Jak myślicie, w ilu próbach przed bruteforcerem poległoby Wasze hasło? Ja się nie liczę, ja mam zboczenie zawodowe, moje łamałoby się latami. Tym niemniej, według badań naukowców z Uniwersytetów w Pekinie i Fujian oraz z brytyjskiego Lancaster University, wystarczy, by atakujący znał niewielką ilość naszych tzw. PII (Personally Identifiable Informations, osobiste informacje identyfikujące), jak np. imię i datę urodzenia, by szansa na odgadnięcie klucza do naszego cyfrowego „ja” wyraźnie wzrosła. Jak wyraźnie? Przy 100 próbach prawdopodobieństo trafienia wyniosło 20%, zaś jeśli atakujący mógł podjąć milion prób, miał 50 procent szans, że któraś z nich zakończy się sukcesem!

Bardzo dziękuję wszystkim, którzy dbali o moje samopoczucie i martwili się, że pracuję na urlopie 🙂 Nie jest ze mną aż tak źle, pracoholizm nie grozi – po prostu założyłem, że przyzwyczailiście się do cotygodniowych tekstów o bezpieczeństwie, więc napisałem parę na zapas.

A przez ten cały czas byczyłem się głównie we Włoszech, które zainspirowały mnie do dzisiejszego, krótkiego acz treściwego wpisu. Raz na jakiś czas, w miarę regularnie, przypominam Wam i ostrzegam w kwestii korzystania z publicznych sieci WiFi. O ile w kraju możemy nie być bardzo zdesperowani, bo wielu z nas dysponuje sporym pakietem danych, za granicą sytuacja nie wygląda już tak różowo. Wtedy chętnie podpinamy się pod dowolne WiFi, a to, jeśli przestępca też dysponuje hasłem do sieci, bądź w ogóle podstawił własną, może się skończyć podsłuchiwaniem naszego ruchu sieciowego.

Jak radzą sobie z tym Włosi? Dwojako. Usiłując podłączyć się do WiFi z tamtejszych McDonaldów musimy założyć konto, z loginem i hasłem, podając… numer karty płatniczej. Szczęśliwcy mogą wpisać hasło, które dostaną SMSem, ale w tej grupie są mieszkańcy bodaj sześciu krajów (dokładnie sześć numerów kierunkowych +xx). Do tego zmusza nas tamtejsza ustawa antyterrorystyczna. Naszego kraju tam zabrakło, więc akurat w tej sytuacji z ciężkim sercem wybrałem brak internetu.

W restauracjach jest już inaczej i znacznie lepiej. Zastanawiam się, czy hasła do sieci dostępnych np. w restauracjach (reklamujących się również hasłem „Free WiFi!”) to też efekt ustawy, bo tam akurat zęby bezpieczniaka się szczerzą a serce roście. Wyobraźcie sobie – otwieracie menu, na ostatniej stronie są dane restauracyjnej sieci: nazwa (zazwyczaj nie związana z restauracją, np. TIM-357864) i hasło. Nie byle jakie hasło – w żadnej sieci, z których korzystałem, hasło nie liczyło mniej, niż 12 znaków, nigdzie nie było wyrażeń słownikowych, zazwyczaj były to zbitki kompletnie losowych znaków. Oczywiście dla chcącego nie ma nic trudnego, cyber-przestępca może po prostu też przyjść na obiad, zalogować się najpierw do sieci, a potem… domyślnym hasłem do lokalnego routera (testowałem, ale ciiii…), ale wymaga to już od niego nieco więcej zachodu. Idealnie więc nie jest i przy publicznej sieci nigdy nie będzie, ale jakoś czułem się lepiej, niż przy sieci o SSID: „Nasz Hotel” i haśle: „123KochamHotel”.

Nie przepadam za pisaniem tydzień po tygodniu o tym samym, ale zobaczyłem ciekawy wpis u Briana Krebsa i jestem ciekaw Waszej opinii. Obiło Wam się pewnie o uszy – czy raczej oczy – że ostatnio cyber-przestępcy dostali świra jeśli chodzi o kradzieże danych autoryzacyjnych do dużych firm/serwisów, a liczba „wyciekniętych” w ciągu kilku miesięcy haseł zbliżyła się już chyba do miliarda. Dlatego też najważniejsi gracze na rynku wpadli na nieco przewrotny pomysł i w sytuacji, gdy wykradziona baza była już dostępna… porównywali loginy z danymi z własnej listy użytkowników, w kolejnym kroku porównując hashe haseł. Jeśli w obu przypadkach zapalała się „zielona lampka” – użytkownik otrzymywał informację z sugestią zmiany hasła, lub wręcz link z jego resetem, którego kliknięcie było warunkiem ponownego zalogowania się na konto. Z tego typu działań znani są póki co Netflix i Facebook, ale nie dałbym sobie ręki uciąć, że są w tej materii jedyni.

A jak Wam podoba się ten pomysł? Ja, jako zwolennik permanentnej edukacji, wychodzący z założenia, że nigdy nie zabraknie ludzi, którym o bezpieczeństwie myśleć się nie chce, nie mają na to czasu, mają to gdzieś* (*-niepotrzebne skreślić) i tego typu informacja na pewno nie przeszkodzi. Powiem więcej – zdecydowanie brakuje mi proaktywności u wielu dostawców treści, dla których wciąż hasło o długości ośmiu znaków wystarcza, a ich systemy akceptują nawet 11111111. Dlaczego? Czyżby bali się tego, że ludzie zaczną się irytować, że muszą wymyślać bardziej skomplikowane hasła? To trochę tak, jak czepianie się kasjerki w sklepie, że mając wątpliwości co do naszej tożsamości, prosi o okazanie dokumentu ze zdjęciem, żeby sprawdzić, czy nazwisko jest takie same, jak na karcie płatniczej. W obu przypadkach powinniśmy dziękować, za to, że o nas dbają!

Bo choć w badaniu CyLab (badawczego ramienia Carnegie Mellon University Security&Privacy Institute) 79 procent respondentów rozpoznało, które z prezentowanych im haseł są mocne, wciąż pozostaje 21% potencjalnych „klientów” opisywanych aktywności. A po stokroć bardziej wolałbym przeczytać: „Ranyboskieojezusmariazmieńhasłonatychmiast!” niż przekonać się, że do części serwisów nie zdołam się już zalogować. Nawet jeśli to społecznościówki, czy serwisy VOD, bo zakładam, że haseł do poczty, czy banku (!) nigdzie nie dublujecie. Prawda?

Frontpage graphic: Pixabay.com