14:01
9/2/2010

Security Fail: Krótsze hasła są lepsze!

Jeden z klientów American Express wyraził żal, że nie może ustawić dłuższego niż 8 znaków hasła do swojego konta. Oto jaką odpowiedź uzyskał:

A przekładając to *dosłownie* na polski, pogrubienia nasze:

Informujemy, ze nasza strona korzysta z 128-bitowego szyfrowania. Mając to na uwadze, hasła stworzone tylko z liter i alfabetu (?) tworzą algorytm który jest trudny do złamania. Odradzamy wykorzystywanie znaków specjalnych ponieważ oprogramowanie hakerskie potrafi je łatwo rozpoznać.

Długość hasła jest ograniczona do 8 znaków aby ograniczyć kontakt z klawiaturą. Niektóre programy potrafią rozszyfrować hasło bazując na informacjach o często naciskanych klawiszach.

Dlatego, im mniej uderzeń w klawisze w danej jednostce czasu, tym mniejsze prawdopodobieństwo złamania hasła.

Gurav Sharma, z e-mail servicing team, chyba już nie pracuje w American Express. Mógłby się za to spełnić jako scenarzysta filmów o hakowaniu — tam taka informatyczna pomysłowość i kwiecistość wypowiedzi jest przecież obowiązkową składową każdego hakera. Przy “ograniczaniu kontaktu z klawiaturą” wymięka nawet emacs z sendmailem i potrójną ścianą ognia…

O sprawie doniósł nam jako pierwszy Paweł Stawicki.

SecurityFail to cykl wpisów o wtopach z dziedziny (nie)bezpieczeństwa — nie tylko komputerowego. Wszystkie posty tego cyklu przeczytasz tutaj.

Przeczytaj także:

24 komentarzy

Dodaj komentarz
  1. Jeszcze do niedawna dostęp do bankowości internetowej w Polbanku był chroniony hasłem z ograniczeniem od 5 do 8 znaków.
    W zeszłym roku wreszcie ten idiotyzm zmieniono, ale pozostał jeszcze inny idiotyzm w postaci sposobu autoryzacji transakcji i to, że jedyną słuszną dla nich przeglądarką jest IE.

  2. W PKO BP nie można w haśle używać kropek, przecinków i innych znaków specjalnych

  3. tekst o klawiaturze nie jest całkiem wyssany z palca (jest trochę o tym w książce “Cisza w sieci”) ale gościu się i tak mija z prawdą

  4. Dodatkowo, ograniczenie do 8 znaków sugeruje, że klucze trzymane są w clear tekście. Wszak MD5 czy SHA-1 dają hash zawsze takiej samej długości, niezależnie od długości hasła. Czyż nie?

  5. @Paweł Stawicki:
    Z jednej strony wątpliwe ;) zawsze mogą posiadać autorski algorytm hashowania, poza tym “kto trzyma hasło w clear tekście”.
    Z drugiej strony… zawsze się znajdą czarne owce ;)

  6. Nie jestem specjalistą od zabezpieczeń ale ostatnio żona mi się chwaliła zabezpieczeniami z logowania w Aliorbanku. Jak je oceniacie? Podawanie tylko wybranych znaków hasła jest może upierdliwe ale w logowaniu do swoich “milionów” na koncie wygoda nie powinna być aż takim priorytetem.

  7. @Michał: no bez żartów :) Po pierwsze w jego przypadku jak najbardziej wyssany jest. Po drugie lcamtuf opisuje wysoce abstrakcyjne metody, które zresztą przy dłuższym haśle zadziałają mniej skutecznie, bo zwiększa się liczba możliwości :)

  8. Co do zabezpieczeń w Alior Banku – takie same są chociażby w Pekao S.A. Jedynie przyczepiłbym się o ograniczenie do 15 znaków (akurat miałem dobry pomysł na hasło na 16 znaków i musiałem wymyślać inne…), ale ogólnie jest do dobra metoda – ciężko zastosować tam słowniki (ostatecznie nie wszystkie znaki są wymagane do podania od razu), ciekawi mnie jednak sposób przechowywania hasła w takim wypadku ;)

  9. Wstawiłem dzisiaj ten obrazek na korporacyjne forum i po jakiejś godzinie odezwał się do mnie kolega z innego teamu o identycznych danych jak konsultant Amexa. Zlitowałem się nad nim i zamazałem jego nazwisko bo koledzy męczyli go czy to czasem nie on w Amexie takie bzdury napisał :)

  10. @megawebmaster
    Są to tak zwane hasła maskowane

  11. Sam też trafiełm pąre razy na ograniczenie do 15 znaków, a że większość haseł mam dłuższych to trochę nieciekawie. Ale cóż wzięli studenta prosto ze studiów do pisania kodu, na szkolenie z bezpieczeństwa nikt go nie posłał i efekty jak widać ;]

  12. co do ALIOR BANKU: zapytanie o wybrane znaki hasła funkcjonowało już dobre pare lat temu w systemie Sezam banku BPH

  13. Hasło maskowane było używane także przez Bank Śląski / ING w ich bankowości elektronicznej. Piszę było, bo przestałem być klientem owego lataaaa temu.
    A zadziwiające, że dla wielu ludzi termin “szyfrowanie 128 bitowe” jest gwarancją absolutnego bezpieczeństwa.
    Viv la Maginot !!! – tak chyba to powinno brzmieć.

  14. A w Deutsche Bank PBC (Polska) hasło to… 6 cyfr. I do telefonu, i na WWW takie samo… słabo? ;-)

    A hasła jednorazowe (zdrapki) są… wielorazowego użytku…

    Może zrobić plebiscyt na najgorzej zabezpieczony bank w kraju?

  15. @pd To się nadaje na osobny post na Niebezpieczniku.

  16. Aegon (https://twojrachunek.pl/TwojRachunek/) też ma ograniczenie do 8 znaków hasła też się bardzo zdziwiłem O.o

  17. Nie ma to jak porządne zabezpieczenia… Ciekawe ile haseł pasuje w takim razie do tych “najczęściej używanych” z niedawnej listy na Niebezpieczniku… ;]

  18. W zeszłym roku Fortis wprowadził token kryptograficzny z USB – zastępuje on kartę z chipem oraz jednocześnie czytnki kart chipowych). Ponieważ Comarch, który to oprogramował przewidział długie hasła zadałęm im puytanie:
    -> Dlaczego w aplikacji ToolboxFORTIS ograniczono możliwości już funkcjonującego oprogramowania – np. PIN tylko do 4 cyfr?
    Otrzymałem odpowiedź: “Pierwsze karty kryptograficzne dostarczone do Banku miały możliwość ustawienia kodu PIN jedynie 4-ro znakowego. Później, gdy Bank otrzymał tokeny, zdecydowano, że należy zestandaryzować te dwa urządzenia kryptograficzne i dlatego też PIN ma 4 znaki. W związku z tym, że autoryzacja przy obecnie wykorzystywanym podpisie elektronicznym opiera się na zasadzie “coś wiesz i coś masz”, długość kodu PIN nie wpływa negatywnie na bezpieczeństwo. ”

    Kluczowe słowa to oczywiście “długość kodu PIN nie wpływa na bezpieczeństwo” :-)
    Nazwisko Pani odpowiadającej w razie potrzeby posiadam.

  19. Zabrzmiało groźnie. ;]

  20. blad – a po co Ci dłuższy PIN? ile osób ma dostęp do Twojego tokena? czy jak go zgubisz czy Ci ukradną gdzieś w autobusie to będą wiedzieli do jakiego banku jest ten token? do jakiego konta? po ilu błędnych wprowadzeniach hasła token się blokuje? ludzie nie dajmy się zwariować – bezpieczeństwo to coś więcej niż długość PIN-ów (haseł). Najpierw analizuje się ryzyko a potem dopiero to tego dobiera adekwatne (sic) środki bezpieczeństwa – nie dajmy się zwariować bo niedługo do tokena będziemy wprowadzać jako hasło “Pana Tadeusza”

  21. Witam, mam troche głupie pytanie bo po pierwsze po co mi jest potrzebna tzw. ,,karta kodów” następnie karta, a po drugie nawet nie wiem jaki posiadam pin i nie wiem czy mi on w ogóle przyszedł;/

  22. omg…

  23. Myślę, że po prostu zazdrościcie, że sami nie potrafilibyście wymyślić tak precyzyjnej odpowiedzi…. =D

    …….

    Mój bank ostatnio poinformował mnie, że najbezpieczniej dla mnie jest – (jak najdłużej) nie zmieniać używanego hasła.
    Nie miałem siły zapytać – dlaczego……

  24. Proponuję hasła jednobitowe :P

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: