Sezamie otwórz się… - cz.1.

Od pewnego czasu, na czołówki gazet, przebijają się informacje o działalności hakerów. Analizy wielu różnego typu ataków wykazują, że często elementem, który atakowany jest w pierwszej kolejności nie jest system komputerowy lecz … człowiek. Tak było w przypadku włamań do niemieckiego Bundestagu, podobnie działają niektóre ataki na konta bankowe. W wielu przypadkach kluczem do otwarcia skarbnicy danych i pieniędzy jest … HASŁO.

Stara baśń o Ali Babie i 40 rozbójnikach zawiera w sobie pewien szczegół, który jest ponadczasowy.
Otwarcie skarbca, w którym rozbójnicy gromadzili swoje łupy, wymagał znajomości zaklęcia, które brzmiało: „Sezamie, otwórz się!”.


Dzisiaj nie nazwalibyśmy tego ZAKLĘCIEM, lecz HASŁEM. I podobnie jak w bajce, dzisiaj znajomość Hasła pozwala otworzyć niejeden skarbiec wypełniony pieniędzmi, danymi czy „cennymi” materiałami wideo.

Współczesny Ali Baba nie jest zwykłym obywatelem Persji, czy Singbadem Żeglarzem poszukiwaczem przygód, lecz przestępcą o niecnych zamiarach, nastawiony przede wszystkim na szybki zysk.

W przypadku systemów informatycznych współczesne zaklęcie, zwane powszechnie HASŁEM, stanowi podstawowy sposób ochrony dostępu do naszych skarbów. Problem w tym, że choć praktycznie każdy użytkownik Internetu zna tę zasadę, to jednak kompletnie nie dba o to, aby Hasło stanowiło realne zabezpieczenie.

Najpopularniejsze hasła
Co jakiś czas w sieci pojawiają się informacje o tym, że udało się złamać zabezpieczenie i uzyskać bazę danych z informacjami o użytkownikach oraz ich hasłach. Bardzo często taka baza pojawia się w sieci i można przeanalizować jej zawartość.
Wnioski z takich analiz są dość ciekawe.

Każdego roku pojawia się nieoficjalny ranking najpopularniejszych haseł angielskojęzycznych (przykładowa lista z 2016r jest tutaj).

Praktycznie nieformalnym królem haseł jest: 123456.
Tuż za nim plasuje się słowo: password,
A kolejnym: qwerty - czyli kolejne litery z 2 rzędu klawiatury komputera.

W pierwszej 10-tce są często: abc123, 12345, 1234, czy 123456789.

W Polsce także hakerom udaje się pozyskać bazy danych z informacjami o nazwach użytkownika czy hasłach. Ostatnim było wykorzystanie luki w serwisie Wykop.pl i pobranie pewnej części bazy danych z takimi informacjami.

Analiza opublikowanych zapisów haseł używanych przez użytkowników serwisu Wykop.pl nie pozostawia złudzeń. Trzymamy się czołówki światowej w zakresie prostych i banalnych haseł.
W przypadku polskich użytkowników królują podobne, „trudne do odgadnięcia” hasła takie jak:
qwerty
haslo123
qazxsw (kolejne litery w pionie klawiatury)
123456
abc123
111111

Oczywiście pojawiają się także akcenty hobbystyczne i patriotyczne, takie jak:
polska
widzew
nokia
starwar
pokemon
krakowiak
wiedzimin1
samsung1
porsche
.

Zdarzają się także najpopularniejsza słowa w języku polskim jak: dupa123, kupa123 czy ku**a123.

Liczby 123 to dość częsty sposób „utrudniania” hasła, wtedy pojawiają się takie zlepki jak: lolek123, lol123, michal123, test123, polska123, kuba123, ziomal123, qwe123, asdfgh123, haslo123, warszawa123, abc123.

Po co włamywać się do serwisów takich jak Wykop.pl czy internetowych serwisów randkowych?

Badania pokazują, że ludzie najczęściej to samo hasło wykorzystują zarówno w życiu prywatnym jak i służbowym. Mało tego, bardzo często przy zakładaniu kont w serwisach społecznościowych podawany jest służbowy adres email.

Wykorzystują to najczęściej hakerzy i w bardzo prosty sposób wiążą adres e-mail z miejscem pracy, a potem szukają sposobu na sprawdzenie czy to samo hasło nie jest wykorzystywane w systemach informatycznych firmy.
To tylko jedna z wielu metod pokonywania zabezpieczeń.

Dlaczego hasła są tak proste?
Człowiek z natury jest leniwy. Dotyczy to nie tylko aktywności fizycznej, ale także aktywności umysłowej.
Staramy sobie ułatwiać życie maksymalnie jak tylko możemy. Dlatego wpisujemy hasła o bardzo prostej konstrukcji lub też wykorzystujemy pamięć motoryczną i hasło jest ciągiem znaków ulokowanych na klawiaturze obok siebie.

Nie bez znaczenia jest także wykorzystanie skojarzeń z rzeczami, które lubimy lub które są naszą pasją. Dlatego w skład haseł wchodzą takie słowa jak starwars, legia, pokemon, hugo.

Co robić?
Jest parę metod do wykreowania hasła, które jest dużo trudniej odgadnąć przy wykorzystaniu ataku słownikowego.

Metoda 1

Do skomplikowania hasła wystarczy użyć większej ilości znaków niż tylko litery i cyfry. Klawiatura komputera pozwala wprowadzać także znaki interpunkcyjne (.,?!) czy inne znaki specjalne (@#$%*).

Wprowadzenie do hasła tego typu znaków znacząco utrudnia atak słownikowy, jak również zwiększa liczbę operacji matematycznych w przypadku ataków z generatorem haseł.

Mówiąc krótko, zamiast wykorzystania liter alfabetu (26 liter) i cyfr (10 znaków), zwiększamy pulę kombinacyjną o dodatkowe 30 znaków.
Tym samym zamiast 36 znaków pula rośnie do 66 znaków, a jeżeli użyjemy jeszcze liter małych i dużych - to pula znaków urasta do 92.

Łatwo powiedzieć, ale jak to zrobić?

Najlepiej pokazać to na przykładzie. Wybierzmy słowo: krakowiak.

Na początek przyjmijmy, że zawsze w naszych hasłach pierwszą i ostatnią literę będziemy pisać Wielką Literą. W ten sposób nasze hasło zamienia się w:

KrakowiaK

W drugim kroku zamieńmy literki na znaki specjalne, które wyglądają bardzo podobnie, czyli na przykład nasze hasło może wyglądać następująco:

Kr@kow!@K

W ten sposób w dalszym ciągu używamy słowa krakowiak, jednak sposób jego zapisu jest już zdecydowanie trudniejszy do odgadnięcia.

Dla osób, które mają pamięć motoryczną może się okazać, że dla wygody wpisywania tego hasła na klawiaturze, warto zmienić literkę r na R, bo wówczas dużo łatwiej jest wpisywać ciąg znaków tego hasła i wtedy otrzymujemy:

KR@kow!@K

Brakuje nam jeszcze jednego składnika.
W wielu serwisach wymusza się, aby hasło zawierało małe i duże litery, znaki specjalne oraz … cyfry.

Tutaj można przyjąć pełną dowolność doboru cyfr. Może to być rok jakiegoś bardzo ważnego dla nas wydarzenia lub wydarzenia historycznego, np. bitwy pod Grunwaldem – 1410.

W ten sposób nasze hasło zamienia się w:

14KR@kow!@K10 lub 1410KR@kow!@K lub KR@kow!@K1410

Ta metoda pasuje najczęściej umysłom ścisłym, grafikom czy informatykom.
A co w przypadku … humanistów?

Metoda 2
Wbrew pozorom humaniści mogą zastosować metodę, która wykorzysta ich szczególne cechy.
Mało tego, propozycja metody dla nich może wytworzyć hasło o zdecydowanie większej trudności odgadnięcia czy złamania go. Jak wygląda ta metoda?

Na początek należy wybrać fragment jakiegoś utworu literackiego lub piosenki, której tekst znamy na pamięć. W tym przykładzie niech to będzie hymn Polski:

Jeszcze Polska nie zginęła,
Kiedy my żyjemy.
Co nam obca przemoc wzięła,
Szablą odbierzemy.


Jak wykorzystać ten tekst do wygenerowania hasła?

Niech hasłem będą pierwsze litery każdego słowa w tekście wraz ze znakami interpunkcyjnymi, uwzględniamy także wielkość liter.

Jeszcze Polska nie zginęła,
Kiedy my żyjemy.
Co nam obca przemoc wzięła,
Szablą odbierzemy.


W naszym przypadku będzie to:

JPnz,kmz.Cnopw,So.

Do pełnego szczęścia potrzebne jest jeszcze dołożenie cyfr. Tutaj dobór daty jest identyczny jak we wcześniejszej metodzie, czyli np. bitwa pod Grunwaldem – 1410.

W oto sposób otrzymujemy bardzo mocne hasło:

JPnz,kmz.Cnopw,So.1410

Zapewniam, że zdecydowanie trudniej będzie przeliterować takie hasło przez telefon niż zapamiętać jego konstrukcję.
W przypadku haseł wygenerowanych tą metodą, zawodzą ataki słownikowe. A to oznacza, że humaniści moga mieć trudniejsze hasła niż ... ścisłowcy.
Trwa ładowanie komentarzy...