Błyskawiczny wzrost szybkości procesorów ma swoją ciemną stronę: hasła, którymi zabezpieczamy komputery i konta internetowe, drastycznie straciły na swej ochronnej sile. Dziś już ani sześć, ani osiem, ale dziesięć lub nawet dwanaście przypadkowych znaków stanowi dobre, trudne do złamania zabezpieczenie. Tylko jak takie długie hasło zapamiętać? Może już czas powierzyć to zadanie specjalnemu gadżetowi?

Władca pierścieni

Jeden, by wszystkimi rządzić, jeden, by wszystkie odnaleźć – pisał J.R.R. Tolkien o magicznym pierścieniu Saurona. Z unowocześnionej wersji tej ozdoby chce skorzystać Google. Na odbywającej się co roku w San Francisco konferencji RSA, poświęconej kryptografii, koncern przedstawił pomysł pierścionka, który – noszony na palcu – będzie bezprzewodowo komunikował się z komputerem i umożliwiał logowanie do internetowych portali. Dla tych, którzy nie przepadają za biżuterią, Google przygotował bardziej zachowawczy wariant, czyli żeton podłączany przez port USB. 

Najważniejsze w obu wersjach gadżetu jest to, że podczas logowania się nie są wysyłane do sieci żadne hasła, które ktoś mógłby skopiować i następnie wykorzystać. W żetonie lub pierścieniu ukryty jest klucz kryptograficzny, czyli ciąg znaków umożliwiający rozszyfrowanie informacji. Portal, do którego się logujemy, wysyła do urządzenia zakodowaną wiadomość (za każdym razem inną), gadżet musi ją odkodować i wysłać rozwiązanie z powrotem. Jeżeli rozwiązanie się zgadza, logowanie przebiegnie pomyślnie.

Jak twierdzą eksperci z Google, użycie zarówno żetonu, jak i pierścienia byłoby bardzo wygodne. Przychodząc do kogoś w odwiedziny i chcąc skorzystać z jego komputera, po prostu wtykalibyśmy swój żeton do USB. W przypadku bezprzewodowego pierścienia cudzy komputer sam by rozpoznał, że zmieniła się osoba go obsługująca. Natychmiast przelogowałby nas na nasze konta, nie byłoby więc kłopotów z niedyskretnym zaglądaniem właścicielowi sprzętu do maila. Gdy odchodzilibyśmy od komputera, program automatycznie by nas wylogował. 

Google prowadzi już rozmowy z innymi firmami z zamiarem upowszechnienia nowej technologii, tak aby jeden pierścień lub token mógł obsługiwać wszystkie konta jego właściciela. Według koncernu, jego technologia ma być łatwa do zastosowania dla dostawców internetowych usług, co sprzyjałoby jej upowszechnieniu.

Prawdę mówiąc, uniwersalne urządzenia uwierzytelniające można już znaleźć na rynku. Na przykład YubiKey firmy Yubico pozwala na bezpieczne logowanie do komputera, szyfrowanie dysku czy generowanie haseł jednorazowych do stron www. Rozwiązanie to jednak nie podbiło jeszcze serc internautów. Czy Google’owi się uda? Pamiętajmy, że to firma bardzo bogata i prężna, więc ma szansę wypromować swój wynalazek. Chyba że ubiegnie ją jakiś inny potężny gracz informatycznego świata: w ubiegłym roku powstało konsorcjum  FIDO, w którego skład wchodzi m.in. PayPal i Lenovo. Pracuje ono nad standaryzacją urządzeń do autoryzacji opartych czy to na biometrii (np. odciskach palców), czy to na kryptograficznych kluczach lub jednorazowych kodach – tylko nie na tradycyjnych hasłach, które, zdaniem FIDO, nie dostarczają już wystarczającej ochrony.

123456

Dzisiaj większość ludzi, logując się w różnych miejscach sieci, polega jednak na stosowaniu haseł. – Właściwie stosowane hasła są dosyć bezpieczną metodą zapewnienia ochrony. Na serwerach przechowywane są one zazwyczaj w zaszyfrowanym pliku. Nawet jeśli zostanie wykradziony, trudno go odszyfrować – mówi prof. Janusz Stokłosa, kierujący Zakładem Bezpieczeństwa Systemów Informatycznych, Instytutu Automatyki i Inżynierii Informatycznej na Politechnice Poznańskiej. – Są jednak bardziej złożone protokoły zabezpieczające, np. oparte na przesyłaniu wartości jakiejś funkcji matematycznej –  dodaje naukowiec. Takie sposoby mogą wykorzystywać specjalne, podłączane do komputera urządzenia –jak wspomniane nowinki wymyślone przez Google’a i Yubico.

Te zaawansowane metody są potrzebne choćby dlatego, że nie wszyscy stosują hasła poprawnie. Zajmująca się informatycznym bezpieczeństwem amerykańska firma Imperva przeanalizowała 32 miliony haseł umieszczonych w sieci przez jednego z hakerów. Co się okazało? Aż 30 proc. osób użyło tylko 6 lub mniejszej liczby znaków, połowa wykorzystała wyrazy ze słownika lub używane w slangu. Najbardziej popularne było hasło „123456”, w czołówce znalazły się też takie słowa i zwroty jak „Password”, „princess” czy „rockyou” – to ostatnie hasło jest nazwą strony, z której je wykradziono.

Brutalna siła prawa Moore'a

Nieumiejętnie dobrane hasło bardzo prosto odgadnąć, stosując metodę znaną jako atak brutalny. Używający tej techniki haker sprawdza za pomocą specjalnego programu wszystkie możliwe hasła i czeka, aż któreś zadziała. Krótkie hasła można tym sposobem złamać bardzo szybko, polegając na czystym rachunku prawdopodobieństwa. Im ciąg użytych znaków jest dłuższy, bardziej przypadkowy i zróżnicowany, tym trudniej go złamać. Na pierwszy ogień idą więc zawsze popularne słowa i zwroty. – Atak brutalny wymaga dużej ilości czasu, dlatego zwykle przeszukuje się popularne hasła słownikowe – wyjaśnia prof. Stokłosa. W ten właśnie sposób przeprowadzono niedawno zmasowany atak na blogi wykorzystujące popularny system WordPress.

Serwisy internetowe można teoretycznie uchronić przed takimi atakami, jednak stosowane sposoby ochrony często oznaczają dla użytkownika niedogodności i zwiększają innego rodzaju ryzyko.

Na przykład siłową próbę włamania praktycznie uniemożliwi odebranie na pewien czas dostępu do strony osobie, która trzy razy wpisze nieprawidłowe hasło. Co z tego, skoro wykorzystując to zabezpieczenie złośliwy haker może przeprowadzić masową blokadę użytkowników? 

Dlatego tego rodzaju zabezpieczenie stosowane jest nieczęsto. Kto chce porządnie chronić swoje konto, musi zadbać o mocne hasło. – Powinno być odpowiednio długie i zawierać różnego rodzaju znaki, które muszą być ułożone losowo – tłumaczy poznański uczony. Wtedy jest szansa, że dłużej oprze się hakerowi.