykuły takie jak ten, albo może ten

Kolejny problem? Wymuszanie częstych zmian haseł. Jeśli nie wiesz, o co mi chodzi, pomyśl tylko o tym czy znasz kogoś lub samemu byłeś (jesteś?) tą osobą, która ustawiła jako hasło Lato2019! lub Styczen2020! (jeśli musiałeś nieszczęśniku robić to co miesiąc). Prosta droga do łatwego zgadywania haseł użytkowników. 

Czy jest coś więcej? W pewnym sensie tak. Ale kolejne problemy nie są już takie oczywiste i przez długi czas uważano je za odpowiedź na wspomniane wcześniej bolączki.  

Od dłuższego czasu mówi się o poprawie bezpieczeństwa haseł i zabezpieczenia ich przed atakami. Te, które najbardziej działają na naszą wyobraźnię pewnie kojarzycie z filmów: zakapturzona postać siedzi przed komputerem i próbuje albo odgadnąć hasło, albo zhackować je jakimś oprogramowaniem, Martix na ekranie i dzieje się magia. Świetne do filmów i pełne dramaturgii. Gorzej jeśli na tym opieramy naszą wiedzę o cyberbezpieczeństwie i potem podejmujemy na tej podstawie decyzję. 

Jakie są więc zalecenia dotyczące poprawy? Po pierwsze, należy używać złożonych haseł-fraz, na przykład Dlaczego-7Ksiazki-Makarena. Co nam to daje? Zasadniczo hasła mogą być dłuższe, słowa mogą być oddzielone znakami specjalnymi, łatwiej zapamiętywane niż długie i złożone hasła przy znacznym wzroście ilości znaków i złożoności. Spory zysk niskim nakładem, ale tylko w przypadku niektórych ataków na hasła.  

Kolejne rozwiązanie? Zwiększ odstęp czasowy zmiany hasła. Comiesięczne zmiany hasła skutkują tym, że wielu użytkowników używa haseł słownikowych i łatwych do odgadnięcia. Trzy miesiące? Cóż, jest lepiej, ale wciąż nie idealnie. Gdyby to zależało ode mnie, wymagałbym zmiany hasła tylko w przypadku wycieków i udanych prób wyłudzenia, ale Ty musisz znaleźć ten złoty środek, który odpowie na wymagania zawarte w politykach bezpieczeństwa i wymaganiach prawnych, które mają zastosowanie do Ciebie i Twojej organizacji. 

Jest jeszcze jedna rzecz, która – mam nadzieję – jest oczywista. Nigdy nie używaj tego samego hasła dwa razy. Jest to pomocne w przypadku włamań, w których atakujący po prostu wypróbowują Twoje hasło i znane adresy e-mail w najpopularniejszych witrynach przez co w prosty sposób uzyskują dostęp do Twoich kont i danych. 

Wszystkie te mechanizmy przywodzą na myśl jedno pytanie – jak do diabła ja lub ktokolwiek inny zapamiętamy wszystkie skomplikowane hasła, których wszyscy powinniśmy użyć tylko raz, nawet jeśli nie zmieniamy ich zbyt często? Nie martw się, jest prosta sztuczka – użycie menedżera haseł. Czym jest menager haseł? Mówiąc najprościej, jest to aplikacja, która może generować skomplikowane, losowe hasła lub hasła-frazy i przechowywać je w zaszyfrowanym skarbcu. Osobiście używam go już od kilku lat i jedyne hasła, które znam, to hasło do mojego komputera i do mojego menedżera haseł.  

To wszystko jest fajne i eleganckie, ale ma jedną wadę – pojedynczy punkt awarii. Gdy ktoś zdobędzie moje hasło do skarbca, zdobędzie dostęp do wszystkich moich kont. Martwię się? Trochę, ale nie za bardzo i to nie dlatego, że użyłem skomplikowanego hasła składającego się ze 120 znaków. Włączyłem uwierzytelnianie wieloskładnikowe

Uwierzytelnianie wieloskładnikowe lub w skrócie MFA to proces, w którym pojawia się monit o dodatkową formę identyfikacji. Proces MFA wymaga co najmniej dwóch z następujących elementów, aby umożliwić zalogowanie się: 

  • Coś, co wiesz
  • Coś, co masz
  • Coś, czym jesteś

Co to znaczy? Coś, co znasz, to zazwyczaj hasło. Coś, co masz, to urządzenie, takie jak smartfon lub klucz sprzętowy (polecam to drugie, szczerze). Coś, czym jesteś, to biometria, której większość z was prawdopodobnie już używa podczas odblokowywania smartfonu lub komputera. A przynajmniej mam taką nadzieję. 

Okej, mamy więcej zabawy przy logowaniu, ale gdzie plusy? Hmm… Moim skromnym zdaniem przewyższają dodatkowe niewygody. Mówiąc wprost, jeśli Twoje hasło zostało naruszone to nadal jesteś chroniony, ponieważ atakujący nie ma Twojego drugiego czynnika potrzebnego do zalogowania do systemu. Według Microsoftu może powstrzymać 99,9% ataków na konta (sic!) One simple action you can take to prevent 99.9 percent of attacks on your accounts (microsoft.com) 

Jednym zdaniem: WŁĄCZ MFA gdzie tylko możesz. Czy będziesz w 100% chroniony? Oczywiście, że nie. Nadal używane są starsze protokoły, które nie wspierają MFA. Nadal istnieją ataki, które mogą obejść MFA, a użytkownicy są w nich naprawdę pomocni, więc wyłącz starsze protokoły, gdzie możesz, i monitoruj te usługi, w których nie można tego zrobić. A przede wszystkim edukuj, edukuj i jeszcze raz edukuj swoich użytkowników! 

Niestety, hasła i zarządzanie uwierzytelnianiem zbyt często były w przeszłości ignorowane. Widziałem łatwe hasła ustawione dla krytycznych systemów na kontach z podwyższonymi uprawnieniami. Widziałem użytkowników, którzy wiedzą to wszystko, co tu napisałem, i nadal zostali zhackowani, a ich krytyczne serwery zostały zaszyfrowane przez złośliwe oprogramowanie (tak, z ich winy). Jeśli więc jesteś administratorem i nie używasz klucza sprzętowego lub karty, aby uzyskać dostęp do systemu – zmień to natychmiast! 

Rozważ zmianę zasad haseł w swojej organizacji i złagodź wymagania dotyczące interwału zmiany hasła. Pomoże ci to bardzo, a użytkownicy nawet Ci za to podziękują. 

Te działania mogą chronić Ciebie i Twoją organizację przed włamaniem, ale pamiętaj, że nie ma systemu, którego nie można by zhackować. Przygotuj sobie plan awaryjny na wypadek, kiedy padniesz ofiarą ataku na Twoje środowisko. I tak, jest to kwestia „kiedy”, a nie „czy”. 

Wiele się zmieniło, odkąd Stallman zbuntował się przeciwko hasłom w latach 80-tych. Świat się zmienił, a nasze systemy potrzebują ochrony przed niepożądanym dostępem. Hasła są podatne na ataki i nadal są używane jako jedno z głównych zabezpieczeń. Przestańmy to robić. 

O autorze

Artur Rybarczyk

Od ponad 6 lat w IT.

Od początku swojej przygody zanurzony po uszy w technologie Microsoftu – chmurowe i nie tylko.

Inżynierskie tendencje majsterkowicza od kilku lat aktywnie przesuwają strefę zainteresowań i aktywnego rozwoju w stronę cyberbezpieczeństwa.

Zobacz stronę autora