Błyskawiczny wzrost szybkości procesorów ma swoją ciemną stronę: hasła, którymi zabezpieczamy komputery i konta internetowe, drastycznie straciły na swej ochronnej sile. Dziś już ani sześć, ani osiem, ale dziesięć lub nawet dwanaście przypadkowych znaków stanowi dobre, trudne do złamania zabezpieczenie. Tylko jak takie długie hasło zapamiętać? Może już czas powierzyć to zadanie specjalnemu gadżetowi?
Władca pierścieni
Jeden, by wszystkimi rządzić, jeden, by wszystkie odnaleźć – pisał J.R.R. Tolkien o magicznym pierścieniu Saurona. Z unowocześnionej wersji tej ozdoby chce skorzystać Google. Na odbywającej się co roku w San Francisco konferencji RSA, poświęconej kryptografii, koncern przedstawił pomysł pierścionka, który – noszony na palcu – będzie bezprzewodowo komunikował się z komputerem i umożliwiał logowanie do internetowych portali. Dla tych, którzy nie przepadają za biżuterią, Google przygotował bardziej zachowawczy wariant, czyli żeton podłączany przez port USB.
Najważniejsze w obu wersjach gadżetu jest to, że podczas logowania się nie są wysyłane do sieci żadne hasła, które ktoś mógłby skopiować i następnie wykorzystać. W żetonie lub pierścieniu ukryty jest klucz kryptograficzny, czyli ciąg znaków umożliwiający rozszyfrowanie informacji. Portal, do którego się logujemy, wysyła do urządzenia zakodowaną wiadomość (za każdym razem inną), gadżet musi ją odkodować i wysłać rozwiązanie z powrotem. Jeżeli rozwiązanie się zgadza, logowanie przebiegnie pomyślnie.
Jak twierdzą eksperci z Google, użycie zarówno żetonu, jak i pierścienia byłoby bardzo wygodne. Przychodząc do kogoś w odwiedziny i chcąc skorzystać z jego komputera, po prostu wtykalibyśmy swój żeton do USB. W przypadku bezprzewodowego pierścienia cudzy komputer sam by rozpoznał, że zmieniła się osoba go obsługująca. Natychmiast przelogowałby nas na nasze konta, nie byłoby więc kłopotów z niedyskretnym zaglądaniem właścicielowi sprzętu do maila. Gdy odchodzilibyśmy od komputera, program automatycznie by nas wylogował.
Google prowadzi już rozmowy z innymi firmami z zamiarem upowszechnienia nowej technologii, tak aby jeden pierścień lub token mógł obsługiwać wszystkie konta jego właściciela. Według koncernu, jego technologia ma być łatwa do zastosowania dla dostawców internetowych usług, co sprzyjałoby jej upowszechnieniu.
Prawdę mówiąc, uniwersalne urządzenia uwierzytelniające można już znaleźć na rynku. Na przykład YubiKey firmy Yubico pozwala na bezpieczne logowanie do komputera, szyfrowanie dysku czy generowanie haseł jednorazowych do stron www. Rozwiązanie to jednak nie podbiło jeszcze serc internautów. Czy Google’owi się uda? Pamiętajmy, że to firma bardzo bogata i prężna, więc ma szansę wypromować swój wynalazek. Chyba że ubiegnie ją jakiś inny potężny gracz informatycznego świata: w ubiegłym roku powstało konsorcjum FIDO, w którego skład wchodzi m.in. PayPal i Lenovo. Pracuje ono nad standaryzacją urządzeń do autoryzacji opartych czy to na biometrii (np. odciskach palców), czy to na kryptograficznych kluczach lub jednorazowych kodach – tylko nie na tradycyjnych hasłach, które, zdaniem FIDO, nie dostarczają już wystarczającej ochrony.
123456
Dzisiaj większość ludzi, logując się w różnych miejscach sieci, polega jednak na stosowaniu haseł. – Właściwie stosowane hasła są dosyć bezpieczną metodą zapewnienia ochrony. Na serwerach przechowywane są one zazwyczaj w zaszyfrowanym pliku. Nawet jeśli zostanie wykradziony, trudno go odszyfrować – mówi prof. Janusz Stokłosa, kierujący Zakładem Bezpieczeństwa Systemów Informatycznych, Instytutu Automatyki i Inżynierii Informatycznej na Politechnice Poznańskiej. – Są jednak bardziej złożone protokoły zabezpieczające, np. oparte na przesyłaniu wartości jakiejś funkcji matematycznej – dodaje naukowiec. Takie sposoby mogą wykorzystywać specjalne, podłączane do komputera urządzenia –jak wspomniane nowinki wymyślone przez Google’a i Yubico.
Te zaawansowane metody są potrzebne choćby dlatego, że nie wszyscy stosują hasła poprawnie. Zajmująca się informatycznym bezpieczeństwem amerykańska firma Imperva przeanalizowała 32 miliony haseł umieszczonych w sieci przez jednego z hakerów. Co się okazało? Aż 30 proc. osób użyło tylko 6 lub mniejszej liczby znaków, połowa wykorzystała wyrazy ze słownika lub używane w slangu. Najbardziej popularne było hasło „123456”, w czołówce znalazły się też takie słowa i zwroty jak „Password”, „princess” czy „rockyou” – to ostatnie hasło jest nazwą strony, z której je wykradziono.
Brutalna siła prawa Moore’a
Nieumiejętnie dobrane hasło bardzo prosto odgadnąć, stosując metodę znaną jako atak brutalny. Używający tej techniki haker sprawdza za pomocą specjalnego programu wszystkie możliwe hasła i czeka, aż któreś zadziała. Krótkie hasła można tym sposobem złamać bardzo szybko, polegając na czystym rachunku prawdopodobieństwa. Im ciąg użytych znaków jest dłuższy, bardziej przypadkowy i zróżnicowany, tym trudniej go złamać. Na pierwszy ogień idą więc zawsze popularne słowa i zwroty. – Atak brutalny wymaga dużej ilości czasu, dlatego zwykle przeszukuje się popularne hasła słownikowe – wyjaśnia prof. Stokłosa. W ten właśnie sposób przeprowadzono niedawno zmasowany atak na blogi wykorzystujące popularny system WordPress.
Serwisy internetowe można teoretycznie uchronić przed takimi atakami, jednak stosowane sposoby ochrony często oznaczają dla użytkownika niedogodności i zwiększają innego rodzaju ryzyko.
Na przykład siłową próbę włamania praktycznie uniemożliwi odebranie na pewien czas dostępu do strony osobie, która trzy razy wpisze nieprawidłowe hasło. Co z tego, skoro wykorzystując to zabezpieczenie złośliwy haker może przeprowadzić masową blokadę użytkowników?
Dlatego tego rodzaju zabezpieczenie stosowane jest nieczęsto. Kto chce porządnie chronić swoje konto, musi zadbać o mocne hasło. – Powinno być odpowiednio długie i zawierać różnego rodzaju znaki, które muszą być ułożone losowo – tłumaczy poznański uczony. Wtedy jest szansa, że dłużej oprze się hakerowi.
Niestety, włamywaczom sprzyja wykładniczy przyrost mocy komputerów. Prawo Moore’a mówi, że moc procesorów podwaja się co 12 miesięcy. Najnowsze konstrukcje osiągają dzisiaj szybkość ponad 5 teraflopów, porównywalną z prędkością, jaką miał w 2000 roku najszybszy superkomputer świata. Karty graficzne projektuje się z myślą o kolosalnych ilościach obliczeń niezbędnych do przetwarzania trójwymiarowego obrazu. Od kilku lat potężne graficzne układy można stosunkowo łatwo zaprogramować do wykonania obliczeń dowolnego rodzaju, także tych służących do łamania haseł.
Już w 2010 roku uczeni z Georgia Institute of Technology przewidzieli, że hasła w urządzeniach elektronicznych zostaną zagrożone przez rosnącą moc kart graficznych. – Możemy z całą pewnością powiedzieć, że siedmioznakowe hasło jest beznadziejnie za krótkie – mówili przed trzema laty badacze.
Na grudniowej konferencji Passwords^12 prezes firmy Stricture Consulting Group Jeremi Gosney zaprezentował możliwości sprzętu składającego się z klastra 25 nowoczesnych kart graficznych. Tak skonfigurowana maszyna w kilka godzin radziła sobie z ciągami ośmiu przypadkowych znaków obejmujących wielkie i małe litery, cyfry i symbole.
Fizycy kontra włamywacze
O wyniku eksperymentu z Oslo warto pamiętać, zabezpieczając też swój komputer, szczególnie jeśli znajdują się na nim istotne poufne dane. Bo utrata laptopa może się zdarzyć nawet najlepszym. Między 2009 a 2011 rokiem w NASA zginęło 48 przenośnych komputerów. Na jednym z nich był algorytm służący do sterowania Międzynarodową Stacją Kosmiczną, na innych – m.in. ważne informacje na temat programów Constellation i Orion. Warto nadmienić, że tylko jeden z tych notebooków został zabezpieczony.
Naukowcy starają się ułatwić życie użytkownikom haseł. Zapamiętanie 10 czy 12 przypadkowych znaków zawierających rzadko używane symbole bez wątpienia nie jest wygodnym rozwiązaniem. Uczeni z Instytutu Maxa Plancka w Dreźnie, zajmujący się badaniami chaosu, opracowali pomysłowy sposób obejścia tego problemu.
Zabezpieczana informacja chroniona jest przez długie (nawet bardzo długie) hasło, które zapisywane jest jako obraz CAPTCHA – trudne do odczytania przez programy hakerskie zniekształcone kombinacje cyfr i liter, które wpisujemy, logując się na niektóre strony www.
CAPTCHA jest następnie szyfrowany z użyciem krótkiego hasła tak, że staje się nierozpoznawalny. Wpisanie krótkiego hasła pozwala na odszyfrowanie obrazka i odczytanie hasła długiego, potrzebnego do uzyskania dostępu do danych. Poza człowiekiem może to zrobić także komputer, ale zajmuje mu to wystarczająco dużo czasu, aby brutalny atak stał się nieefektywny.
Kluczem do działania tej metody jest sposób szyfrowania obrazka z długim hasłem. Grafika powstaje przez symulację chaotycznego procesu fizycznego, w którym nawet drobne szczegóły mogą zadecydować o ostatecznym przebiegu zdarzeń. Najlepiej obrazuje to metafora o machnięciu skrzydeł motyla, które może wywołać huragan po drugiej stronie globu. Użycie chaosu do szyfrowania obrazka z hasłem daje pewność, że będzie ono nie do odczytania – tak jak nie sposób dostrzec w huraganie machnięcia motylich skrzydeł.
– Naszą metodę można zastosować gdziekolwiek – do szyfrowania plików albo całych partycji dyskowych. Można ją również wykorzystać do zabezpieczeń online, takich jak na stronie banku czy dowolnego innego serwisu. Co więcej, może zostać użyta do ochrony przenośnych urządzeń jak smartfony i tablety – mówi „Focusowi” współtwórca metody prof. Sergei Flach, obecnie pracujący w nowozelandzkim Massey University.
Czynnik ludzki i sprzętowy
– Systemy komputerowe są często dobrze chronione, a najsłabszym ogniwem bywa człowiek – mówi prof. Stokłosa. Jeśli włamywacz zdecyduje się na wykorzystanie tzw. phishingu, możemy dostać maila, który będzie wyglądał jak przysłany np. z banku czy sklepu internetowego, z prośbą o zalogowanie i wpisanie danych. Zamiast na stronie banku znajdziemy się jednak na udającej ją witrynie, przekazującej nasze dane internetowemu przestępcy lub instalującej oprogramowanie, które będzie wykradało każde wklepane przez nas hasło i wysyłało je do złodzieja. Wystarczy jeden błąd, by paść ofiarą przestępstwa. Przed phishingiem dobrze zabezpieczają dodatkowe hasła jednorazowe np. wysyłane przez sms.
Szukając nowych rozwiązań, specjaliści od bezpieczeństwa testują nawet nietypowe pomysły. Okazuje się, że podczas logowania do internetowych serwisów za skuteczne zabezpieczenie mogą posłużyć właściwości posiadanego przez nas komputerowego sprzętu. W czasie produkcji elektronicznych układów powstają niewielkie różnice, unikatowe dla każdego egzemplarza. Można je wykryć za pomocą specjalnego software’u. Uczeni z Eindhoven University of Technology w ramach programu PUFFIN odkryli niedawno, że takie „odciski palców” kart graficznych są na tyle wyraźne, że mogą posłużyć za klucz do bezpiecznego uwierzytelniania. Do tak zabezpieczonego konta można byłoby się zalogować tylko z wcześniej określonego komputera. Niestety oznacza to także niedogodności – aby zalogować się z innego miejsca niż zwykle, musielibyśmy nosić ze sobą swój komputer.
Jednak nie ma co liczyć na to, że wojna komputerowych włamywaczy z obrońcami bezpieczeństwa kiedykolwiek się skończy. – Jeśli pojawi się nowe zabezpieczenie, z czasem znajdą się również sposoby na jego złamanie – mówi prof. Stokłosa. Wynika stąd, że nie mamy co liczyć na trwałe wyplenienie komputerowych przestępstw, możemy jedynie starać się korzystać z najnowszych sposobów ochrony, tak aby ryzyko włamania na swoje konto zmniejszyć.
Jak szybko haker może złamać hasło. (Infografika: Daniel Jaroszek)
Warto wiedzieć:
Zgodnie z prawem Moore’a moc obliczeniowa procesorów podwaja się co dwanaście miesięcy.Ułatwia to zabezpieczenie dostępu, ale może stać się też wygodnym narzędziem w rękach hakerów.Najsłabszym ogniwem zabezpieczenia komputera zawsze jest człowiek.
Hakerzy coraz sprytniejsi
W ubiegłym roku w wykrytej przez firmę McAfee globalnej operacji High Roller przestępcy zaatakowali konta przedsiębiorstw i dobrze sytuowanych osób w co najmniej 60 bankach w Europie, USA i w Ameryce Południowej. Sposób kradzieży fachowcy od zabezpieczeń określili jako nowy poziom działania cyber-złodziei. Klienci otrzymywali spreparowany e-mail instalujący na komputerze robaka współpracującego z inteligentnym oprogramowaniem na serwerach gangu. Kiedy użytkownik logował się później do banku, szkodliwy program przejmował kontrolę nad transakcjami. Programy te były tak sprytne, że nie tylko wykradały hasła, ale rozumiały formularze na stronach banków, przechwytywały hasła jednorazowe i same wykonywały przelewy.
Stwórz dobre hasło
Powinno być długie, osiem znaków to absolutne minimum.
Używaj różnych symboli, mieszaj wielkie i małe litery ze znakami np.: $, &, %.
W różnych serwisach używaj różnych haseł.
Poniższa prosta metoda może pomóc w stworzeniu i zapamiętaniu dobrego hasła: Wymyśl sobie zdanie, które łatwo zapamiętasz, jak
Stwórz dobre hasło
Komórka nadaje z biurka
Metody pozwalające na włamanie mogą być bardzo trudne do przewidzenia. Wykazali to uczeni z Georgia Tech, którzy opracowali aplikację zamieniającą telefon w urządzenie szpiegujące klawiaturę.
Posługując się wbudowanym w smartfon akcelerometrem, program SpiPhone wykrywa wibracje pojawiające się w czasie pisania. Wystarczy, że telefon będzie leżał na biurku obok klawiatury, aby z 80-proc. dokładnością odczytać wprowadzany do komputera tekst.