9:14
15/3/2016

Wymuszanie regularnej zmiany haseł jest czasem konieczne, ale przesadzanie z tą praktyką może zaszkodzić. Ci, od których wymaga się częstej zmiany hasła, wybierają hasła prostsze i zmieniają je wedle przewidywalnych reguł.

passexpiry

Ludzie idą na skróty

Tak uważa Lorrie Cranor z amerykańskiej Federalnej Komisji Handlu (FTC), wykładająca na Carnegie Mellon University. Cranor opisała na stronie FTC badania przeprowadzone na University of North Carolina (w Chapel Hill). Badacze pozyskali ponad 51 tys. hashy haseł do 10 tys. nieaktywnych kont studentów i pracowników, na których wymuszano zmianę hasła co 3 miesiące.

Po użyciu łamaczy haseł, odzyskano 60% haseł z czego dla 7,7 tys. kont udało się pozyskać przynajmniej jedno hasło niebędące ostatnim hasłem dla danego konta. Te “nieostatnie” hasła wykorzystano w kolejnym etapie badania — badacze opracowali metody łamania haseł oparte na poprzednich hasłach danego użytkownika. Przeprowadzono analizę sposobu tworzenia nowych haseł, która wykazała pewne przewidywalne wzorce zachowań tzw. transformacje:

Ludzie nierzadko szli na skróty i tworząc nowe hasło zwiększali jakąś liczbę, zmieniali litery na podobne symbole (np. S na $) dodawali lub usuwali znaki specjalne, zmieniali porządek cyfr lub znaków specjalnych.

Przykładowo ludzie potrafią zmieniać hasło poprzez zmianę numerka odpowiadającego miesiącowi. Hasło “0gi3r-1” stosowane w styczniu może być w marcu zmienione na “0gi3r-3“. Ułatwia to oczywiście zapamiętanie hasła, ale również jego przewidzenie.

Takie podejście w “zgadywaniu” haseł zastosował Alladyn2 podczas włamania na rządowe serwery 4 lata temu.

Koniec końców, badacze ustalili, że dla 17% kont znajomość poprzedniego hasła pozwalała na zgadnięcie kolejnego hasła w mniej niż 5 próbach.

Inne badania

Nowsze badania tego problemu przeprowadzono na Carleton University. W tym przypadku badacze również zwrócili uwagę nie tylko na przewidywalność kolejnych haseł, ale także na nieskuteczność zmiany haseł w przypadku niektórych rodzajów ataków (np. z użyciem keyloggera). Ostatecznie badacze z Carleton dochodzą do wniosku, że:

prawdziwe korzyści z wymuszania zmiany haseł nie rekompensują wystarczająco związanych z tym uciążliwości.

Są też badania mówiące o tym, że ludzie zmuszani do częstej zmiany haseł po prostu unikają tworzenia silnych haseł. Nie chodzi więc o to, że samo wymuszanie zmiany haseł jest obiektywnie złe. Ono jest teoretycznie korzystne, ale działanie czynnika ludzkiego obniża te korzyści.

image_8

Sprawa do przemyślenia

To wszystko nie oznacza, że należy rezygnować z wymuszania zmiany haseł. Wnioski nakazują raczej przemyśleć sposób stosowania tej praktyki. Trzeba się zastanowić nad częstotliwością wymuszania zmian, albo nad łączeniem wymuszeń z zachęcaniem użytkowników do utworzenia silnego hasła. Być może należałoby zastosować mechanizmy wymuszające tworzenie haseł wyraźnie odmiennych od starego?

Z pewnością nie będzie dobrym pomysłem całkowita rezygnacja ze zmiany haseł, szczególnie po wyciekach lub kradzieżach. W tym kontekście polecamy zajrzeć do naszego tekstu o zarządzaniu incydentami bezpieczeństwa informacji w przedsiębiorstwie.

Na koniec, jak zwykle polecimy KeePassa, lub ogólniej, jakikolwiek program typu “manager haseł”, który pozwala użytkownikowi na “zapomnienie” wszystkich haseł (poza tym do managera), zajmuje się ich generowaniem i dba o to, aby dla każdego serwisu były one różne (a to jest najważniejsze!).

Przeczytaj także:

77 komentarzy

Dodaj komentarz
  1. Stare jak świat porzekadło: albo ludzie mają hasła skomplikowane (i używają je wszędzie w prawie niezmienionej formie) albo proste (ale wszędzie inne). I jak zawsze nie wiadomo co gorsze.

    • Nie przesadzajmy, można sobie opracować system wykorzystujący przykładowo 128bitowe losowo generowane hashe (~32 znaki) i bez problemu z nich korzystać w taki sposób, że jest to niemal transparentne dla użytkownika. Ja taki mechanizm wykorzystuje u siebie od kilku miechów. Samych haseł nie znam, bo i po co? Jak przychodzi do zmiany, to najwyżej wygeneruje nowe hasło, którego też nie będę znał. xD

    • @Morfik:
      Taa, wszystko można prosto zrobić, a jak przychodzi co do czego, to akurat się okazuje, że przeglądarka nie zapisała hasła, czy ten twój magiczny generator nie działa na komórce, czy po prostu coś tam się zepsuło i nie masz dostępu do tych twoich hashy. Nie wspominając nawet o uczelnianych/pracowych komputerach, gdzie nie możesz nic zainstalować- za każdym razem będziesz wyciągał pendrive’a z programem, czy go ściągał z sieci?
      Dobre hasło, to takie, które nie wymaga zapisywania go na kartce (czyli bez jakichś krzaczków), nie jest banalne i dość szybko się je wpisuje. W przeciwnym wypadku każdy prędzej czy później albo je zapomni, albo zmieni, bo nikomu (poza jakimiś nerdami szyfrującymi 2048bit wszystko i wszystkich innych) nie będzie się chciało wpisywać długiego i pokręconego hasła, czy ściągać jakichś menedżerów przy każdym logowaniu się do komputera.

    • No tylko ja napisałem wyżej, że ja z tego swojego mechanizmu korzystam już ładnych parę miesięcy i on działa. :] Po drugie, ja z grubsza wykorzystuję tylko jedno urządzenie, z którego jestem w stanie się zalogować. Nic nie stoi na przeszkodzie by powielić to rozwiązanie na pozostałe maszyny ale ja tego zwyczajnie nie robię ze względów bezpieczeństwa. Po trzecie, ja nigdy się nie będę logował przy użyciu telefonu. Może on robić, co prawda, za dodatkowe zabezpieczenie ale nigdy nie zapiszę w nim swoich haseł, a 32 znakowców nie chce mi się ręcznie wpisywać. xD

    • praktyka pokazuje że zamiast jakiegoś dziwacznego hasła, dla “zgadywaczek” o wiele gorsze są długie hasła z kilkoma nieoczywistymi słowami które łatwo zapamiętuje mózg, a są trudne dla maszyny. niestety do tej pory promuje się jakieś “robaczki” trudne dla mózgu a relatywnie łatwe dla maszyny, więc mamy właśnie taki efekt.
      także w wielu instytucjach, bardzo często w bankach wymusza się zmianę haseł co ….. miesiąc. a potem się wszyscy dziwią że są łamane polecenia bezpieczeństwa w stylu: “zero haseł zapisanych na karteczkach w portfelu, przy monitorze, pod blatem, pod klawiaturą. praktyka pokazuje że to nie ma sensu, ale ja nigdy nie miałem zamiaru kopać się z koniem.

    • Ja uzywam normalnych slow polaczonych nie spacjami, a innym slowem. Np.

      bylemowczorajwwodomucbabci – bylem wczoraj w domu babci, zamiast spacji uzyte kolejne litery slowa owoce. latwo zapamietac, dosyc ciezkie do zlamania dla algorytmu. do wymyslenia bazy mozna uzyc jakiegos skojarzenia z dana usluga ;)

  2. Ja tam stawiam na sól w stylu wydarzenie/okoliczność/nazwa własna + moje kultowe hasło, jeśli zaś chodzi o systemowe hasła to nie tak do końca jak pisze pani Lorrie – można wymusić na użytkowniku wpisanie hasła, które nie może być kolejna kopią poprzedniego… ale po kolejnej nieudanej próbie zmiany hasła(bo czasami naprawdę nie wiadomo czemu wpisane hasło nie spełnia wymogów) Użytkownik pewnie wybierze najprostsze możliwe hasło …

  3. hasło1234, za miesiąc 1234hasło i tak w kółko, a jak sie zapomni to na dwie próby każdy system pozwoli. I na wszelki wypadek na żółtą kartke.
    Moja babcia 20 lat temu zapisała sobie pin do karty w portfelu jako DENTYSTA 0-22-99-1234, podziwiałem to szyfrowanie :)

    • prawdopodbie dobrym pomysłem jest zapisanie fałszywego pinu na karcie…:)

    • Najlepiej w taki sposób, żeby nie było wiadomo czy to 1, czy 7 :)

  4. Tylko problem z tym ze w wiekszosci systemow w PL nie mozemy zrezygnowac – UODO sie klania.
    Tez te opisane przypadki to jednak badania w warunkach laboratoryjnych. Np. kwestia zmiany ostatniego znaku w hasle moze byc negatywna… ale czy zawsze? to jest metoda calkiem niezla dla uzytkownika

  5. >>Być może należałoby zastosować mechanizmy wymuszające tworzenie haseł wyraźnie odmiennych od starego?

    Wtedy na 99% hasło bedzie zapisane otwartym tekstem na kartce albo w pliku na pulpicie.

    Szczególnie gdy dotyczy to systemu do któego człwoeik loguje się raz na kilka dni czy tygodni.

  6. Całkowicie się z tym zgadzam. Wymuszanie comiesięcznej zmiany hasła, wymóg dużych i małych liter oraz min. 8 znaków (np. Płatnik) u nadzwyczaj dużej ilości użytkowniczek kończy się hasłami w stylu Pimpuśxx, gdzie xx oznacza nr miesiąca… Lepsze dobre hasło i niezmienne.

    • Oj, przynajmniej raz na rok wypadałoby zmienić hasło.
      Ale fakt faktem – to niezwykle uciążliwe. Szczególnie, gdy ma się kilka miejsc, które wymuszają takie zmiany.

    • Płatnik wymusza bo ustawa narzuca. Zresztą u nas ustawa wymusza taką zmianę jak w systemie masz jakiekolwiek dane osobowe a ma on dostęp do sieci – czyli zasadniczo w każdym komputerze mamy obowiązek stosować takie zmiany – na ile jest to sensowne to sprawa mocno dyskusyjna.

    • @Leszek: no właśnie “Płatnik” wymusza! To sztandarowy przykład jak działa biurokracja w IIIRP i przewalacze z PO od “informatyzacji urzędów” (część od czerwca aresztowana, główny macher uciekł w immunitet europosła – ku radości użytkowników, bo przedtem co miesiąc były zmiany konfiguracji i aktualizacji a od aresztowań jest spokój.). Płatnik “jest zgodny z ustawą”, wymusza zmiany haseł, a jednocześnie 99% jego użytkowników wie jak z rejestru uzyskać hasło administratora do Płatnika i to szybciej niż zajmuje wyjęcie notesu z kieszeni i przekartkowanie go w celu odnalezienia hasła. To jeszcze pikuś, bo przy standardowej instalacji jeszcze zdradza hasło administratora bazy danych, którym na dodatek w domyślnej instalacji Płatnika z MS SQL jest sa (a jak się ktoś dokopie do zaawansowanych stron podręcznika Płatnika i ograniczy prawa użytkownika bazy do zalecanych na tych stronach, to część funkcji Płatnika przestaje działać np. zmienianie uprawnień użytkowników czy tworzenie archiwów!)… Za to tego, co NAPRAWDĘ potrzebują biura rachunkowe to nie ma: np. która księgowa sobie poradzi z konwersją bazy od klienta danych z Accessa na MS SQL albo odwrotnie na 64 bitowym systemie lub z wgraniem backupu bazy MS SQL 2012 na MS SQL 2008, bo Płatnik “zadbał” o mocne hasła (w praktyce “pimpuś+numer miesiąca”) ale nie zadbał o jakiś wspólny uniwersalny plik archiwów i wymiany danych między Płatnikami…

  7. ” Być może należałoby zastosować mechanizmy wymuszające tworzenie haseł wyraźnie odmiennych od starego?” – To powoduje, że hasło zostaje zapisane na kartce, żeby nie zostało zapomniane, a więc czynnik ludzki nadal działa.

  8. > Ci, od których wymaga się częstej zmiany hasła, wybierają hasła prostsze i zmieniają je wedle przewidywalnych reguł.

    Odkrycie na miarę ameryki… rzecz wiadoma od lat wśród ludzi, którzy są zmuszani do takich zmian i mają choć trochę pojęcia o podstawach bezpieczeństwa.

    Trzeba w końcu przyznać otwarcie, że hasła są na chwilę obecną niewystarczające i czas by poszukać jakiegoś lepszego rozwiązania.

  9. Jakiś czas temu miałem problem z zapamiętaniem haseł do różnych serwisów, postanowiłem spisać je wszystkie na kartce aby następnie gdzieś ją ukryć ale mieć doń dostęp. (Tak, kartkę papieru w książce uważam za dużo bezpieczniejszą formę przechowywania haseł niż składowanie ich na dysku w jakiejkolwiek postaci).
    Problem prozaiczny – co jeżeli ktoś znajdzie kartkę? ;)
    Nic odkrywczego, ale hasła zapisuję w postaci cyfr odpowiadających klawiszom na klawiaturze telefonu (np. ala – 252). Nie są to oczywiście hasła słownikowe, ani w ogóle konkretne słowa, więc ich rozgryzienie dla osoby postronnej byłoby nie lada zadaniem, a ja bez problemu jestem w stanie odczytać je sobie, gdyż “podstawę” każdego pamiętam.

    • To ja już wolę techniki steganograficzne, tj. w miejscu bitów najmniej znaczących ukryć zaszyfrowany i uprzednio skompresowany plik tekstowy. Nawet w takiej średniej jakości fotce (200-300KiB) uda się wykroić parę-paręnaście KiB bez widocznego dla ludzkiego oka zniekształcania obrazu. Tam idzie upchnąć kilkanaście MiB tekstu, pewnie i cała książka telefoniczna by się zmieściła. xD

    • Jak ktoś lubi dużo liczyć, to może ręcznie zaszyfrować wszystkie hasła algorytmem AES, zapisać je na kartce i zapamiętać główne hasło do ich odszyfrowania :D

  10. Tu jeszcze warto dodać, że wymuszenie stosowania trudnych do zapamiętania haseł (częsta zmienność również powiększą tą trudność) powoduje że ludzie częściej hasła zapominają.
    Kończy się to jakimiś stratami wydajności związanymi z odzyskiwaniem hasła i ponownym jego wymyślaniem.
    Koniec końców hasło trafia w najlepszym razie do notesu, a w najgorszym jest przyklejone do monitora na jakimś postitcie.

    Jeszcze tylko wspomnę pewną anegdotę jak na szkoleniu z bezpieczeństwa dla załogi firmy (nieinformatycznej) przedstawiony był problem łamania haseł, dlaczego proste hasła są niebezpieczne i również zaprezentowano przykłady haseł bezpiecznych m.in. wygenerowane losowo jako te najtrudniejsze do złamania.
    Po szkoleniu okazało się że spora część załogi zmieniła hasło na to “najbezpieczniejsze” które było omawiane na szkoleniu (wszyscy na to samo).

    • correct horse battery staple

    • Niestety, pomysł Randala w cale nie jest tak prosty do zapamiętania.
      https://www.youtube.com/watch?v=0SkdP36wiAU
      Przyznam, że te “niesłownikowe słowa”, hasła składające się z wymawialnych sylab, są rzeczywiście proste do zapamiętania.

      Pozwolę sobie zauważyć, że do niektórych systemów trzeba się czasami zalogować “w biegu”, na (o zgrozo!) dowolnym sprzęcie, który wpadnie pod rękę. Nie pamiętanie tego hasła własnym mózgiem (użycie menadżera haseł) nie pozwali się zalogować. Jak się używa znaków specjalnych, a trafi na klawiaturę z innym układem (ja zapamiętuję na przykład Ctrl+6 a nie ^ w haśle) to też klops. QWERTY polski programisty, niemiecki układ klawiatury, klawiatura w telefonie, Kindle… złapiesz inny sprzęt i zapomnij o zalogowaniu się.

  11. Zmiana hasła ma tylko jedną zaletę. Zatrzymuje skrypty z hardkodowanymi hasłami. Niektórym nie chce się wracać i je poprawiać. Nie chodzi więc o zatrzymanie istot myślących.

    Ale jestem tylko zwykłym BHPowcem:)

    • Ta, a potem przychodzi szef do IT i pyta dlaczego coś nie działa, a jak go IT prosi o wdrożenie czegoś, to nie ma kasy. :]

    • Wtedy rzucasz na biurko symulację kalkulacji największej tragedii jaką ocena ryzyka przewiduje i wycenę rozwiązania. I każesz wybierać, mówiąc, że jakby zmienił zdanie, to wie gdzie Cię szukać.

  12. W mojej firmie kiedyś wymuszano zmianę hasła co miesiąc! W związku z tym 50% użytkowników miała hasła typu Styczen2010 lub January2010 (w kolejnych miesiącach kolejne nazwy miesięcy). Jeśli ktoś miał zagraniczny kalendarz na ścianie to czasem używał niemieckiej bądź francuskiej nazwy miesiąca. :-)

  13. > To wszystko nie oznacza, że należy rezygnować z wymuszania zmiany haseł. (…) Trzeba się zastanowić nad częstotliwością wymuszania zmian, albo nad łączeniem wymuszeń z zachęcaniem użytkowników do utworzenia silnego hasła. Być może należałoby zastosować mechanizmy wymuszające tworzenie haseł wyraźnie odmiennych od starego?

    Ja mam inne wnioski. Wymuszanie wyraźnie odmiennego hasła brzmi tak samo jak wymuszanie wielkich liter/znaków specjalnych/cyfr w haśle. A nie ma nic gorszego dla użytkownika niż program który odrzuca wszystkie proponowane hasła bo wie lepiej. Nie ma po co uszczęśliwiać użytkowników na siłę, jeśli nie rozumieją/widzą potrzeby zmieniania hasła co miesiąc to zmuszanie ich do tego jest jak kopanie się z koniem. A zyski z wymuszania zmiany haseł są i tak niewielkie.

    • Niestety najczęściej wymuszona zmiana co miesiąc hasła do banku nie prowadzi automatycznie do częstszej zmiany hasła na poczcie ;]

  14. Powiem jako specjalistka z nieco innej gałęzi bezpieczeństwa. Nie ma sensu żadne “zachęcanie”. Należy w miarę możliwości szukać “technicznych wymuszeń” zabezpieczeń. Może jeśli hasło to za mało, wprowadzić inny sposób przyznawania dostępu do krytycznych zasobów? Może rozdać tokeny czy smartcardy z certyfikatami? Po prostu oznaczyć w regulaminie pracy w dziale o dostępie do zasobów chronionych, że jeśli dojdzie do nieuprawnionego dostępu na skutek użycia zbyt słabego hasła (lub przekazania hasła osobom trzecim czy zostawienia na widoku) i przez to pracodawca straci, to pracownik może zostać ukarany karą do trzykrotności wypłaty. I jak sobie ustawi dupa.8 to na własne ryzyko. Oczywiście pracownik powinien przy okazji być przeszkolony odnośnie polityki haseł w firmie tak, aby jeśli jego hasło spełnia tą politykę, to żeby nie był ukarany. Tak dla jasności.

    • “dojdzie do nieuprawnionego dostępu na skutek użycia zbyt słabego hasła” – jeśli w hasło jest zgodne z polityką bezpieczeństwa to winę za “zbyt słabe hasło” ponosi tworzący politykę, skoro pozwolono aby system przyjmował takie słabe.

    • W skrócie “jak zwalić winę za skopaną politykę firmy na pracownika-tułacza”?

      Gdzie pracujesz? Chcę wiedzieć co omijać?

    • Tak, w takim wypadku odpowiada tworzący politykę:)

      A mnie nie szukaj, nie ta branża;P

  15. Do identycznych wniosków doszedłem w pierwszej klasie liceum kiedy pani od informatyki zapowiedziała że każdy będzie musiał raz w miesiącu zmieniać hasło do swojego konta na szkolnych komputerach. Próbowałem wytłumaczyć bezsensowność pomysłu i zaproponowałem nawet coś w stylu na koniec roku każdy ujawni swoje hasła (w teorii powinny być i tak już całkowicie bezużyteczne ;) i zobaczymy jak bezpieczne były ale wtedy pół klasy się wzdrygnęło i stało się oczywiste że jako pierwsze hasło ustawili takie jak do maila / gg / czego tam jeszcze i zamierzali tylko zmieniać cyferke na końcu.
    Zresztą hasła to w ogóle temat rzeka *ekhm* CorrectHorseBatteryStaple.

  16. Przynajmniej mieli dobre chęci?

  17. Ja to wiedziałem bez badań :)

  18. Drogi Niebezpieczniku, niestety KeePass nie sprawdza się w zapamiętywaniu najważniejszego hasła – do swojego usera domenowego w Windows.
    Jeśli firma wymusza częstą zmianę tego hasła, to robi się problem. Jeszcze większy problem się robi, jeśli firma stosuje SSO, bo oznacza, że duża liczba aplikacji dostępnych zarówno tylko z sieci wewnętrznej, jak i aplikacji webowych jest zabezpieczona tym samym hasłem. Do tego dochodzi jeszcze niski limit nieudanych prób wpisania hasła, po którym konto jest blokowane, uciążliwa i długa procedura jego odblokowania.

    Idealny przepis na zmuszenie użytkownika na używanie bardzo prostego hasła, które będzie zmieniane w bardzo przewidywalny sposób i będzie używane w wielu krytycznych systemach przechowujących dane personalne, wrażliwe i tajne.

    Pracuję jako zewnętrzny konsultant dla różnych międzynarodowych korporacji i praktycznie w każdej występuje podobny problem. Większość ma jakieś systemy, które są dostępne z zewnątrz i używają hasła domenowego. Według mnie jest to tykająca bomba zegarowa.

    • “Według mnie jest to tykająca bomba zegarowa.”

      Dokladnie tak jest. Na szczescie co bardziej rozsadni zaczynaja implementowac MFA, czyli nie ma logowania bez telefonu/SMSa na komorke, jesli logujemy sie z zewnatrz. Uwazam, ze oddzielne hasla/konta do systemow publicznych i tak bylyby bezpieczniejsze, ale wtedy helpdesk otrzymuje pewnie wiele telefonow, ze to jedyne i wlasciwe haslo nie dziala na web poczcie.

    • Z SSO to trochę bzdura. Jeśli nie ma SSO to ludzie stosują na każdym systemie łatwe hasła bo w pracy nie będę się wysilał na 100 trudnych (do zapamiętania) haseł.
      Więc SSO jest jedynym sensownym rozwiązaniem takim “keepass-em” na poziomie HW. Problem tylko w domenowym, które powinno wymuszać coś bardziej skomplikowanego.

    • @wer – niekoniecznie. Jeśli firma szkoli ludzi z użycia keepasa i każe im go użyć, to wtedy masz jedno, pewnie nieskomplikowane hasło do odblokowania windowsa i osobne hasło do każdej aplikacji, które już jest mocno losowe i skomplikowane. Przy użyciu odpowiednich pluginów do przeglądarek wszystkie hasła mogą być automatycznie wpisane.
      Przy SSO zawierzasz często kilkanaście systemów jednemu hasłu.

  19. Oczywista oczywistość, która nie jest niestety oczywista (sic!) dla naszego, kochanego GIODO, które jest 20 lat za murzynami. Pierwszy etap każdej kontroli GIODO, to wycieczka do Administratora i prośba o zrobienie printscreen’a z polityki haseł do AD czy tam innego SI. Jeżeli do tego dodamy SSO do SI oparte na AD, to mamy piękny temat – no ale ni w ząb nie wytłumaczysz tego “pani Krysi” z GIODO, która ma w RMSWiA jak wół: “nie rzadziej niż co miesiąc” i trzyma się tego jak Kaczyński teorii zamachu.

  20. GIODO wymusza ustawowo zmianę hasła i karze za brak zmian co miesiąc… w dużych firmach jest z tym niemały problem.

    • Myślałem, że to żart…

  21. Na wszystko wystarczy blokada po stronie serwera: 3 nieudane proby logowania z tym samymy loginem i haslem: blokujemy konto.

    • *oczywiscie: tym samym loginem LUB haslem.

    • Dyrdymala:aaa
      Dyrdymala:bbb
      Dyrdymala:ccc
      Gratulacje, już się nie możesz zalogować

  22. Myślę, że dobrym pomysłem byłoby nauczanie ludzi w jaki sposób tworzyć zarazem bezpieczne (długie, niesłownikowe) jak i łatwe do zapamiętania hasła. W ten sposób nawet przy zmianie hasła o jedną cyferkę hasło w dalszym ciągu jest hasłem trudnym. Szczególnie jeśli chodzi o hasła dosyć długie (od co najmniej 12 znaków wzwyż – o ile taka osoba nie musi tego hasła wpisywać co kilka minut – w takim przypadku nie będzie na pewno stosowała tak długiego hasła). Przykładem takich haseł są stałe ciągi znaków bądź cyfr (na przykład stałe matematyczne bądź pierwsze litery słów ulubionego utworu muzycznego, oczywiście w razie potrzeby odpowiednio zmodyfikowane). W ten sposób hasło jest “losowe” w przypadku ataków słownikowych, łatwe do zapamiętania (nawet hasła rzędu 20 znaków), łatwe do “odtworzenia” w przypadku zapomnienia hasła i bardzo trudne do odgadnięcia czy znalezienia nawet metodą brute force.

  23. Logowanie osobistym kluczem sprzętowym + osobiste hasło ustawiane przez usera + kod z SMS, or GTFO. A nie wymóg pamiętania 200 haseł, każde do czego innego.

  24. Niekoniecznie, mozna przechowywac hashe czesci hasel, np grup kolejnych znaków, wtedy jesli powtórzy się hash czesci hasla – odrzucić nowe haslo. Oczywiscie czesci haseł pomieszać z jakimś salt-em aby hashe nie były łatwe do odwrocenia.

  25. Problemem nie jest częste zmienianie hasła, tylko wymuszenie, żeby nie było ono takie samo jak poprzednie x haseł. Myślę, że użytkownik byłby w stanie zapamiętać 2-3 hasła, które używałby na przemian, ale nie da rady zrobić tego dla 10 haseł ‒ dlatego wybiera podobne.

    • password1, password2, password3, … password12 – hasło na każdą porę roku

  26. Silne hasla w prosty sposob. Odklejamy kod kreskowy UPC od soczku z biedronki, kod kreskowy z MAC adresem z nowego laptopa, i tracking z paczki UPS co wczoraj dostalismy.
    Podlaczamy do komputera skaner kodow kreskowych, kanujemy je po kolei.

  27. Hasło często zmieniane w 90% dzieli się na 2 grupy: Numerkowe (opisane powyżej np. “Owca11, Owca 22…”) oraz Geograficzne (zmieniane o pozycję na klawiaturze np “Qwert1, Werty1, Rtyui1… lub 2wsx, 3edc, 4rfv…). Zgodnie z tą zasadą dało by się odzyskać znacznie więcej haseł. Niestety nie uwzględniono tego drugiego schematu.

  28. Ale cała idea zmiany haseł powstała po to, żeby starego hasła nigdy już nie użyć. A idea powstała zapewne w czasach “starożytnych”, gdy wspólne administrowanie czymś oznaczało dzielenie jednego hasła i cykliczne zmiany powodowały, że “zapomniany” admin automatycznie tracił dostęp. Zmiana hasła po to, żeby za jakiś czas go użyć jest bez sensu. Jeśli system wymusza pamiętanie 10 kolejnych haseł, to w przypadku wycieku haseł oznacza, że potencjalny włamywacz dostanie się do minimum 10% kont w porównaniu do tego gdy nie ma wymuszanej zmiany haseł – a powyższy artykuł udowadnia, że ten procent w sumie sięgnie gdzieś 25%.
    Podobnie jest z blokowaniem konta po 3 błędnych logowaniach – też wymaganym przez któryś urząd. Przecież to ewidentnie pochodzi z czasów 4 cyfrowych PINów. A teraz mamy długie hasła, zawierające różne znaki i zalecane niesłownikowe… do tego wprowadzane często przez maskowanie albo zmieniane co miesiąc.
    Najbardziej wkurza mnie to, że w przepisach tak jest i już, a nie dlatego, że są jakieś naukowe podstawy do tego. I nikt nie chce się nadstawiać, żeby durny przepis zmienić.

  29. Być może należałoby zastosować mechanizmy wymuszające tworzenie haseł wyraźnie odmiennych od starego?” – To pojawią się żółte karteczki na monitorach i pod klawiaturami

  30. Ja na prawie każdej stronie, która WYMAGA silnego hasła z użyciem dużych liter i znaków specjalnych… hasło pamiętam może przez tydzień, a później jak się tam loguję po miesiącu lub więcej, to… ni cholery nie pamiętam hasła i muszę używać resetowania. Jeszcze, żeby dana strona przypominała o wielkości liter w haśle, ale tak to ciul wie – nigdy nie pamiętam na jakiej stronie mam hasło małymi, a na jakiej z dużymi literami. A haseł też mam kilka i tych z kombinacjami dużych liter często zapominam.

    W sumie, to jakby chcieć korzystać z silnych jednorazowych haseł, to właściwie można przy każdym logowaniu generować przypominanie hasła. A maila wtedy strzec jak oka w głowie.

  31. Frazy – pozwólcie ludziom używać frazy, np. min. 20-znakowe; 40 lat łamania :) (gdzie tu sens). Plus coś z OTP.

  32. A teraz niech mi ten mistrz bezpieczeństwa powie – jak mam używać keypassa na stacji roboczej która jest blokowana hasłem – na przykład w firmie… hmm problem? :) Mam go trzymać – o zgrozo – na telefonie? I to jeszcze może prywatnym jak służbowy nie jest popularnym smartphonem z zamkniętym środowiskiem? Ustawić hasło 20 znaków i za każdym wyjściem do toalety przeklepywać je ze smartphona? Czytam różne badania jak również sam jestem praktykiem w tej kwestii i uważam iż tutaj jednym z lepszych rozwiązań jest stosowanie SSO w połączeniu z kartami dostępowymi z wbudowanym chipem – karta dostępowa zapewnia nam swobodne poruszanie się po firmie a stacja robocza z czytnikiem kart chipowych pozwala nam na swobodne logowanie się do systemu. Karta wydawana z sekretną kopertą z pinem + zablokowanie możliwości zmiany pinu. Zero haseł, zero pamiętania, pozostaje PIN (raz na jakiś czas można przejść się po pracownikach – 1 – 2 dni roboty aby spardzić czy piny nie sa napisane na karcie – jak jest – zdjęcie, protokół, karta nożyczkami na pół, obciążenie kosztami wydania nowej – to NA PRAWDĘ DZIAŁA, po 3 takich akcjach nikt już nie napisze pinu na karcie, z resztą jak ktoś nie potrafi zapamiętać 6-cyfrowego pinu, który się nie zmienia to chyba nie nadaje się do żadnej odpowiedzialnej pracy). Sprawne działanie – aby pracownik wyszedł z pokoju musi wyjąć kartę z kompa co powoduje jego zablokowanie. Certyfikaty czy klucze na karcie są zmieniane kiedy nam się to podoba. Tak, problemem zawsze jest zagubienie bądź kradzież karty. W takim przypadku atakujący będzie miał dostęp do pomieszczeń biurowych do czasu aż karta nie zostanie zgłoszona jako zagubiona – problemem są weekendy – zagubienie karty w piątek wieczorem zazwyczaj owocuje iż do poniedziałku rano karta nie zostanie zgłoszona – weekendowe depozyty kart na ochronie dla osób pracujących z wyjątkowo wrażliwymi danymi eliminują ten problem. Uwierzcie mi – telefon w piątek o 22 od ochrony, dlaczego karta nie została zdana i jeżeli nie znajdzie się na ochronie w przeciągu 20 minut zostanie unieważniona, a pracownik obciążony kosztami wydania nowej, działa wyjątkowo otrzeźwiająco. Dodatkowo godziny pracy w firmie i systemie (pracownik może wejść i logować się w określonych godzinach, każde nadgodziny musza być zgłaszane – co fajnie można powiązać z systemem kadrowo-płacowym). Po tej godzinie stacja jest z automatu blokowana + wszystkie wejścia do firmy też są blokowane. Katalog domowy lub jeszcze lepiej – workspace – na serwerach firmowych rozwiązuje problem padnięcia karty (która przy szyfrowanym dysku jest konieczna aby zalogować się do kompa) – zaoranie maszyny i wydanie nowych kluczy nie powoduje (oczywiście do pewnego stopnia) utraty danych potrzebnych pracownikowi do pracy. Zabezpieczenie czytnikiem linii papilarnych jest bez sensu gdyż – zgodnie z polskim prawem pracownik nie musi wyrazić zgody na zbieranie danych biometrycznych, po drugie – tanie czytniki łatwo w konia zrobić dobrej jakości wydrukiem odcisku palca (a zdobycie dobrej jakości odcisku palca – żaden problem), po trzecie skóra na palcach też się łuszczy, kurczy, pęcznieje lub po prostu pęka – dobrej jakości czytniki też potrafią to wychwycić a wtedy – zonk. Nie mówiąc o akcjach typu – różnego rodzaju kremy które świecą dla czytnika lub go zasyfiają czy zwykłe skaleczenia. Stacje zdalne i dostępy zdale to w ogóle OSOBNA bajka.

    • Kompleksowe logiczne rozwiązanie, da się precyzyjnie przypisywać uprawnienia, da się rozszerzać o kolejne ficzery. Bez niekończących się bezskutecznych szkoleń userów o bezpieczeństwie haseł. Natomiast nie wiem, może ktoś bardziej doświadczony w temacie GIODO by napisał – czy taki system spełnia ich wymagania, czy forsują zmieniane hasła?

  33. A nie można w firmach używać czegoś typu google authenticator? Takie dwuetapowe uwierzytelnianie by było rozwiązaniem wielu problemów. A i tak w wielu firmach telefony dostaje się służbowe.

    • Zgadzam się w 100%
      Aczkolwiek trzeba mieć na uwadze, że to jest po prostu drugie hasło, które można w dość prosty sposób uzyskać (Google Authenticator trzyma je czystym tekstem na Androidzie, więc jeżeli telefon nie jest szyfrowany to wystarczy root i po sprawie). Niemniej jednak zdobycie tego drugiego hasła mocno komplikuje ewentualne włamanie i generalnie to już raczej ktoś musi konkretnie chcieć włamać się na dane konto.

  34. Po co trzymać poprzednie hashe haseł? Rozumiem, żeby sprawdzić, czy nowe nie jest takie jak stare. Po udanej zmianie stary hash skasować. Wiem, że można sprawdzać kilka ostatnich haseł, ale można by je trzymać w innej bazie. Tak, żeby nie wyciekły i nie ułatwiły odgadnięcia aktualnego hasła.

  35. Jak mi kiedyś przy zmianie hasła wywaliło 10 punktową broszurkę jakie hasło ma być, wpisałem chyba 4 razy różne wg wzorca i nadal, żadne nie pasowało, ale to samo hasło z lekka zmianą przeszło to jak mam do tego podejść, uzytkownik leniwy czy programista sknocił?

    • Raczej symptom tego, że programista NIE sknocił… :)

      Hasła na serwerze powinny być przechowywane w postaci nie umożliwiającej ich odczytania – czyli zahashowane. W skrócie wygląda to tak, że hasło jest w taki sposób przekształcane, aby nie dało się tego procesu odwrócić. Gdy użytkownik się loguje, hasło które podał jest przekształcane w ten sam sposób i postać przekształcona jest porównywana.

      Jest od tego jeden wyjątek – jeśli przy zmianie hasła musisz podać swoje stare hasło to algorytm jest w posiadaniu Twojego bieżącego hasła i może je porównać z nowym bez potrzeby zapisywania któregokolwiek z nich gdziekolwiek bez zahashowania.

      Taka operacja umożliwia sprawdzenie wyłącznie, czy hasło jest dokładnie takie samo. Nie istnieje tutaj możliwość sprawdzenia podobieństwa.

  36. Ja do trzymania haseł używam pewnego urządzenia elektronicznego, które może komunikować się z użytkownikiem tylko poprzez klawiaturę i wyświetlacz. Hasła są zabezpieczone głównym hasłem – nie wiem, czy są przechowywane w pamięci w postaci zaszyfrowanej, ale i tak trudno się do nich dostać. Tego typu sprzęt można nawet skonstruować samemu, np. używając mikrokontrolera ATmega (najlepiej za pomocą fusebitów zablokować możliwość odczytu firmware’u). A jeśli jednak zdecydujemy się na rozwiązanie programowe, to najlepiej open source (wtedy można zweryfikować, czy nie ma backdoorów), ewentualnie też samemu napisać :)
    Szkoda, że żadne znane mi serwisy internetowe nie oferują zaszyfrowania (GPG) maila do zresetowania hasła – przez to admini skrzynek e-mail mają dostęp do praktycznie wszystkich kont zakładanych przez ich użytkowników. Formularz do resetowania hasła mógłby mieć możliwość uploadu pliku z kluczem publicznym, ewentualnie pole do wklejenia go w postaci tekstowej lub możliwość wskazania serwera kluczy, na którym wcześniej go udostępniliśmy.

  37. Sama idea haseł jest nienaprawialna od strony technicznej, po prostu. Siła hasła musi wyjść z chęci zabezpieczenia przez użytkownika, a nie z reguł, polityki haseł czy jakiegokolwiek zmuszania. Gdy rejestruję się na jakiejś badziewnej stronce, żeby napisać jakiś głupi (a czasem i mądry!) komentarz, to mam ochotę wpisać hasło typu “mamWdupieZEktosTOzgadnie123”. Z drugiej strony tam, gdzie mi zależy, mam skomplikowane hasła (i te najważniejsze puszczone przez AES->base64 na drukarkę – raz już przepisywałem…). No to jakie rozwiązanie?

    Jako pracodawca (wiadomo, że pracownik ma gdzieś bezpieczeństwo systemów firmowych) – zapuszczamy łamanie haseł i co miesiąc typujemy najlepszych pracowników do obcięcia premii “za narażanie swoją głupotą bezpieczeństwa danych firmowych”. Recydywistom wręczamy dyscyplinarkę.

    Jako bank (z kolei to nam nie zależy zbytnio) – dla prostych haseł (znamy je na etapie ustawiania, a przy maskowanych to i w dowolnym momencie) wymuszamy SMS do logowania.

    Jako dostawca usług – po prostu blokujemy konta, na które ktoś się zaczyna masowo logować z całego świata; te hasła wyciekają nie dlatego, że są proste, tylko przez zainfekowane komputery.

    Wymuszanie zmiany hasła po upłynięciu jakiegoś terminu to się może sprawdzało w czasach przedbotnetowych, czyli z 15 lat temu.

    • “Jako dostawca usług – po prostu blokujemy konta, na które ktoś się zaczyna masowo logować z całego świata” – a co z użytkownikami TOR?

    • Użytkownicy tora mają problem. Oni, nie dostawca usług. Wybacz, ale gdy mówimy o biznesie, to ten 1% generujący same problemy należy odciąć. Niech idą do konkurencji, psuć im nerwy, albo niech płacą za droższe usługi. O ile nie świadczysz usług konkretnie pod taki target – ale wtedy wyciekami haseł użytkowników masz się w ogóle nie przejmować (bo to nadal jest ICH problem).

      To tak ogólnie – a konkretnie, to gdybyś widział “na żywo” wyciek hasła to wiedziałbyś, że masz setki JEDNOCZESNYCH połączeń z całego świata i można to spokojnie ciąć. A jeżeli legalny uzytkownik korzysta z tora, to cóż – będzie sobie wpisywał kody SMS czy inne OTP.

  38. Ciekawi mnie jedno. Jeśli mamy analizować czy nowe hasło nie jest „zbyt podobne” do nowego hasła, to czy w takim wypadku oznacza to, że stare hasło mamy przechowywane w systemie w sposób umożliwiający jego odczyt (czyli jawnie lub odwracalnym szyfrowaniem)? No bo jak inaczej?

    Jak to zrobić bezpiecznie?

    • Niekoniecznie. Tylko w takim przypadku przy zmianie hasła trzeba pytać użytkownika o aktualne.

    • A wtedy użyszkodnik ma prawo nie pamiętać starego.

  39. A wiecie kto nam to zgotował? Spamerzy. To przez nich człowiek musi zakładać konta w n+1 stronek w necie żeby choćby kilka słów komentarza dodać (chwała Niebezpiecznikowi że tutaj nie trzeba). Były rozwiązania jak openid, oauth itd… Ze 20 czy więcej ich, każde ze sobą niezgodne i każdy dostawca pakujący jakieś swoje niestandardowe rozszerzenia. No a i tak robota z implementacją leżała po stronie dostawcy stronki.

    btw: Wiecie że NFZ wymusza zmianę hasła co 30 dni? Nie co miesiąc, to jeszcze miałoby jakiś cień logiki, tylko co równo 30 dni. I wyobraźcie sobie tysiące userów (bardzo często już blisko wieku emerytalnego) mających hasła nie tylko z miesiącami i numerkami, ale też z pilnością odliczających na kalendarzu kiedy wypada termin zmiany hasła w kolejnym miesiącu, bo jak się prześpi to nie tylko będą odcięci, ale też żeby zresetować hasło muszą napisać wniosek na papierze i wysłać go snail mailem do wojewódzkiego oddziału, który ma 14 dni na rozpatrzenie, itd… Madness!

    Parę osób wymieniło w commentach smartcardy itp jako dobre wyjście. Zgadzam się, może nawet takiego smartcarda zrobić w formie dongla na usb (może nawet jakiś odpowiednio spreparowany pendrive by się nadał, żeby jednocześnie koszt był niski), żeby nie trzeba było dedykowanych czytników do każdej maszyny kupować. Ludzie nie mają kłopotu z bezpiecznym trzymaniem przedmiotów fizycznych, jak np klucze do własnego domu. Problem tylko jest w drugą stronę, aka dlaczego w ogóle mamy loginy i hasła – ponieważ najłatwiej zrobić system autentyfikacji oparty na najbardziej podstawowej metodzie wprowadzania danych przez usera. Namówić teraz developerów wszystkich systemów logowania (nie tylko webowych), żeby zaimplementowali kolejny mechanizm (który pewnie wcale niekoniecznie będzie ustandaryzowany, vide moje wcześniejsze wspomnienie openid i podobnych) logowania, developerów systemów na około tego żeby ten mechanizm obsługiwali (na poziomie systemu operacyjnego, biblioteki GUI, przeglądarki www)… Wiecie do czego zmierzam.

    We’re doomed!

  40. Albo zainwestowac zainwestowac w Thycotic (Hej, podstawowa wersja jest za darmo!..)

  41. Co do nfz. To kazdy system w ktorym sa dane osobowe musi wymagac zmiany hasla co max. 30 dni jezeli jesr podlaczony do siecie. Wynika to bezposrednio z rozlorzadzenia do ustawy. Czyli jezeli w twojej firmie sa przesylane dane osobowe mailem to haslo do maila musi byc zmieniane ci 30 dni. Co wazniejezze serwery musza sie znajdowac na terenie RP. A wystarczy ze przetwarzacie zamowienia od klientow prywatnych i musicie tak robic.Po drugie jezeli haslo wygasnie nie trzeba nic na papierze. Administrator danej jesnostki moze to haslo zmienic jezeli uzytkownik go nie pamieta. Moze to tez zrobic sam uzytkownik. Nie wiem skad wzielo Ci sie 14 dni. Nawet jak nikt nie apmietal hasla to zawsze udawalo sie to zalatwic w max. 2 dni.

    • 1. “jezeli w twojej firmie sa przesylane dane osobowe mailem to haslo do maila musi byc zmieniane ci 30 dni”. A dane i transmisja nie muszą być chronione? Mail jest jak pocztówka, hasło do maila chroni najwyżej zlecenie wysyłki.
      2. “serwery musza sie znajdowac na terenie RP”. Raczej UE. Gdzie indziej też mogą być, tylko trzeba spełnić określone wymagania. I niekoniecznie skórka warta wyprawki.
      3. Rozporządzenie i uodo to pola minowe. Pozornie proste, ale czasem pod ich wymaganiami kryje się zupełnie coś innego, niż się mogłoby wydawać. I bardzo trudno jest się do nich uczciwie dostosować, tj. prawnie, organizacyjnie i technicznie.

  42. “3. Rozporządzenie i uodo to pola minowe. Pozornie proste, ale czasem pod ich wymaganiami kryje się zupełnie coś innego, niż się mogłoby wydawać. I bardzo trudno jest się do nich uczciwie dostosować, tj. prawnie, organizacyjnie i technicznie.”
    No właśnie. Ja uważam że ustawodawca choćby na podstawie tych badań powinien w końcu zaktualizować to rozporządzenie a 29 kwietnia 2004r. dla poziomu podwyższonego i wysokiego m.in. w zakresie wymogu zmiany haseł. Jakoś inaczej to sformułować. Albo zrezygnować z niego a wprowadzić zapis “użytkownik obowiązany jest tworzyć hasła uznane powszechnie za twarde i obowiązany je zmieniać w przypadku podejrzenia ujawnienia” wymuszenie np co 5 mcy. Wogule rozporządzenie

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.