Bezpieczeństwo

Jak mocne jest Twoje hasło?

28 września 2017

Jak mocne jest Twoje hasło?

Człowiek to istota – hmmm – powiedzmy, że nie wypada użyć określenia „głupia”, powiedzmy więc, że po prostu lubimy chodzić na skróty. Ale o tym, że jesteśmy uparci można już powiedzieć i taka jest prawda. Upór to nie tylko cecha mojego 11-letniego syna – również wielu z nas. Na przykład wtedy, gdy zakładamy konto w nowym serwisie i wymyślamy doń hasło.

Tak, tak – dawno nie było o moim koniku :), a wpadłem ostatnio na ciekawy materiał o badaniach Carnegie Mellon University. To nie byle jaka uczelnia i nie chodzi oto, że „hamerykańska”. To przede wszystkim „dom” dla centrum koordynacyjnego CERT, miejsce w którym ostatecznie przyznaje się prawo do używania nazwy Computer Emergency Response Team (ma je m.in. nasz CERT Orange Polska).

Hasło na skróty

Każdy twierdzi, że jego hasła są świetne i nie do złamania, a gdy przychodzi do kolejnych wycieków, po raz kolejny okazuje się, że gros odhashowanej bazy to „12345678”, „Password”, „ILoveYou!”, czy inne tego typu konstrukcje „nie do złamania”. Zastanówcie się sami, czy tworząc hasła, nie chodzicie przypadkiem na skróty? Czy przy konieczności użycia wielkich i małych liter nie zaczynacie hasła wielką? A w ilu przypadkach, jeśli hasło ma zawierać cyfry i znaki specjalne, kończy się ciągiem „1!” (oczywiście bez cudzysłowów)? Kto jest bez grzechu, niech pierwszy rzuci kamieniem. No własnie. A przestępcy też o tym wiedzą.  Do tego stopnia, że ustawiwszy łamanie wykradzionej bazy na schemat Wmmmmmcz (gdzie W to wielka litera, m to mała, c to cyfra, a z to znak specjalny) przy odpowiednio silnym sprzęcie w ciągu kilku/nastu sekund rozszyfrują przynajmniej połowę bazy. Słabo, nie?

Dobre hasło? Sprawdź sam/a!

Naukowcy z CMU przeanalizowali miliony dostępnych w różny sposób haseł i przygotowali bazujący na przygotowanej przez siebie sztucznej sieci neuronowej tester haseł. Bazując na popularności formy, treści i stylu haseł, po wpisaniu naszej propozycji nie tylko dowiemy się, czy jest słaba, średnia, czy silna, ale również – w przypadku uwag – przeczytamy dlaczego coś jest nie tak i co powinniśmy zrobić, by utrudnić wyważenie bramy do naszego cyfrowego świata. Trochę edukacyjnie, jak nasza CyberTarcza, która nie tylko mówi: „Wylecz infekcję”, ale także wyjaśnia na czym polega związane z nią ryzyko.

Powiecie: „Ale co ty nam mówisz, chcesz, żebyśmy wpisali nasze hasła na jakiejś stronie?”. W sumie to będzie nawet mieć sporo racji, sam przed tym przestrzegam. Tutaj mamy jednak pewność, że to witryna CMU, oczywiście z transmisją zabezpieczoną przez https. Dla spokoju ducha jeśli chcecie sprawdzić jakieś hasło, zmieńcie w nim kilka cyfr, liter, czy znaków, żeby było bliźniaczo podobne do testowanego, ale jednak nie takie samo.

Jeśli jesteście gotowi na wyzwanie, zajrzyjcie na https://cups.cs.cmu.edu/meter/. Sprawdziłem kilka moich – było na zielono i bez uwag, ale ja nie jestem do końca normalny 😉

Udostępnij: Jak mocne jest Twoje hasło?

Bezpieczeństwo

Sprawdź, czy nie ukradli Ci hasła

2 marca 2017

Sprawdź, czy nie ukradli Ci hasła

Michał Rosiak

Mam przeczucie graniczące z pewnością, że gdyby poprosić odpowiednio dużą grupę zwykłych internautów, żeby powiedzieli jedno słowo lub zwrot, z którym kojarzą im się problemy z cyberbezpieczeństwem, tym zwrotem byłby: „wyciek danych„. To właśnie newsy o bazach wykradzionych z kolejnych serwisów, do spółki z informacjami o atakach DDoS, wprowadziły bezpieczeństwo „na salony”, czyli do mediów głównego nurtu. I dobrze – im więcej mówi się o bezpieczeństwie w sieci, tym lepiej dla wszystkich.

Hasło to absolutna podstawa w dbałości o bezpieczeństwo naszych danych. Najlepiej o długości powyżej 12 znaków, trudne do odgadnięcia, a jednocześnie łatwe do zapamiętania. No i – przynajmniej jeśli chodzi o serwisy, w których przechowujemy nasze najbardziej wrażliwe dane – używane jednokrotnie! Dlaczego? Ano choćby dlatego, że jeśli zdarzy się duży (albo nawet duuuuuuuuży, bo liczba rekordów danych trafiających w ręce cyber-przestępców nierzadko przekracza dziesiątki milionów!) wyciek, a nasze hasło nie będzie odpowiednio mocne, to stracimy dostęp i ewentualnie dane tylko do jednego konta. Przestępcy bowiem od razu po złamaniu bazy skanują wszystkie popularne serwisy internetowe pod kątem tego samego e-maila i hasła.

Skąd mam wiedzieć, czy moje hasło wyciekło? W internecie można znaleźć sporo witryn z informacją: „Wpisz swój adres e-mail, a dowiesz się, czy Twoje hasło wyciekło”. Jeśli pomyśleliście sobie, że to idiotyzm oddawać komuś mojego maila, to mogę tylko bić brawo! W takiej sytuacji trzeba korzystać z nielicznych zaufanych serwisów, np. Have I Been Pwned, prowadzonego przez dyrektora regionalnego z Microsoftu, researchera bezpieczeństwa IT, Troya Hunta. Dokładnie tę bazę możecie teraz odpytać bezpośrednio ze strony CERT Orange Polska, wchodząc pod adres https://cert.orange.pl/haveibeenpwned, bądź klikając w link, umieszczony pod adresem. Gdy piszę ten tekst, w bazie znajdują się dane ze 187 wycieków, obejmujące łącznie… ponad 2 miliardy kont! Jeśli Waszego konta tam nie ma (tak jak mojego prywatnego 🙂 ), możecie zapisać się do serwisu powiadamiającego Was natychmiast, jeśli jednak gdzieś się znajdzie. Gorąco polecam!

Udostępnij: Sprawdź, czy nie ukradli Ci hasła

Bezpieczeństwo

Zajrzyj do swojego routera

8 grudnia 2016

Zajrzyj do swojego routera

Żyjemy w świecie, w którym okazja czyni złodzieja. Ponoć są kraje, czy też regiony, w których ludzie nie zamykają drzwi na klucz wychodząc do pracy, ale u nas tak nigdy nie będzie. Mieszkając w bloku nie wyobrażam sobie wyjścia z mieszkania jako ostatni bez sprawdzenia, czy aby na pewno zamknąłem drzwi (a gdybym mieszkał w domu, to jeszcze okna). W sumie oczywiste, prawda? A co byście powiedzieli, gdyby wszystkie drzwi miały dokładnie takie same klucze. Co więcej – te klucze wyglądałyby na kompletnie badziewne, jak np. do plastikowych zabawkowych dziecięcych kas. Ufalibyście takim kluczom? Nie? A zastanówcie się, jak wygląda hasło do routera w Waszej domowej sieci?

No bo po co nam wypasione zabezpieczenia komputera i urządzeń mobilnych, hasła po fafdziesiąt znaków, z symbolami i cyframi, skoro zostawiamy szeroko otwarte drzwi dokładnie na wejściu do naszej domowej sieci!? Nie znam zbyt wielu osób, które po zainstalowaniu urządzeniu w domu od razu zaglądają do jego konfiguracji (tzn. znam sporo, ale wszyscy pracują w moim departamencie, a my w tych kwestiach nie jesteśmy grupą reprezentatywną 🙂 ), a tymczasem domyślne login i hasłow tych urządzeniach nigdy nie były tajemnicą! Znalezienie ich w sieci to kwestia kilkunastu sekund. Co więcej, niemała część urządzeń obecnych na rynku od razu po podłączeniu jest domyślnie… dostępne z internetu! Konsekwencje? Wszystko co wychodzi z Waszej domowej sieci może zostać podsłuchane, podmienione, przestawione, a strona na którą wchodzicie może nie być tą, której się spodziewacie, jeśli przestępca podmieni adresy serwerów DNS… Potencjalne efekty – począwszy od świadomości, że ktoś podgląda nasze życie, poprzez podłączenie naszej sieci do botnetu i użycie jej do przeprowadzania np. ataków DDoS, do utraty wszystkich pieniędzy z konta.

Oczywiście instalacja nowego routera domowej sieci to nie jest coś, co robimy codziennie, ale warto byście choćby teraz poświęcili kilka minut na zalogowanie się na router (zazwyczaj pod adresem 192.168.1.1), zmianę przynajmniej hasła (często login „admin” jest wbity na stałe), sprawdzenie, czy Wasze urządzenie nie jest aby dostępne z internetu i upewnienie się, czy adresy serwerów DNS są wciąż takie, jakie być powinny (w przypadku Orange Polska primary DNS to 194.204.159.1 zaś secondary: 194.204.152.34). W ostatnich dwóch kwestiach możecie spać spokojniej jeśli korzystacie z urządzeń z naszej sieci sprzedaży, bowiem adresy serwerów DNS są w nich ustawione na stałe, zaś dostęp spoza domowej sieci jest domyślnie wyłączony. No i pamiętajcie o porządnych haśle do WiFi – na nic brak dostępu z zewnątrz, jeśli cyber-obwieś zobaczywszy naszą sieć zaloguje się do niej hasłem 12345678…

Front page photo: A. Strakey/Flickr

Udostępnij: Zajrzyj do swojego routera

Bezpieczeństwo

W Nowy Rok z nowymi hasłami?

3 stycznia 2013

W Nowy Rok z nowymi hasłami?

Człowiek to istota – hmmm – powiedzmy, że nie wypada użyć określenia „głupia”, powiedzmy więc, że po prostu lubimy chodzić na skróty. Ale o tym, że jesteśmy uparci można już powiedzieć i taka jest prawda. Upór to nie tylko cecha mojego 11-letniego syna – również wielu z nas. Na przykład wtedy, gdy zakładamy konto w nowym serwisie i wymyślamy doń hasło.

Tak, tak – dawno nie było o moim koniku :), a wpadłem ostatnio na ciekawy materiał o badaniach Carnegie Mellon University. To nie byle jaka uczelnia i nie chodzi oto, że „hamerykańska”. To przede wszystkim „dom” dla centrum koordynacyjnego CERT, miejsce w którym ostatecznie przyznaje się prawo do używania nazwy Computer Emergency Response Team (ma je m.in. nasz CERT Orange Polska).

Hasło na skróty

Każdy twierdzi, że jego hasła są świetne i nie do złamania, a gdy przychodzi do kolejnych wycieków, po raz kolejny okazuje się, że gros odhashowanej bazy to „12345678”, „Password”, „ILoveYou!”, czy inne tego typu konstrukcje „nie do złamania”. Zastanówcie się sami, czy tworząc hasła, nie chodzicie przypadkiem na skróty? Czy przy konieczności użycia wielkich i małych liter nie zaczynacie hasła wielką? A w ilu przypadkach, jeśli hasło ma zawierać cyfry i znaki specjalne, kończy się ciągiem „1!” (oczywiście bez cudzysłowów)? Kto jest bez grzechu, niech pierwszy rzuci kamieniem. No własnie. A przestępcy też o tym wiedzą.  Do tego stopnia, że ustawiwszy łamanie wykradzionej bazy na schemat Wmmmmmcz (gdzie W to wielka litera, m to mała, c to cyfra, a z to znak specjalny) przy odpowiednio silnym sprzęcie w ciągu kilku/nastu sekund rozszyfrują przynajmniej połowę bazy. Słabo, nie?

Dobre hasło? Sprawdź sam/a!

Naukowcy z CMU przeanalizowali miliony dostępnych w różny sposób haseł i przygotowali bazujący na przygotowanej przez siebie sztucznej sieci neuronowej tester haseł. Bazując na popularności formy, treści i stylu haseł, po wpisaniu naszej propozycji nie tylko dowiemy się, czy jest słaba, średnia, czy silna, ale również – w przypadku uwag – przeczytamy dlaczego coś jest nie tak i co powinniśmy zrobić, by utrudnić wyważenie bramy do naszego cyfrowego świata. Trochę edukacyjnie, jak nasza CyberTarcza, która nie tylko mówi: „Wylecz infekcję”, ale także wyjaśnia na czym polega związane z nią ryzyko.

Powiecie: „Ale co ty nam mówisz, chcesz, żebyśmy wpisali nasze hasła na jakiejś stronie?”. W sumie to będzie nawet mieć sporo racji, sam przed tym przestrzegam. Tutaj mamy jednak pewność, że to witryna CMU, oczywiście z transmisją zabezpieczoną przez https. Dla spokoju ducha jeśli chcecie sprawdzić jakieś hasło, zmieńcie w nim kilka cyfr, liter, czy znaków, żeby było bliźniaczo podobne do testowanego, ale jednak nie takie samo.

Jeśli jesteście gotowi na wyzwanie, zajrzyjcie na https://cups.cs.cmu.edu/meter/. Sprawdziłem kilka moich – było na zielono i bez uwag, ale ja nie jestem do końca normalny 😉

Udostępnij: W Nowy Rok z nowymi hasłami?

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej