Blog

Bezpieczeństwo Haseł

masz pytania? napisz do nas
6 października, 2021

Bezpieczeństwo Haseł

Dzisiejsze czasy wymagają od nas stałego dostępu do sieci. To za jej pomocą jesteśmy w stanie wykonywać naszą pracę na odległość, dzielić się naszymi spostrzeżeniami na grupach społecznościowych.
Niezależnie od tego, czy jest to Facebook, Twitter, czy też Telegram – swoją drogą ostatnio bardzo popularny wśród ludzi zajmujących się bezpieczeństwem, lecz nie tylko – wymaga się od nas dwóch rzeczy, podczas zakładania naszego pierwszego konta.
Zazwyczaj, jest to kombinacja Login / Email, Hasło. Tak, jak z podaniem naszego adresu mailowego, nie mamy problemu, tak z tym drugim składnikiem uwierzytelniającym, bywa już nieco trudniej.
Dlaczego? Cóż, odpowiedzi na to jest tak wiele, jak pomysłów na tworzenie hasła. Niemniej, zazwyczaj problemów nastręcza pytanie:

  • W jaki sposób je zapamiętać?
  • Czy mogę je gdzieś zapisać, a jeśli tak to gdzie?
  • Czy dla ułatwienia, powinienem zamieścić w haśle coś dla mnie znajomego?
  • Jak długie powinno być hasło?

I wiele więcej. Piszemy dla Państwa ten artykuł, aby po jego przeczytaniu, podobne pytania już nigdy was niepokoiły.
Zanim jednak przejdziemy do dalszej części artykuły, pragnę wyjaśnić Państwu, czym jest Uwierzytelnienie.
Inaczej ujmując jest to proces weryfikacyjny sprawdzający, czy dane podane przez użytkownika, są zgodne z tymi które zostały zapisane w bazie danych.

Jak podaje Sekurak (https://sekurak.pl) – „weryfikacja, czy podana tożsamość nie jest dostarczana przez fałszywy podmiot.
Sprawdzenie zgodności zdjęcia z dowodu tożsamości i twarzy wnioskującego o kredyt to uwierzytelnianie.
W mowie potocznej często można usłyszeć określenie „autentykacja”, które jest błędnym tłumaczeniem angielskiego słowa „authentication”.” ~ https://sekurak.pl/kompendium-bezpieczenstwa-hasel-atak-i-obrona/

Dlaczego siła hasła jest istotna?

No dobrze, ale dlaczego siła hasła jest tak istotna? Przede wszystkim dlatego, że im silniejsze hasło, tym trudniej przebiega proces jego łamania, a co za tym idzie – istnieje większe prawdopodobieństwo zniechęcenia się atakującego do kontynuowania działań.
Im hasło jest silniejsze, tym możemy być relatywnie bardziej spokojni o nasze interesy (Relatywnie oznacza – że w momencie wycieku naszego hasła oraz usługodawcy, nasza pewność o bezpieczeństwo, powinna zostać zachwiana).
W chwili obecnej jednak jestem wam winien sprostowanie. Nie wyjaśniłem jeszcze czym dokładnie jest ta „siła hasła”.
Nie wdając się w bardziej techniczne szczegóły, być może w przyszłości poświecimy na ten temat osobny artykuł, lecz w chwili obecnej zapamiętajcie proszę, że chodzi o nic innego jak o:

  • Długość hasła
  • Nie-trywialność
  • Oraz co za tym idzie – pomysłowość

Aby hasło było relatywnie bezpieczne, w cale nie musi ono posiadać nie wiadomo ilu niezliczonych znaków specjalnych, tak zwanych ASCII Codes [https://en.wikipedia.org/wiki/ASCII], czy też niezliczonych kombinacji zwykłych znaków z kodami ASCII.
Wystarczy „zaprojektować” długie, trudne do odgadnięcia hasło, które będzie kompletnie z niczym niezwiązane. Jeżeli chodzi o konkretną minimalną długość hasła – tak naprawdę jej nie ma, chociaż zaleca się tworzenie haseł o minimalnej długości przynajmniej 10 / 12 znaków posługując się kilkoma wytycznymi, o których częściowo już wspomnieliśmy:

  • Hasło powinno być niezwiązane z nami ani z nikim z naszego otoczenia
  • Powinno w sobie zawierać zarówno małe jak i duże litery z przedziału od A-Z
  • Zawierać przynajmniej jedną liczbę z zakresu 0-9
  • Posiadać w sobie jeden znak specjalny ASCII (np. #, $, !, @)

Tutaj właśnie pojawia się pytanie – w jaki sposób mam zapamiętać moje hasło? Przecież mam tyle spraw na głowę, z całą pewnością go zapomnę! Powinienem je gdzieś zapisać, ale gdzie mam to zrobić?

Dlaczego powinniśmy przechowywać nasze hasła?

Przechowywanie haseł tak naprawdę, nie jest czymś trywialnym. Nie jesteśmy bowiem w stanie zapewnić 100% pewności jego bezpieczeństwa, ponieważ, jak to zwykło się mawiać w branży IT – najsłabszym ogniwem obecnych systemów bezpieczeństwa jest człowiek. Wszyscy popełniamy błędy, nie jesteśmy nieomylni – zawsze znajdzie się ktoś sprytniejszy, ba bystrzejszy od nas. Dzięki obecnej technologii oraz zdobyczą kryptografii, jesteśmy w stanie minimalizować potencjalne zagrożenie. Jesteśmy w stanie to osiągnąć wykorzystując w tym celu tak zwanego Menadżera Haseł -> https://pl.wikipedia.org/wiki/Mened%C5%BCer_hase%C5%82. Jego zadaniem jest przechowywanie zapisanych przez nas haseł w sposób bezpieczny technicznie co czyni go niezwykle trudno dostępnym dla atakującego, natomiast dla nas niezwykle prostym w codziennym użytkowaniu. Jest to możliwe właśnie dzięki osiągnięciom z dziedziny Kryptografii, czyli dziedzinie zajmującej się:

  • Tworzeniem
  • Analizą
  • Łamaniem

Haseł. Obecnie, do szyfrowania tego rodzaju danych, wykorzystuje się algorytm asymetryczny [https://en.wikipedia.org/wiki/Public-key_cryptography] – RSA, bądź też algorytmem AES inaczej ujmując Advanced Encryption Standard – więcej informacji na temat tego algorytmu znajdziecie Państwo tutaj https://en.wikipedia.org/wiki/Advanced_Encryption_Standard.

Szyfry te, używane są po stronie logiki biznesowej rozwiązania. Natomiast dla nas jako użytkowników istnieje specjalnie przygotowany interfejs użytkownika – umożliwiający nam bezproblemowe zapisywanie oraz co najważniejsze odczytywanie wszystkich naszych haseł. No dobrze, ale skąd wziąć tego menadżera? Ile on kosztuje? Dobra wiadomość jest taka, że istnieje ich naprawdę wiele takich jak:

  • 1Password – https://1password.com/?&utm_source=bing&utm_medium=cpc&utm_campaign=ROW_ALL_Brand%201Password_DKT*&utm_term=1password&utm_content=ROW_ALL_Brand%20Core_DKT&gclid=45e6b46c83421019e7cad491b289066f&gclsrc=3p.ds
  • Dashlane – https://www.dashlane.com/plans?utm_source=cj&utm_campaign=8958915&utm_medium=Webselenese+Ltd&utm_term=12528922&utm_content=30579e601aba11ea8225001a0a240611_704905123023553698%3ADL7vTStCHyCD
  • Keeper – https://www.keepersecurity.com/pl_PL/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE
  • RoboForm – https://www.roboform.com/lp?affid=vment&frm=offer-vpnmentor
  • LastPass – https://www.lastpass.com/?utm_source=impact-radius&utm_medium=affiliate&utm_campaign=affiliate-program&irgwc=1&clickid=VV7zp30esxyOTQLwUx0Mo3YXUknymPQH-Ql90k0

I wiele, wiele więcej. Dla przykładu 1Password jest bardzo łatwy w użytkowaniu, posiada bardzo ładny oraz czytelny interfejs użytkownika.
Bezpieczeństwo szyfru również stoi na bardzo wysokim poziomie. Problem z nim natomiast jest taki, że musimy za niego płacić. Nie jest to duża kwota, gdyż obecnie (tj. 07.2021r) kosztuje $2.99 miesięcznie, płatne rocznie.

 

 

Jeżeli pragniecie Państwo zaoszczędzić trochę pieniędzy, możecie skorzystać z darmowego rozwiązania, dorównującemu poziomowi bezpieczeństwa 1Password, ale o nieco już przestarzałym interfejsie, gorąco zachęcam do skorzystania z KeePassXC -> https://keepassxc.org/. Jest to rozwiązanie, z którego sami korzystamy i jesteśmy z niego bardzo zadowoleni. Umożliwia on integrację z przeglądarką np. Google Chrome, Firefox oraz Operą. Tak jak w 1Password tutaj również istnieje możliwość skorzystania z generatora bezpiecznych haseł, Wygląda on w sposób następujący

Jak Państwo widzą, dostosowanie hasła pod swoje preferencje jest tutaj niezwykle proste.
Niestety, bardziej techniczne aspekty, wykraczają poza zakres tego artykuły, niemniej niewykluczone, że w przyszłości również o tym pojawi się artykuł.

Czy jedno hasło wystarczy?

„No i w porządku, mam już mojego menadżera haseł. Mogę wygenerować sobie jedno góra dwa hasła i wystarczy – po co więcej?”.
Niestety, jednak obracając się w pewnych kręgach ludzi zafascynowanych bezpieczeństwem haseł, oraz ogólnie pojętego Cyber Security, nadal wymieniamy się spostrzeżeniami na temat tego, że nasi użytkownicy dalej tak sądzą.
Dlaczego to NIE jest dobry sposób ochrony? Tak naprawdę z jednego poważnego powodu. Jeżeli Twoje hasło wycieknie z jednego serwisu, z którego korzystasz, wówczas wszystkie Twoje serwisy, czy to Facebook, Twitter, nawet konto bankowe są bardzo zagrożone.
Wystawiasz się w ten sposób na potencjalnie bardzo nieprzyjemne konsekwencje, dlatego traktuj swoje hasło unikatowo. Jedno hasło, jeden serwis.
W moim menadżerze haseł jest zapisanych około 30 rekordów a waga pliku, na którym są zapisane to jedyne 8KB zatem nie ma co się przejmować o zbyt małą ilość dostępnej pamięci.

Dodatkowe zabezpieczenia

Niestety, ale jakbyśmy się nie starali, dalej istnieje możliwość złamania naszego hasła, wówczas jesteśmy przegrani. Dlatego też, powstały dodatkowe metody zabezpieczeń – tak naprawdę dostępne już we wszystkich serwisach.  Niestety wykracza to poza zakres tego artykuły, ale serdecznie zachęcam do zapoznania się pojęciem 2FA oraz U2F. Jeżeli pojawi się zainteresowanie, poświęcimy na ten temat osobny artykuł.

Kategorie