Wejście do mieszkania sprawnemu włamywaczowi zajmuje najwyżej dwie minuty. By otworzyć samochód, złodziej potrzebuje kilku sekund. Złamanie znacznej części generowanych przez internautów haseł zajmuje fachowcowi w tej dziedzinie niewiele więcej, niż... mrugnięcie okiem! Dlaczego, skoro zabezpieczamy mieszkania i auta, tak niefrasobliwie podchodzimy do naszej sieciowej tożsamości?
W grudniu ubiegłego roku komputerowy włamywacz wykradł z jednego z amerykańskich serwisów społecznościowych... 32 miliony haseł, zapisanych (o zgrozo!) w otwartym tekście. Same hasła – bez danych, umożliwiających identyfikację użytkownika – opublikował w internecie. Wnioski, wynikające z analizy tego zbioru, są porażające...
- 30 proc. haseł liczyło 6 lub mniej znaków;
- przy układaniu 60 proc. haseł korzystano z wąskiej grupy najpopularniejszych znaków alfanumerycznych;
- 50 proc. haseł to nazwy własne, słownikowe, bądź slangowe, a także kombinacje następujących po sobie na klawiaturze cyfr, bądź liter;
- najpopularniejsze hasło, używane przez niemal 300 tys. użytkowników okradzionego serwisu, to „123456”;
- niemal pół miliona haseł to różnej długości ciągi następujących po sobie cyfr;
Co to oznacza dla użytkowników? Choćby to, że korzystając z programu do łamania haseł techniką brute force z podstawową, liczącą 5000 słów bazą słownikową, korzystając z łącza o parametrach Neostrady 1 Mbps, na złamanie jednego hasła trzeba... ćwierć sekundy! W te same dwie minuty, w które „realny” włamywacz otwiera drzwi do domu, ten działający w cyberprzestrzeni kradnie niemal 500 haseł. Przyznacie, że to działa na wyobraźnię?
– Hasło, a przede wszystkim jego jakość, to często jedyne zabezpieczenie, chroniące nasze konto. Chwila niefrasobliwości może oznaczać, że damy komuś możliwość wykorzystania naszej tożsamości do działań kryminalnych, bez naszej wiedzy – tłumaczy Agnieszka Słota, ekspert ds. zabezpieczeń systemów teleinformatycznych w TP SA. – Niby ułatwiając sobie życie, ułatwiamy je również przestępcy. Wymyślajmy hasła proste do zapamiętania, lecz trudne do złamania i do odgadnięcia dla osób postronnych. Idealne hasło ma kilka wyrazów, znaki specjalne między wyrazami i... kojarzy się z danym serwisem. Na przykład: „Nie?Lubie?Spamu?3*Tak!”. No i przed zalogowaniem koniecznie upewnijmy się, że mamy zestawione połączenie szyfrowane z serwerem, co oznacza, że login i hasło nie są przesyłane otwartym tekstem – kończy Agnieszka Słota.
Więcej o tym, jak powinno wyglądać bezpieczne hasło, przeczytacie na stronie TP CERT. A jakie zagrożenia mogą wyniknąć z niefrasobliwości w budowaniu haseł? O tym na blogu będziemy na pewno pisać wielokrotnie.
A jak wyglądają Wasze hasła? Zapraszam do dyskusji w komentarzach. Czy ustawiacie hasła dłuższe niż „ustawowe” 8 znaków? Używacie dla ułatwienia życia zwrotów, które łatwo zapamiętać, ale również łatwo z Wami skojarzyć? Mieszacie znaki duże z małymi, cyframi i/lub znakami specjalnymi? No i jak często zmieniacie hasło?
Źródła: niebezpiecznik.pl, Imperva Application Defense Center – Consumer Password Worst Practices
Wojtek Jabczyński 
Rafał Jaczynski 
Ryszard Kaminski