11:03
30/9/2015

Lekko spóźniony wszedł do biurowca i zgrabnie odbił się kartą na bramce przed windą. Ręką, w której trzymał kubek kawy podpisany imieniem Janusz, pomachał radośnie znajomemu strażnikowi, odrywając go na chwilę od drobiazgowego przeszukiwania Pana Kanapki, jak co rano, próbującego dostać się na piętro z open spacem.

Dobrze, że nasze zabezpieczenia są szczelniejsze niż w większości polskich więzień” – pomyślał i po chwili uśmiechnął się pod nosem, bo porównanie korporacji, w której pracował do więzienia wydało mu się po trosze trafne.

Wjechał na ostatnie piętro i ruszył korytarzem do swojego gabinetu. Kiedy mijał dział IT, jego uszu dobiegły strzępy przekleństw. Przystanął na chwilę, ale po usłyszeniu – “WTF? Może zrobili to emacsem przez sendmail?” – doszedł do wniosku, że IT znów mówi jakimś szyfrem. Typowe.

***

W gabinecie odpalił komputer i dopijając resztki kawy, postanowił rozpocząć od sprawdzenia skrzynki pod kątem listów z portalu randkowego Ashley Madison.

Może dziś?” pomyślał…

Niestety, żadna wiadomość nie spłynęła z serwera. Już miał się po raz kolejny pogodzić z faktem, że i dziś wszystkie przedstawicielki ściśle zdefiniowanej przez niego grupy kobiet postanowiły milczeć, kiedy zauważył, że tym razem brak nowych e-maili spowodowany jest nie tyle oziębłością płci pięknej, co problemem z serwerem pocztowym.

Podniósł telefon i wybrał numer helpdesku. Rozmowę chciał zacząć od powtórzenia chłopakom zasłyszanej rano wiązanki przekleństw, ale zamiast głosu osoby, usłyszał pozbawiony ciepła, komputerowo generowany głos wypowiadający następujący komunikat bez jakiejkolwiek dykcji:

"W wyniku dzisiejszego ataku na naszą firmę, skuteczne połączenie się z przedstawicielem helpdesku może być utrudnione. Jeśli dzwonisz w sprawie braku dostępu do poczty, informujemy, że jesteśmy świadomi problemów z połączeniem do serwera IMAP. Ze względów bezpieczeństwa byliśmy zmuszeni zresetować Twoje hasło. Aby ograniczyć kolejki do stanowiska helpdesk, nowe hasła zostały wygenerowane wedle następującej formuły: twoje imię, pisane dużymi literami, pierwsza litera nazwiska pisana małą literą oraz liczba 2015, po której, dla większego bezpieczeństwa, następują trzy wykrzykniki"

Zapisał więc na żółtej kartce JANUSZn2015!!! i aby nie zapomnieć nowego hasła, przykleił karteczkę do monitora. Po chwili, przypominając sobie szkolenia z bezpieczeństwa informacji, oderwał karteczkę z monitora i przykleił ją pod klawiaturą. “Tu będzie bezpieczniej” – szepnął pod nosem.

Kiedy wprowadził nowe hasło do Outlooka, jego oczom ukazała się lawina e-maili. Spodziewał się tego. Jako dyrektor HR-u, co poniedziałek odbierał wiele anonimowych „hejtmaili”. Większość z nich, jak sądził, była wynikiem weekendowych, pijackich wybryków kilku niezadowolonych pracowników. Zawsze jednak tłumaczył sobie, że na 2000 osób musi trafić się kilka czarnych owiec, więc nie ma się czym przejmować. Nie raz nawet zakładał się sam z sobą, przewidując że większość wiadomości znów będzie dotyczyć odgryzania się za kolejne „korpoograniczenia”. A to ktoś marudził, że nowa kawa smakuje jak lura, między wierszami obrażając jego matkę, a to komuś nie podobał się kategoryczny zakaz przychodzenia do pracy w krótkich spodenkach. “W innych firmach jest gorzej, likwidują casualowe piątki albo karty Benefii” – wybielał w oczach frustratów swoją korporację.

Tym razem jednak lektura e-maili go zaskoczyła. Prawie każda z wiadomości była donosem jednego pracownika na drugiego. Donosy były niepokojąco szczegółowe. Jedna z osób, przeforwardowała mu kilkadziesiąt pikantnych e-maili trójki firmowych kochanków wskazując na zakazany polityką firmy romans przełożonych z podwładnymi. Kolejny z donosicieli wykazywał, że jego kolega z biura obok od 3 miesięcy przesyła tajne korporacyjne raporty sprzedażowe handlowcowi z konkurencyjnej firmy. Najbardziej jednak zadziwiła go najświeższa z wiadomości. Był to donos na niego samego… Ktoś udokumentował, że z firmowego adresu e-mail Janusz zarejestrował się na portalu Ashley Madison i że zdradza swoją żonę, więc nie można mu także ufać w sprawach firmowych. Do wiadomości dołączone było jego zdjęcie, które jakiś czas temu wysłał jednej z użytkowniczek serwisu…

Krew zamarła mu w żyłach. “Jak to się stało? Skąd oni to wiedzą? Czy przesłali to mojej żonie? Co robić, jak żyć? – dom, praca, rodzina, całe moje życie…“. W złości rzucił klawiaturą o ścianę i doznał olśnienia — z klawiatury, oprócz klawiszy wyleciała też żółta kartka z hasłem. Hasłem przewidywalnym dla każdego, kto odsłuchał dzisiejszy komunikat helpdesku..

***

Kiedy dobiegł do działu IT, przerażenie rysujące się na twarzach informatyków zdradzało, że już wiedzą, jaki błąd popełnili… W momencie, w którym zaczęli wspólnie zastanawiać się jak opanować chaos, do helpdesku wpadł korporacyjny prawnik.

Pozywają nas. Dane klientów. Kwoty z kontraktów. Wszystko na przestępczym forum Torepublic…” – wysyczał.

O ile wpadka działu IT z hasłami tłumaczyła grzebanie pracowników w skrzynkach kolegów, lawinę donosów tym wywołaną i kilka bójek w podziemnym garażu, to wciąż nie wiedzieli, w jaki sposób ktoś dostał się do ich wewnętrznego CRM-a i wykradł z niego dane klientów. Dostęp do tego systemu posiadali bowiem nieliczni, a każde z haseł było unikatowe (niestosowane nigdzie indziej), czyli bezpieczne. Tę zagadkę wyjaśnił dopiero przeprowadzony przez zewnętrzną firmę audyt bezpieczeństwa.

Jak się okazało, źródłem problemów był nie kto inny, a sam Janusz. Tuż po wycieku danych z Ashley Madison, ktoś pobrał opublikowaną przez włamywaczy bazę danych użytkowników i złamał kilka haseł, w tym hasło Janusza, który w serwisie do „skoków w bok” zarejestrował się na firmowego e-maila. Janusz co prawda zdawał sobie sprawę z wrażliwości danych przechowywanych w serwisie randkowym i chciał je odpowiednio zabezpieczyć. Postanowił więc nadać do konta najsilniejsze hasło jakie znał — wykorzystał hasło do firmowego CRM-a, silne bo losowo nadawane przez wewnętrzny dział IT…

Atakujący, który złamał hasło Janusza, po adresie e-mail domyślił się, w jakiej firmie pracuje. Szybka enumeracja katalogów narzędziem DirBuster pozwoliła mu na ustalenie ścieżki w głębokim ukryciu o nazwie “/crm“. Nazwa mówiła sama za siebie. Podanie e-maila Janusza i jego złamanego hasła dało włamywaczowi dostęp do korporacyjnych sekretów, które po dwóch dniach od pobrania wylądowały na Torepublic.

Żeby tego było mało, audyt wykrył także nieautoryzowany dostęp do skrzynek pocztowych kilku innych pracowników z oddziału firmy w Sosnowcu. Ci co prawda nie popełnili tego błędu co Janusz i nie używali firmowych haseł w prywatnych serwisach internetowych, ale wszyscy z nich układali hasła w sposób dość przewidywalny… Powodem było to, że w sosnowieckim oddziale, ze względów bezpieczeństwa, co miesiąc wymuszano na pracownikach zmianę haseł i nie pozwalano im ustawiać haseł, których używali w przeszłości. Dlatego niektórzy z pracowników, mając problemy z wymyślaniem i zapamiętywaniem co raz to nowych haseł wpadli na genialny w swojej prostocie pomysł. Pierwszego każdego miesiąca ustawiali hasło składające się z nazwy nowo rozpoczętego miesiąca i bieżącego roku, np. Wrzesień2015.

Po publikacji na Torepublik wykradzionych z centrali firmy danych klientów, czytelnicy forum, którym nie można odmówić umiejętności, postanowili bliżej przyjrzeć się firmie-ofierze. Tak namierzyli webmaila (Outlook Web Access), którego wykorzystywano w Sosnowcu. Zebrali więc nazwiska pracowników z serwisów LinkedIn i GoldenLine i stworzyli na ich podstawie adresy e-mail. Następnie spróbowali zalogować się do webmaila jako hasła ustawiając “Wrzesień2015” — po włamaniu do Kancelarii Premiera wiedzieli bowiem, że tam gdzie co miesiąc wymusza się zmianę haseł, bardzo często pracownicy układają hasła tego typu. W kilku przypadkach udało się uzyskać dostęp do pracowniczych skrzynek. Szczęście w nieszczęściu, nie zawierały one żadnych poufnych danych — pracownicy z Sosnowca w przeszłości zaliczyli tyle wpadek, że i tak nikt w firmie nie dopuszczał ich do ważnych projektów…

Komentarz eksperta

Ochrona haseł dostępu to jedna z podstawowych zasad bezpieczeństwa IT. Proste, często się powtarzające lub niezmieniane przez dłuższy czas dane dostępowe stwarzają duże zagrożenie, ułatwiając hakerom skuteczny atak.

Odpowiedzialność w takiej sytuacji spada w pierwszej kolejności na użytkownika, który nie zadał sobie trudu, aby zmienić bądź wzmocnić hasło. Nierzadko winni są również pracownicy działu IT, którzy nie zadbali o wprowadzenie odpowiednich procedur i zabezpieczeń systemowych np. wymuszających na pracownikach okresową zmianę danych logowania. Warto również pamięta, aby hasło było zarówno silne (tworzone przy pomocy znaków specjalnych), jak i unikalne, to znaczy wykorzystywane tylko na jednym portalu. Powtarzalne hasła są niczym jeden klucz do wszystkich drzwi w domu, w biurze czy do samochodu.

Nie ulegajmy złudzeniom – każdy może stać się celem cyberataku – od przejęcie skrzynki pocztowej, poprzez włamanie na konto bankowe, po hakowanie systemów informatycznych firm czy instytucji publicznych. W każdym z przypadków konsekwencje mogą być poważne i dotyczyć zarówno danych osobowych, finansów czy wizerunku i zaufania użytkowników. Jest to szczególnie istotne, gdy zarządzamy majątkiem lub danymi osób trzecich.

Powinniśmy więc regularnie wzmacniać swoją ochronę przed potencjalnym atakiem, zarówno dbając o procedury, jak i rozwiązania systemowe. Na rynku dostępne jest m.in. dedykowane oprogramowanie umożliwiające generowanie silnych, unikalnych, a zatem trudnych do złamania haseł. Warto również zwrócić uwagę na aplikacje monitorujące sieć i powiadamiające administratora i użytkowników o każdej próbie nieautoryzowanego dostępu czy logowaniu z nieznanych dotychczas urządzeń.

— Michał Iwan, dyrektor zarządzający F-Secure w Polsce

Od Redakcji

Powyższym opowiadaniem zaczynamy cykl historii, które bazują na realnych wydarzeniach i technikach, jakie aktualnie stosują włamywacze. Celem opowiadań jest edukacja pracowników firm i instytucji publicznych w zakresie bezpiecznego korzystania z sieci oraz uświadamianie zagrożeń dotyczących ataków internetowych. Opowiadania będą publikowane na łamach Niebezpiecznika i w serwisie Cyber Security Initiative. Poza opracowanym przez nas opowiadaniem, każdy wpis zawierać będzie grafikę i komentarz pracownika F-Secure, pomysłodawcy i sponsora akcji. Miło jest nam także poinformować, że akcji patronuje Ministerstwo Spraw Wewnętrznych.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

80 komentarzy

Dodaj komentarz
  1. Czytało się jak dobry thriller. Gartulacje! Czekam na kolejne części przygód Janusza, chłop pewnie teraz jest zdewastowany. Fragment o Sosnowcu, najlepszy :D

  2. A z drugiej strony medalu – każdy korzysta z kilkunastu – kilkudziesięciu elementów cyberprzestrzeni, które wymagają logowania. Każde hasło powinno być ” silne (tworzone przy pomocy znaków specjalnych), jak i unikalne, to znaczy wykorzystywane tylko na jednym portalu.”

    Co więcej, powinno być zmieniane dosyć często – np. raz na miesiąc i algorytm zmiany nie powinien być logiczny (łatwy do odgadnięcia).

    A na koniec, haseł nie należy zapisywać (czy to w formie elektronicznej, czy papierowej).

    Podsumowując, każdy powinien pamiętać 20 – 50 unikalnych ciągów znaków, które powinny być w miarę możliwości abstrakcyjne, zawierać różne znaki specjalne, a do tego zmieniać się co jakiś czas.

    Tiaaaa… Bezpieczeństwo na takim poziomie, że sam właściciel do połowy tych kont nie mógłby się dostać bez resetowania hasła.

    • Dlatego odpowiedzią na te bolączki jest manager haseł. Polecam KeePassa, bo jest na każdą platformę desktopową i mobilną. Masz hasła unikatowe (program generuje losowo sam). Część z managerów automatycznie wykrywa próbę logowania i automatycznie podstawia hasło do formularza. Możesz też ręcznie przeklejać hasła (bez ich “podglądania”). Do KeePassa ustawiasz jedno hasło — i tylko to musisz pamiętać. Tyle.

      Popularnym argumentem w dyskusji dot. managerów haseł jest “a co jak ktoś złamie moje hasło do KeePassa”, albo “a co jeśli ktoś zainfekuje mój komputer”. Odpowiedź jest prosta: klops. Jeśli ktoś kontroluje JKTwój komputer, to to nie jest już twój komputer i tak naprawdę nie ma znaczenia jak przechowujesz/wprowadzasz hasła, bo atakujący będzie robił albo zrzuty ekranu, albo słuchał klawiatury. KeePass nie chroni przed złośliwym oprogramowaniem — zadaniem KeePassa jest zapewnienie unikatowych haseł do każdego z serwisów, z których korzystasz. KeePass chroni przed sytuacją, w której twoje hasła wyciekają z serwisu X i atakujący na tej podstawie próbuję logować się do serwisu Y na twoje hasło — jak korzystasz z KeePassa, to to nie będzie możliwe.

    • @Piotr Konieczny

      Tak, ale nie rozwiązuje to problemu haseł domenowych (bo owego programu nie można do tego użyć). Tak się składa, że większość korporacji stosuje jeden mechanizm logowania do wszystkiego. Dla wygody zwykle jest to np. Active Directory, dzięki temu masz to samo hasło do systemu, sieci, maila i intranetu. Co niestety odwraca problem bo istnieją co najmniej 4 różne drogi na przechwycenie tego samego hasła. Wtedy więc stosuje się wyżej wspomniane mechanizmy jak np. nagminne wymuszanie zmiany hasła z zapamietywaniem poprzednich. To natomiast nprowadzi do “uproszczenia sobie życia” przez pracowników.

      Pracownik może mieć miliard znaków w haśle, ale jeśli się przeskanuje wszystkich (kilka tysiecy ludzi w wiekszej korporacji) to wielu z nich będzie miało pytanie pomocnicze: Jaka jest moja ulubiona potrawa? Wśród nich trafi się zaś conajmniej jeden który będzie miał w odpowiedzii: Pizza.

    • Piotr Konieczny Należy zwrócić uwagę iż wiele osób posiada kilka stacji roboczych – jeżeli któraś z nich padnie ofiarą ataku a my będziemy na każdej z stacji przechowywać hasła (menedżer haseł) – to ujawnimy również i te informacje które potencjalnie były bezpieczne.
      Hasła zawsze generowane są na podstawie algorytmu – nie istnieje coś takiego jak losowość .
      Nawet jeżeli wybierzemy proste hasło – to haker musi je powiązać jeszcze z nickiem ( prosty skrypt- a powiązanie nicku z konkretną osobą. W większości przypadków 3x podanie złego hasła – kończy się zablokowaniem konta.

      Nie wspomniałeś również że długie – specyficzne hasła np.: (Nl@K#0sN4wT#s) mogą zostać wykorzystane do identyfikacji nas jako osoby :)

    • Pracowałem w takim korpo i jakoś nie miałem problemy z tym, by co miesiąc wygenerować sobie dość proste kilkunastoznakowe hasło i je zapamiętać. Sprawę ułatwiał fakt, że w haśle miała byc tylko jedna wielka litera i jedna cyfra. Polecam wygenerować sobie takie hasło by co trzecia litera była samogłoską – dużo łatwiej zapamiętać.

      Dlaczego uważasz, że haseł domenowych nie można trzymać w Keepassie? Można, tylko hasło to jest stosowane na tyle często (np. do blokowania stacji roboczej), że po paru razach je pamiętasz.

    • @s

      Patrz niżej post Grzegorza:
      “Nie można ustawić tego hasła: ponad połowa jest taka sama jak użyta w poprzednim miesiącu”

      A trzymanie haseł domenowych w keepasie jest z definicji niemożliwe. Keepass nie ma wsparcia dla AD. O ile wiem nie istnieje żaden system przechowywania haseł który wspiera AD. No chyba, że hasełko będziesz trzymał w keepasie na komórce i z niej odczytywał… (O słabości tego rozwiązania nie będę się rozwodził… Dodam tylko, że przechowywanie haseł generowanych przez wiekszosc korporacji w dowolnym nieautoryzowanym przez te korporacje oprogramowaniu jest z definicji sprzeczne z zasadami zachowania poufności i naraża firmę na straty).

    • @Wiktor – ale jakie wsparcie miałby Keepass mieć dla AD? Keepass to po prostu zaszyfrowana baza z hasłami + GUI. Tu nie ma żadnej filozofii ani różnicy czy trzymasz tam hasła domenowe, hasła do serwerów, baz danych czy do serwisów Internetowych.
      Odnośnie korpo to zależy od zasad. Ja pracowałem w takim gdzie wszyscy mieli Keepassa i był spokój, a firma była naprawdę dobrze zabezpieczona w porównaniu z innymi w których pracowałem.

    • Do odblokowania komputera w domenie może wtedy posłużyć TrueKey

    • @maciek KeePass przechowuje hasła w zaszyfrowanej bazie danych. Jeśli używasz silnego hasła głównego, to jest skrajnie nieprawdopodobne, żeby ktoś był w stanie dobrać się do nich, nawet jeśli masz KeePass zainstalowany na kilku stacjach roboczych.

    • Ale w przypadku korzystania z N komputerów szansa na uzyskanie dostępu jest odpowiednio większa. Do tego nie da się użyć Keepassa do zalogowania do/odblokowania komputera, więc sens użycia programu do zapisu hasła, którego się nie użyje jest delikatnie mówiąc, bezcelowe.
      Keepass jest fajny, ale ma prawie zerowy poziom integracji, więc trudność jego użycia jest dość wysoka dla zwykłego użytkownika, a w scenariuszu z kopiowaniem hasła pomiędzy Keepassem, a docelową aplikacją, napisanie trojana, który podsłucha tylko schowek jest o niebo prostsze, niż podsłuchującego np. klawiaturę.

    • Stosowanie jednego hasła do kilku usług firmowych głupie nie jest, o ile jest dobrze zorganizowane. Wymuszanie tutaj co miesiąc zmiany hasła jest głupie – zamiast tego powinni wprowadzić jakiegoś typu 2FA + zapamiętanie stacji roboczej jako zaufanej – niewymagającej 2FA – w bezpieczny sposób.

      2FA nie musi być nawet oparte o generatory kodów jednorazowych lub SMSy, zamiast “something only you have” można zastosować “someone that can confirm your identity” czyli np przy logowaniu z nowej stacji roboczej do swojego konta musisz poprosić dział IT lub swojego przełożonego o zatwierdzenie tego logowania. Ewentualnie wprowadzić elektroniczne tokeny (YubiKey, karty RFID). Dla klientów pocztowych łączących się z zewnątrz można wprowadzić żelazną regułę używania unikalnego hasła, wygenerowanego specjalnie dla tej jednej instancji programu tj po zalogowaniu się do swojego konta np w przeglądarce generujemy hasło aplikacji, hasło to wpisujemy w kliencie pocztowym i o nim zapominamy. Nie używamy hasła nigdzie indziej, a hasło to ma ograniczony zasięg działania np jest ważne tylko dla klienta pocztowego. Przy wycieku tego hasła można je w prosty sposób unieważnić nie tracąc dostępu do konta z innych urządzeń.

    • A propos haseł domenowych – w niektórych firmach da się uwierzytelnić odciskiem palca (czytnik na klawiaturze/laptopie). Warto wtedy (przy “nauczaniu”) wszystkie palce przeskanować – ułatwia życie np. po nieudanej próbie upieczenia kaczki :)

    • @Piotr Konieczny

      Ja więc wpisuję hasła z klawiatury ekranowej, a ze screenshotem mam tak, że po aktualizacji najnowszych sterowników AMD, plik wynikowy ze zrzutu ekranu to czarne tło a w miejscu gdzie był kursor widnieje ikonka (!) monitora systemu (przeklęty X11). Ale z drugiej strony skoro ja nie mogę zrobić zrzutu to inni chyba też?

    • Obowiązkowe zmienianie haseł to głupota. Nie ma takiej potrzeby. Co więcej, powoduje to takie problemy jak opisane w poście (hasła typu wrzesień2015).

  3. Z tą comiesięczną zmianą haseł jest podobnie jak z wyszukanymi strategiami wprowadzania haseł. W jednym z banków formularz wprowadzania hasła wymaga podania 6 losowych znaków z tego hasła. Efekt? Nawet pracownicy mają albo super proste hasła, albo zapisują je na karteczce, bo kto pamięta na wyrywki kolejne litery swoich haseł?

    • Hmm… na przykład ja :) Ale to jest skrajny przypadek. Hasła tzw maskowane to jest kompletna głupota, wymuszona często przez kogoś wyżej w danej instytucji postawionego, który nie ma świadomości realiów tego rozwiązania i nie idzie mu wytłumaczyć czemu to jest złe.

      Co gorsza, mało managerów haseł integrujących się z przeglądarką jest w stanie takie maskowane hasło obsłużyć. O ile jeszcze np w ING się da, bo nazwa pola formularza odzwierciedla numer znaku, o tyle np w BZ WBK formularz numeruje po kolei znaki do wpisania, czyli np znak 15 może mieć numer 7 bo jest to siódme pole formularza do uzupełnienia (siódmy w kolejności odkryty znak) i tylko manager haseł analizujący strukturę dokumentu i liczący po kolei które to jest pole hasła w drzewie dokumentu jest w stanie określić jaki tam ma być znak…

      Rozumiem, że bank chce walczyć z zapamiętywaniem hasła w przeglądarce bo to niebezpieczne itp, ale jak ktoś używa dobrego managera haseł to dajmy mu jednak możliwość obsłużenia takiego pola…

    • Czesta zmiana hasel powoduje glownie to ze ludzie ustawiaja hasla proste. Przyklad zmiana raz na kwartal haslo ma miec minimum 8 znakow duze male litery, conajmniej jedna cyfre i nak specjalny to sporo osob ma hasla wedle schematu SlowoKlucz#17Q1 a potem zmienia sie tylko rok i kwartal.

      Kolejna moim zdaniem glupota jest odgorne ograniczanie hasla do x znakow, rozumiem oddolne ograniczenie nie mniej niz ale nie wiecej niz 15? toz to glupota a to jak ktos chce miec haslo 24 znakowe? (ktore teroretycznie jest bardziej skomplikowane do zlamania)

      Maskowanie – niechaj ktos mi wyjasni jak to ma byc bezpieczniejsze? Przykladowo mamy haslo UrodzinyMamy66 sklada sie ono z 14 znakow, domniemalbym ze haslo takie powinno byc szyfrowane co oznacza ze jesli podajemy je w calosci algorytm odpowiadajacy za szyfrowanie oblicza dla niego sume kontrolna i tylko owa suma porownywana jest z damymi w banku/czy innym miejscu gdzie sie logujemy.
      Tymczasem przy maskowaniu proszeni jestesmy o podanie dajmy na to 1,2,13,14 znaku hasla co w naszym przykladzie daje Ur 66 i teraz czy to oznacza ze porownywane sa znaki jeden do jednego? bez szyfrowania? ze ktos przechowuje nasze haslo w sporob ktroy mozna odczytac? No ja tutaj nie widze zwiekszonego bezpieczenstwa.

      Co do zapamietania jesli pamieta sie cale haslo to nie problem podawac je literka po literce z ominieciem tych ktore nie sa wymagane, ale dalej jakos nie uwazam tego rozwiazania za dobre.

  4. Ze swej strony do komentarza Pana z F-Secure dodałbym, że hasła nie dość że powinny być trudne do złamania, to łatwe do zapamiętania. Bo jeżeli użytkownik nie może zapamiętać 15 haseł zmienianych co 3 miesiące, to wymyśla właśnie “Wrzesien2015!” albo zapisuje je na żółtych karteczkach i przykleja w oczywistych miejscach. W firmie gdzie pracuję, nawet jedna dziewczyna zaprowadziła sobie kajecik, w którym zapisuje sobie takie sekreciki (czemu ja się wcale nie dziwię). Dość pomocne również są tu managery haseł.

    Istnieje również podejście do problemu haseł, które mówi że niekoniecznie trzeba zmuszać ludzi do pamietania “gwsersrt#%$vd13”, bo można im pozwolić mieć hasła typu “wlasciwyrobakpodczepiabombelancasterszefowi” i one będą równie trudne do złamania, a jednak dużo łatwiejsze do zapamiętania i w konsekwencji rzadziej zapisywane na żółtych karteczkach. Problemem z hasłami generowanymi przez komputer jest że w ogóle nie bierze się przy ich tworzeniu możliwości ludzkiego umysłu, który potem będzie je zapamiętywał.

    • apg ma opcję generowania haseł “human friendly”, są to zlepki sylab np. gagJecdev8

    • Akurat panienka która prowadzi kajecik z sekretnymi hasłami uważam że ma najwyższy poziom bezpieczeństwa w firmie. Moim zdaniem kalendarzyk w którym co miesiąc będzie sobie zapisywać nową wersję haseł nawet trudno zapamiętywalnych schowany w szufladzie zamykanej na klucz zabierany ze sobą jest chyba najbezpieczniejszą możliwością. Zabezpiecza przed atakami online, pozwala na wykradzenie tylko jednego hasła użytego w danym momencie w przypadku infekcji sprzętu, chroni przed współpracownikami i złośliwą sprzątaczką.
      Sam używam KeePasa mam w nim ok 300 haseł i cały czas po głowie mi chodzi na ile mocne mam hasło główne bo gdyby skradziono mi bazę haseł to tracę natychmiast hasła do 300 usług/kont/itp a nie jak panienka z zeszytem – jedno….
      Chyba czas pozwolić paranoi wejść na kolejny poziom wtajemniczenia i rozpocząć używanie pliku klucza na zewnętrznym nośniku….

    • @Robert plik keepasa zaszyfruj dodatkowo jakimś mocnym algorytmem i wrzuć na chmurę, np dropboxa, z włączonym 2FA. Hasło do tej chmury trzymaj w innym KeePassie na dyskietce żeby w razie czego łatwo było zniszczyć nośnik. Zapasową dyskietkę zakop w ogrodzie, a nad nią zakop zwłoki – jak ktoś trafi na zwłoki być może nie będzie dalej kopał :) Dodatkowo napisz trojana, który będzie się rozprzestrzeniał po wszystkich urządzeniach na ziemi i skanował ich dyski w poszukiwaniu Twojego kontenera z KeePassa lub kluczy deszyfrujących, jeśli je znajdzie na nieautoryzowanym komputerze to od razu je usunie. A i pamiętaj, żeby trzymać na co dzień wszystko w sejfie, co możesz tam trzymać. Ta zakopana dyskietka też powinna być w sejfie albo pancernej kasetce, zwłoki dla pewności też.

    • A propos haseł wielowyrazowych, tutaj znalazłem dość ciekawą analizę użycia wyrazów, w tym haseł składających się z wielu wyrazów:
      http://www.city-data.com/blog/1476-passwords-linguistics-words-in-your-security-codes/

      Pozdrawiam!

    • @Robert
      Ale ja nie mówię że kajecik z hasłami (noszony w torebce) jest jakimś tam security breach czy coś. Ja tylko chciałem zilustrować stopień skomplikowania i upierdliwości wnoszony przez politykę tworzenia haseł i odklejenie od rzeczywistości osób ją tworzących.

  5. Hasło zmieniane co miesiąc i łatwe do zapamiętania: “MyBossIsStill(!)AssholeInSeptember2015”

    • “MyBossIsStill(!)*An*AssholeInSeptember2015”

    • “Nie można ustawić tego hasła: ponad połowa jest taka sama jak użyta w poprzednim miesiącu”

    • dałbym wam LAJKA

    • Twój tekst + Sosnowiec poprawiły mi humor :)

    • Hasło jest zbyt długie, maksymalna długość hasła to 20 znaków.
      W haśle użyto niedozwolonych wyrazów.

  6. I to jest problem pochodny po blokowaniu dostępów do prywatnych skrzynek.
    Jak chca załatwiać prywatne sprawy to i tak użyją właśnie firmowego maila…

  7. Po kilku dniach przerwy nowych wpisów na niebezpieczniku, zrehabilitowaliście się dobrą historią. Czekam na następne, bo ta jest naprawdę niezła :)

  8. a dlaczego dział IT nie wychwycił maila przychodzącego z AM i innych portali nie związanych z pracą?? powinni wtedy upomnieć użytkownika….

  9. W Sosnowcu…
    Ależ jesteście zgryźliwi.

    • Czeladź, Dąbrowa Górnicza czy Będzin też by pasowały.

  10. Poczułem się trochę jakbym czytał “Rok 1984″…

    • 1. Nie miało to nic wspólnego z tematyką “1984”, nie przesadzaj. Chyba że próbujesz się chwalić, że czytałeś “1984”. Wszyscy czytali.

      2. Opowiadanie z perspektywy literackiej leży i kwiczy, jest tandetne, tendencyjne i nieciekawe. Tak to jest gdy techniczna głowa zabiera się za coś humanistycznego.

  11. Nie dość, że nagłówek nie był tabloidowy to i treść była wartościowa. Miło, że ponownie pojawiły się dobre wpisy na Niebezpieczniku.

  12. No ale… czemu pracownik Janusz mial dostep do serwisow randokowych w swojej sieci korpo?? Czemu pracownicy IT nie ustawili filtrowania/monitorowania korporacyjnej poczyt email pod tym katem?? Czemu nikt nie wdrozyl szkolen dla pracownikow, no i na koniec czemu CEO albo CISO mial to wszystko w glebokiej dup** ;)

  13. Autentykacja samym hasłem to bardzo przestarzałe rozwiązanie w 2015. Stworzenie systemu 2-factor w stylu Google Authenticator jest naprawdę tanie i proste, a jak ktoś chce mieć jeszcze bezpieczniejszy system, to Yubico sprzedaje bardzo dobre i w miarę tanie urządzenia służące jak second factor.

    • no wlasnie Yubikey rulez.

  14. A ja wciąż uważam, że hasła trzymane w formie papierowej w bezpiecznym miejscu są ‘dużo bezpieczniejsze’ niż te trzymane w formie elektronicznej :) pozdrowienia dla profesjonalistów.

  15. Ponadto można je również dodatkowo szyfrować kluczem trzymanym również w innym ‘bezpiecznym’ miejscu w formie papierowej a jakże ha! :), a jak ktoś nie pamięta to ‘drogę’ z jednego miejsca w drugie już łatwiej zapamiętać niż choćby pamięć o ..aktualizacjach ..ale już za bardzo się rozwodzę hę.. :)

  16. Moim zdaniem zbyt częste wymuszanie na pracownikach zmiany hasła (co miesiąc) nie prowadzi do zwiększenia bezpieczeństwa tylko do jego zmniejszenia. Niestety można tłumaczyć prosić i przypominać ale i tak po pewnym czasie znowu wszyscy zaczną numerować hasła w kolejności czy to “hasło1 2 3 4…” albo tak jak wyżej “Wrzesień2015”. Jeśli znowu dostaną ciężkie hasło losowo wygenerowane przez admina to pewnie je nakleją na monitorze albo pod klawiaturą…
    Spotkałem się kiedyś z firmą w której pracownicy posiadali klucze usb (pendrive z jakimś certyfikatem) bez którego dostęp do sieci był niemożliwy, a same klucze musiały być okresowo aktualizowane. W połączeniu tego z hasłem wydaje mi się to dużo bardziej bezpiecznym sposobem na dostęp do firmowych sieci.

    • Zgadzam się. Pracowałem kiedyś w firmie, gdzie zmiana haseł była wymuszona. Ponadto hasła miały wiele ograniczeń, pewne znaki nie mogły się powtarzać, ani występować w tej samej kolejności względem haseł poprzednich itp. Więc wymyślenie nowego hasła wymagało wielu prób i wiele osób szybko zniechęcało się. Efektem były hasła wg schematu a więc całkowite zaprzeczenie tego co zapewne chciał osiągnąć pomysłodawca.

  17. Nie zgadzam się z komentarzem eksperta w co najmniej 2 aspektach. Po pierwsze najważniejsze:
    >>>> Warto również pamięta, aby hasło było zarówno silne (tworzone przy pomocy znaków specjalnych),

    Używanie znaków specjalnych w hasłach wcale nie zwiększa ich bezpieczeństwa. Owszem trudniej może takie hasło zgadnąć, ale dla automatów nie liczy się jakich znaków się używa, ale jak jest ich dużo. To samo tyczy się liczb oraz małych/dużych liter. To wszystko jest przestarzałym nawykiem nieznających podstaw kryptografii administratorów.

    Druga kwestia to okresowa zmiana haseł. Tu również mam mieszane uczucia. Wydaje mi się, że jeśli hasło jest silne (długie – nie zagmatwane), to jeśli nie wystąpiła potrzeba zmiany haseł (ze względów podejrzenia włamania/wycieku itp), to zmiana hasła częściej niż raz na pół roku, rok jest utrudnieniem dla pracownika i powoduje właśnie takie sytuacje jak w przedstawionym artykule.

    Na koniec podaje link do klasyka, który idealnie przedstawia sytuację:
    http://imgs.xkcd.com/comics/password_strength.png

    • 8 całkowicie przypadkowych znaków ASCII = ~52.5 bit

      ponadto ja bym nie miał problemu z zapamiętaniem hasła Tr0ub4dor&3, więc jak zwykle autor xkcd próbuje kreować rzeczywistość zamiast ją opisywać.

    • Nie zgodzę się jednak z tym komiksem. Bezpieczne hasło to długie hasło z losowymi znakami. Fakt, znaki specjalne nie robią tu jakiejś szczególnej różnicy, ale nie robią też żadnej.

      A dlaczego nie zgadzam się z komiksem? Bo bierze on na tapet jedynie zwykły brute-force, dla którego faktycznie 2 hasło jest bardzo trudne do złamania, ale dobry atak słownikowy, który będzie próbował różnych kombinacji znanych mu słów sklejonych ze sobą w różny sposób i w różnej kolejności złamie to hasło bardzo szybko

    • GwynBleidD: W komiksie wcale nie jest brany pod uwagę atak brute-force znak po znaku, a właśnie słownikowy, i to dość zoptymalizowany. Randall założył 11 bitów entropii na wyraz, co daje 2048 słów. Jak wiadomo, słownik zawiera wyrazów przynajmniej kilkadziesiąt tysięcy, więc wspomniane 11 bitów to dość konserwatywny szacunek.

  18. Keepass nie ma klienta na WP, a przynajmniej w sklepie nie da się znaleźć.

    • Masz 7Pass Free (tyle że nieoficjalny).

    • Spróbuj:
      7Pass (for Windows Phone 7 / 8.1)
      WinPass (for Windows Phone 7 / 8.1)
      WinKee (for Windows Phone 8.1)

  19. W Sosnowcu (i Czeladzi, Dąbrowie Górniczej czy Będzinie) łamie się ludzi, a nie hasła. Dlatego należy uważać…

  20. Podobał mi się tekst. Konkurencja mięknie.

    A z hasłami zawsze był problem i managery haseł nigdy nie są w 100% idealnym rozwiązaniem.

  21. Apropos DirBuster – Czy jest podobna aplikacja, która wyszukuje zmienne POST / GET w skrypcie ? – Jakie są używane ?

    Przepraszam za off ;)

  22. Pracuję jako audytor bezpieczeństwa informacji, w ogromnej ilości przypadków audytowanych firm problemem jest własnie ilość logowań a i zatem ilość haseł. Tam gdzie istnieje logowanie domenowe w wielu wypadkach wystarcza jedno hasło, gdyż użytkownikowi przypisano określone uprawnienia. Administrator może wymusić algorytmem zmianę haseł, ale…

    1) błąd ludzki – jesteśmy z natury leniwi, więc zapisujemy hasła w telefonie, na kartce itd.;
    2) ilość zmian w natłoku zadań wydaje się być zbyt duża a więc niepotrzebna – upraszczamy sobie życie…;

    Normy ISO, szczególnie 27001 dość precyzyjne wskazują na potencjalne zagrożenia i może właśnie potrzeba takich wpadek jak opisane wyżej by dotarło do świadomości zarówno zarządu jak i użytkowników że bezpieczeństwo jest priorytetem i że sam system to nie wszystko. Druga sprawa to szyfrowanie wiadomości, czy też plików – jaki to problem? Audyt i zalecenia poaudytowe przedstawiają dokumentację i sposoby rozwiązania już istniejących bądź mających nastąpić problemów. Jeśli wprowadzić w firmie strefy bezpieczeństwa, szyfrowanie plików i poczty elektronicznej to znacznie utrudni się wyniesienie z firmy wrażliwych danych, a tak pozostaje czekać na kolejną wpadkę i kompromitację firmy.

  23. A co z uwierzytelnianiem dwu lub trzy etapowym?Korporacje powinny posiadac stosowne zabezpieczenia w postaci czytnikow i kart zaprogramowanych z kodem dostepu.Dziwna wpadka.Chyba ze firma oszczedza na bezpieczenstwie.Dzisiaj w wielu przypadkach haslo mozna “wykrasc”.W Szwecji nawet dla uczniow odgornie wprowadzono ostatnio w szkolach logowanie z uzyciem czytnika i kart dostepowych.A po za tym kto madry firmowego czy prywatnego maila podaje na forach roznego typu.Jak widze eksperta od bezpieczenstwa it z kontem na twiterze facebooku czy innym portalu tego typu z prawdziwymi danymi to mi od razu rece opadaja.

    • Korporacje to powinny najpierw się nauczyć przestrzegania własnej polityki bezpieczeństwa.
      Pracowałem w pewnej firmie którą można nazwać korporacyjną.Nie jako informatyk,jestem prywatnie takim tam inżynierkiem. Skomplikowane hasła,wielostopniowe logowanie ? Nie tylko tego nie było.Pracownicy mogli nosić pendrive pomimo że istniała przecież zabraniająca tego “polityka bezpieczeństwa”. Nosili ze sobą,żeby nie było wątpliwości,wychodzili z tym poza firmę. Nie były szyfrowane, jedna zguba/kradzież i część firmowej dokumentacji staje się ściśle jawna. Kartek zresztą też nikt nie pilnował i nie rozliczał specjalnie jakby co. Low tech po prostu.
      Ja tam nic nie wynosiłem (po co by mi to było),ale co ubawu z adminów miałem to moje. Zwłaszcza że ustawę znali w zakresie polityki haseł trochę – zmiana co 2 miesiące i tak nie jest z ustawą zgodna,więc taka sztuka dla sztuki.

  24. Droga redakcjo – jestem raczej zawiedziony narracją postu.

    Rozumiem, że ten cykl tekstów ma pewnie trafiać do osób nietechnicznych?
    Fajnie, że chcecie bazować na “realnych wydarzeniach i technikach” – ale czytając ten artykuł jakoś miałem wątpliwości, czy to rzeczywiście historia jednego przypadku, czy zlepek różnych wydarzeń.

    Przy tej mieszance dramaturgii, fabularyzacji i długości tekstu, drugą połowę już tylko pobieżnie obleciałem wzrokiem…

    Pozdrawiam, choć życzę dopracowania stylu. ;)

    • P.S. Ale dzięki za link do DirBustera. Dobrze wiedzieć.

    • Też się pod tym podpiszę. Nie potrafię dobrze stwierdzić z czego to się bierze, ale był to wyjątkowo nieprzyjemny tekst do czytania i nie wiedziałem czy czytam prawdziwą historię, czy jakąś humorystyczną opowieść z przesłaniem. Myślę, że ta nieprzystępność tekstu polegała właśnie na mieszaniu – fikcja z prawdą, potoczny język z formalnym, fachowy z “ludzkim”, czas teraźniejszy z przeszłym. Do tego oczywiście kolory i czcionki* utrudniające czytanie.

      Ale sam pomysł dobry i liczę na to, że wypracujecie styl z czasem :)

      * troll mode – bo niektórzy są w stanie dalej się kłócić, że na komputerach są fonty, nie czcionki, bo nie potrafili poszukać sami w materiałach językoznawców :P

    • Jakie czcionki, jakie fonty – to są piksele!

  25. Mogę czuć się bezpiecznie , nie mam żony ani żadnej baby przed ,którą mógłbym “chować” inną babę (kochankę) :D

  26. Jakiś tl;dr by się przydał na początku :)

  27. łoooo fajnie się czytało ;-)

  28. Odgaduję hasło:
    Janusz Nogawka

  29. Hasła – zmiana co 30dni, zła i nie zalecana, ale jak to ma się do Ustawy:
    http://isap.sejm.gov.pl/DetailsServlet?id=WDU20041001024

    gdzie napisano:
    “…W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni….”

    • Dlaczego zła i niezalecana? Chodzi tylko o to, że przy częstych zmianach ludzie mają problem z zapamiętaniem i tworzą albo przewidywalne hasła, albo je zapisują? Może jeszcze jest jakiś powód Twojej opinii? Pytam szczerze, nie zaczepliwie. Sam znam dużą instytucję samorządową, gdzie pewnie dziś większość haseł to Październik2015. Przed tymi wymaganiami zmiany co miesiąc nie było tego problemu. Hasła i tak zmieniali co jakiś czas, ale nie były tak oczywiste.

    • Zła i nie zalecana, tak wynika z komentarzy powyżej, a osobiście też borykam się z problemem haseł użyszkodników. Jak dobrze poszukać to w 90% przypadków w zasięgu ręki przy komputerze jest zapisane… bądź jest tak proste że aż żałosne.

      Rekomendacje z IV.2015 daje czas do IV kw. 2016 na wprowadzenie certyfikatów X.509 ale czy takie rozwiązania zmienią dużo?

      http://krmc.mac.gov.pl/download/50/11997/RekomendacjeMAC.pdf

    • Ma się tak,że ustawę pisali ludzie,którzy nie mieli za bardzo pojęcia.Bardzo delikatnie mówiąc. (Zresztą co do ich “pojęcia” na inne tematy nie chcę się nawet wypowiadać,bo szkoda się denerwować).

  30. > akcji patronuje Ministerstwo Spraw Wewnętrznych

    Czyli złe wilki będą patronować owieczkom ;)

  31. A co myślicie o zapisywaniu haseł z dodadtkowymi, fałszywymi ciagami znaków? oraz nie łączyc tego z loginem. Tyle że w korpo raczej nie do użytku.

  32. Czy ta historia wymuszania na użytkownikach częstych zmian hasła nie dowodzi, że jest to postępowanie nieskuteczne?
    Utrudnienie użytkownikowi utrzymanie hasła, prowadzi do tworzenia takich wytrychów.
    Projektant systemu bezpieczeństwa, poza myśleniem o bezpieczeństwie, powinien pamiętać, że użytkownik jest tylko człowiekiem, a nie maszyną.
    Zwalanie winy na użytkowników nic nie da, bo nie przynosi rozwiązania problemu.

  33. W KeePass mozna ustawić dodatkowe szyfrowanie plikiem i tu skierować wektor paranoii ;)

  34. Dobry artykuł, można podsyłać znajomym.

    Ale dlaczego Janusz? skąd bierze się ten idiotyczny trend wstawiania wszędzie Januszy (informatyków, biznesmenów) ?

  35. Super porada pana eksperta, ktora można sobie wsadzić gdzies.
    Można miec to samo haslo do wielu serwisów, o ile używa sie uwierzytelniania dwuetapowego. Ba, nawet powinno być ono standardem obecnie, bo można wykryć nieautoryzowana próbę dostępu do konta.

  36. Oto gimboprzyjazny turtorial jak stosować bezpieczne hasła.

    1. Oglądamy serial “Trzynasty posterunek odc pt “Księgowy mafii”
    2. Skupiamy się głównie na pierwszej scenie a konkretnie to na sposobie w jaki błyskotliwy posterunkowy Cezary wprowadza dane do policyjnego komputera
    3. Przy wymyślaniu hasła stosujemy identyczną metodę jak Pan Cezary
    4. Uczymy się tego hasła na pamięć (polecam monotonne stukrotne przepisywanie go)
    5. Nie zapisujemy tego hasła w żadnych plikach ani też na kartkach i tym podobnych.

    Zalety?
    1. Złamanie takiego hasła metodą siłową będzie trwało lata
    2. Ryzyko odgadnięcia hasła przez gimbo hakerów będzie nie wykonalne
    3. Spokój ducha

    Wady?
    Nie zauważyłem

  37. W stylu podobne do opowieści z “Sztuki podstępu”, nie to że to coś złego. Wręcz przeciwnie. Fajnie pobudza wyobraźnie.

  38. Super artykuł ale Ktoś (autor?) chyba tu nie lubi Altraichu.

  39. Oto kilka wymyślonych haseł:

    hasło do onetu:
    m1ls+3fkp-1!
    mam jednego leniwego szefa + 3 fajnych kolegów p-1=o

    hasło do gmaila:
    PiwyKuPupoz1926f+1
    Pierwsze wydanie Kubusia Puchatka pochodzi z 1926 f+1=g jak gmail

    albo hasło do yandex.com
    NiucprdzurJaKo!%*&f-7
    Nie uciekaj przede mną dziewko urodziwa Jan Kochanowski 1584 z shiftem f-7=y

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: