Security Awareness – hasła (teoria)

Pod nazwą Security Awareness postanowiliśmy wypuścić serię artykułów, które mają za zadanie zwiększyć świadomość użytkownika o jego zachowaniu i bezpieczeństwie w cyberprzestrzeni. Ponieważ dana tematyka jest bardzo obszerna, a chcielibyśmy jak najdokładniej ją omówić, niniejszy artykuł poświęcamy wyłącznie na teorię. Część druga będzie skupiała się na aspektach praktycznych.Ten artykuł, jak i następne, będą podzielone według następujących części:

  • Ciekawostka
  • Merytoryka
  • Najnowsze statystyki
  • Przykłady praktyczne
  • Narzędzia wspomagające
  • Dobre praktyki, łatwe do wdrążenia w życiu codziennym.

W bieżącym artykule zrealizujemy pierwsze trzy wyżej wymienione punkty. W ramach tychże punktów zapoznasz się z takimi tematami jak:

  • Historia haseł w pigułce
  • Hasła w życiu współczesnym
  • Polityka haseł
  • Problemy pierwszego świata
  • Statystyka najpopularniejszych haseł
  • Wymogi prawne, czyli RODO w 2020 roku.

Historia haseł w pigułce


Wymóg udowodnienia swojej tożsamości w zamian za coś wartościowego – informacje, różnego rodzaju dobra i gratyfikacje – pojawił się na kartach historii wiele wieków przed wynalezieniem pierwszego urządzenia elektronicznego.
Odruchowo od razu myślimy o komputerach, o pierwszych kodach wykorzystywanych w grach wideo, a może nawet o pierwszych komórkach. Jeśli jednak się nad tym zastanowić, to przecież tajemnice nie są niczym nowym. Dlatego też same hasła są znacznie starsze.

Przykładowo już w starożytnym Egipcie hasła były używane jako tajny szyfr, wskazujący drogę do grobowca. Wykorzystywali je również strażnicy, którzy za pomocą systemu haseł odpowiadających określonym słowom, przekazywali sobie informacje.
W Rzymie zaś legioniści opracowali prostą metodę do rozpoznania, czy nieznajomy był przyjacielem, czy wrogiem. Aby to udowodnić, musiał podać określone hasło.

W wojsku i konspiracji powszechnie funkcjonował system hasło – odzew. Odzewem było umówione sformułowanie, będące odpowiedzią na podane hasło. Umożliwiało to szybkie rozpoznawanie się osób.

Jednak w kontekście komputerów, hasła po raz pierwszy pojawiły się dopiero z początkiem lat 60’ XX wieku. Compatible System Time-Sharing (CTSS) – system operacyjny wprowadzony w MIT w 1961 roku, był pierwszym systemem komputerowym wyposażonym w formularz logowania. CTSS zawierał polecenie LOGIN, które wymagało podania hasła użytkownika.
Wprowadzenie haseł w tym przypadku miało na celu rozwiązanie problemu pracy wielu użytkowników jednocześnie, na tym samym procesorze rdzeniowym, zasilającym osobne konsole.

Pierwsze kroki, w każdej nowopoznanej dziedzinie, zawsze są niepewne i skazane na wiele porażek. Tak też było w tym przypadku. Z racji prostoty pierwszych formularzy logowania, były one podatne na liczne ataki, w tym także pierwsze naruszenie danych, które polegało na podmianie powitalnego pliku tekstowego na główny plik haseł systemu, dzięki czemu każdy logujący się użytkownik, otrzymywał na starcie zapewne szokujący widok.

Wątek historyczny wielu kwestii informatycznych, które należałoby dopowiedzieć, będzie omawiany szerzej w oddzielnej serii temu poświęconej. Celem takowej będzie wyłącznie kontekst historyczny i droga przebyta przez wiele technologii, które zostały ulepszone na tyle, że wkradły się do naszego życia codziennego.

Hasła w życiu współczesnym


Niezaprzeczalnie hasła są nieodłącznym elementem naszego życia codziennego. Niemniej dostarczają nam tyle samo problemów, co pożytku.
Każdego dnia jesteśmy zmuszani do używania różnego typu form uwierzytelniania, które w dużej mierze zaśmiecają naszą pamięć. Przykładowo:

  • płatność kartą za zakupy powyżej 50-100 pln – kiedy musimy wpisać PIN;
  • chcemy wejść na swoje osiedle – musimy wpisać PIN;
  • logowanie do komputera w pracy – musimy wpisać hasło;
  • prywatny komputer – hasło;
  • logowanie u koleżanki na swoją pocztę (co jest szczególnie odradzane z punktu widzenia bezpieczeństwa, ale mnóstwo osób tak robi) – ohh, dwustopniowa weryfikacja, jak cudnie!;
  • logowanie na Librusa naszej pociechy – identyfikator i hasło;
  • a jak jeszcze tego samego dnia wpadnie nam do głowy zapisanie dziecka do lekarza, to przecież bez PESELu swojego i pociechy ani rusz.

Logując się do niezliczonej ilości serwisów, takich jak portale społecznościowe, instytucje finansowe, czy wiele innych ważnych dla nas miejsc, niewątpliwie zależy nam, aby dostęp pozostał ograniczony do nas samych. Warto wtedy starać się jak najlepiej wykorzystywać wskazówki polityki haseł.

Polityka haseł


Wobec tego, czym właściwie jest polityka haseł?
Jest to zestaw reguł, mających na celu zwiększenie bezpieczeństwa, poprzez zachęcanie użytkowników do stosowania bezpiecznych haseł i właściwego ich używania.

Zapewne nie wszyscy mieli okazję zetknąć się z tym terminem, ale każdy na pewno doświadczył trudu, jakim jest stworzenie silnego hasła. Tym trudniej, jeśli ma być ono naprawdę bezpieczne, ponieważ tutaj kluczowe są trzy filary:

Unikatowość

Złożoność

Częstotliwość

Dane hasło wykorzystujemy tylko raz, wyłącznie do jednego miejsca/serwisu/etc. Odnosi się do poziomu skomplikowania hasła. Im bardziej skomplikowane, tym lepiej. Jest to przedział czasu, po którym zmieniamy dane hasło.

Duże znaczenie ma także długość hasła. Pomimo wszechobecnego stereotypu min. 8 znaków, najnowsze badania dowodzą, że bezpieczne hasło zwykłego użytkownika powinno mieć min. 12 znaków, a liczba ta znacznie zwiększa się w przypadku np. administratora systemu.

Jakie cechy powinno mieć bezpieczne hasło?

  • długość nie mniejszą niż 12 znaków;
  • brak kombinacji logicznych (np. klawisze klawiatury leżące obok siebie lub popularne zestawienia słów, np. apple_pie, legia_pany);
  • nie może zawierać Twojego imienia, nazwiska (panieńskiego Twojej mamy też nie), nazwy użytkownika ani żadnych informacji o bliskich Ci osobach;
  • nie jest kopią ani modyfikacją poprzedniego hasła;
  • powinno zawierać wielkie i małe litery, liczby i znaki specjalne (takie jak: $, &, #).

Niestety samo zastosowanie unikatowości i częstotliwości nie wystarczy. Jak już wspomnieliśmy, są trzy główne filary – muszą one występować wspólnie, w przeciwnym razie nadal jesteśmy podatni na atak.
Oczywiście stosowanie się do omówionych filarów zakłada, że nie będziemy operować hasłami typu: „qwerty”, „0987654321”, „pineaple123” itp.

Aby stworzyć silne hasło, wykorzystując słowa obecne w słowniku, powinniśmy użyć kilku różnych słów pozbawionych ciągu logicznego i złączyć je ze sobą. Taki zabieg nazywany jest frazotechniką. Przyjmujemy założenie, żeby słowa były jak najmniej ze sobą powiązane. Przykładowo „zabytkowy_rewolwer_Dziadka1957” nie jest zbyt dobrym pomysłem, ale jeśli połączymy np. imię swojego psa, ulubiony kolor, jedzenie, nazwę kapeli, jakiś dobrze kojarzący się nam rocznik i znak specjalny, to możemy otrzymać całkiem dobrą kombinację.

Mnemotechnika także okazuje się przydatna. Jest to technika ułatwiająca zapamiętywanie poprzez kojarzenie i przywoływanie informacji. Wykorzystując ją w praktyce przy tworzeniu dobrego hasła, możemy posłużyć się np. swoim ulubionym cytatem. Załóżmy, że wykorzystamy do tego celu: „Cierpliwość i wytrwałość mają magiczne działanie – dzięki nim trudności znikają, a przeszkody ulatniają się.”. Teraz bierzemy pierwsze litery słów, nie zapominając o złotych zasadach tworzenia haseł – dodajemy swoją ulubioną liczbę lub rocznik urodzenia, i jeżeli nasz cytat nie zawiera myślnika, to także jakiś znak specjalny (np. przecinek, gwiazdkę) – i hasło gotowe: Cwmmd-dntzpus92. Najważniejsze, żeby takie hasło nie było za krótkie (czyli zależy nam na rozbudowanym cytacie) oraz żeby nie tworzyło popularnego skrótu.

Możemy również skorzystać z prostego generatora haseł, w którym zaznaczamy konkretne wymagania: duża litera, mała litera, cyfra, znak specjalny, przykładowo min. 12 znaków; i w efekcie generator stworzy dla nas gotowe hasło: Y#XnFH6r=h$/
Takie hasło jednak trudno jest zapamiętać, dlatego do tego typu rozwiązań zazwyczaj wykorzystuje się jakieś oprogramowanie, np. menadżer haseł.

Porady dotyczące tworzenia haseł ewoluują ramię w ramię z rozwijającą się technologią i należy mieć to na uwadze. Co raz bardziej popularne staje się uwierzytelnianie wielopoziomowe – jest to sposób zabezpieczenia i autoryzacji podczas logowania, który oprócz identyfikatora użytkownika i hasła, wymaga (w kolejnych etapach) podania kodu lub frazy przesłanej na powiązane urządzenie przenośne (np. smartfon, tablet). Na tym etapie mamy do czynienia z weryfikacją dwuetapową (two factory autentication2FA). W dalszych etapach (będących już uwierzytelnianiem wielopoziomowym) wykorzystywane są mniej popularne, ale równie dobre mechanizmy:

  • klucze sprzętowe – oprogramowanie specjalistyczne (np. w postaci USB);
  • karty dostępowe – przypisany dostęp do określonych stref budynku;
  • mechanizmy biometryczne:
    • linie papilarne – obecnie popularnie stosowane w urządzeniach mobilnych;
    • tęczówka oka – ze względu swojego skomplikowania, jest to mechanizm wykorzystywany w systemach podwyższonego ryzyka; system dokonuje lokalizacji oczu i wykonuje zdjęcie tęczówki w bardzo wysokiej rozdzielczości, po czym generuje kod na podstawie punktów charakterystycznych i porównuje go z oryginałem;
    • brzmienie głosu – łączy w sobie czynniki behawioralne (jak unikatowy sposób wypowiadania się każdej osoby) z uwarunkowaniami fizycznymi (takimi jak długość kanału głosowego i budowa układu oddechowego, które wpływają na barwę głosu);
    • geometria dłoni – urządzenie wykonuje trójwymiarowe zdjęcie dłoni, rejestrując długość, szerokość, grubość czterech palców, wielkość obszarów pomiędzy kostkami, a także wszystkie cechy charakterystyczne;
    • układ naczyń krwionośnych dłoni – urządzenie na podczerwień skanuje sieć naczyń krwionośnych i porównuje ją z zapisanym wzorcem; jednocześnie wychwytuje przepływ krwi przez skanowane naczynia, dlatego niemożliwym jest oszukanie systemu, wykorzystując martwą tkankę;
    • biometria behawioralna – zyskała rozgłos dzięki wykorzystaniu do bankowości elektronicznej; system zapamiętuje sposób pisania po klawiaturze i ruchy kursorem, dzięki czemu przy kolejnych zalogowaniach może sprawdzić czy z serwisu korzysta uprawniony użytkownik.

Problemy pierwszego świata


Podczas licznych rozmów – które sami przeprowadziliśmy lub byliśmy świadkami – z ludźmi spoza branży, gdy w pewnym momencie pojawiał się wątek bezpieczeństwa w cyberprzestrzeni i polityki haseł, nawet najbardziej rzeczowy i światły rozmówca wpadał w zakłopotanie.

W takiej sytuacji najczęstszymi reakcjami były:

  • A po co mi tak długie hasło, że sam będę miał problem z jego zapamiętaniem?
  • Więcej czasu stracę na wpisywanie takiego skomplikowanego hasła, niż to warte;
  • Te wszystkie magiczne sztuczki kosztowałyby mnie zbyt wiele zachodu;
  • Mam wystarczająco silne hasło, więc czemu nie mogę go wykorzystać we wszystkich serwisach?
  • A kto chciałby mnie zhakować?

I tak dalej…

Niestety jest to pogląd, który obecnie jeszcze prezentuje większość społeczeństwa, ale wszystko jest na dobrej drodze ku temu, aby te społeczeństwo wyedukować.
Co raz więcej słyszy się o polityce haseł i co raz trudniej przejść obok tego obojętnie. Ludzie, którzy jeszcze nie zainteresowali się tematem, najpewniej nigdy nie doświadczyli utraty danych lub finansów wskutek włamania, dlatego stają oporem przed czymś nowym, bo uważają to za zbędne.

Człowiek jest z natury leniwy, przez co zawsze będzie najsłabszym ogniwem całego systemu bezpieczeństwa, ale wykazując trochę dobrej woli i zaangażowania, możemy się naprawdę dobrze zabezpieczyć.
Używanie zawiłych i wyczerpujących haseł dostępu ma swoje plusy, jak i minusy. Daje ono  (niekoniecznie) pozytywne, łudzące poczucie bezpieczeństwa, ponieważ ośmioznakowe hasło, składające się z co najmniej jednej wielkiej litery, jednej małej, cyfry, a także znaku specjalnego, daje nam około 782 miliony potencjalnych kombinacji. Jest to liczba astronomiczna dla przeciętnego użytkownika, bo przecież kto będzie chciał wykorzystać takiego zwykłego Kowalskiego?
Zapewne nikt, ale nawet przeciętny Kowalski może pracować w banku, w policji, czy w innej instytucji państwowej, a wtedy staje się już znacznie ciekawszym celem. Wypada się nad tym zastanowić.
Każdy wyciek danych ze skompromitowanego systemu (takiego, którego zabezpieczenia zostały złamane) może być dla nas dużym problemem, a w większości przypadków da się znacznie zminimalizować szkody dzięki cykliczności wykonania zmiany haseł. Działa to w ten sposób, że jeśli już ktoś dostał się do naszego systemu, to utraci do niego dostęp w chwili, gdy zmienimy hasło. Jeżeli pracujecie w jakiejś instytucji lub większej firmie, na pewno spotkaliście się z wymuszonymi zmianami haseł. Nie są one tylko fanaberią administratora. Dopiero uwzględniając czynnik częstotliwości, ma sens unikalność i złożoność haseł, wśród tak dużej ilości serwisów, z których korzystamy.

Liczba haseł, jaką musimy magazynować w naszej głowie i dodatkowo co jakiś czas aktualizować, potrafi być przytłaczająca. Dlatego też z pomocą przychodzą nam tzw. menadżery haseł, o których opowiemy w cz. II: „Security Awareness – hasła (praktyka)”.

Statystyka najpopularniejszych haseł


Najpopularniejszymi hasłami są te proste do zapamiętania. Są nimi np. kombinacje liczb (12345, 111111, 123321), popularne imiona żeńskie (Zuzanna, Julia, Anna) i litery leżące na klawiaturze obok siebie (asdfghjkl, qazwsx, 1qaz2wsx). Także najbardziej oczywiste „password” nadal pozostaje na 5. pozycji wśród rankingu najczęściej używanych haseł.

Z roku na rok niezmiennie widzimy, że na górnych pozycjach listy „najgorszych haseł”, ciągle plasują się te same hasła. Dlaczego ludzie nadal z nich korzystają?

Zapewne najważniejszym powodem jest to, że łatwo je zapamiętać. Paradoksalnie większość ludzi woli używać słabych, prostych haseł, zamiast włożyć trochę wysiłku w zapamiętanie lepszego, bardziej złożonego hasła. Zarazem, niestety jest to tożsame z tym, że zazwyczaj wykorzystują to samo hasło dla wszystkich swoich kont. Kończy się to w ten sposób, że jeśli jedno z nich zostanie naruszone, to również wszystkie pozostałe.

Po drugie, wszyscy trwają w silnym przekonaniu, że nie mają nic do ukrycia. A jednak zamykają drzwi po wyjściu z domu. Nawet jeśli w środku nie mają wielopokoleniowych skarbów i milionów schowanych w szafie, to nadal nie chcą, aby nieznajomi grzebali w ich rzeczach osobistych. To taka prosta zależność, dlaczego więc nie stosować tej samej logiki w cyberprzestrzeni? Kwestia ta pozostaje do przemyślenia dla wszystkich tych, którzy jeszcze nie zadbali o swoją prywatność w sieci.

Poniżej statystyka „najgorszych haseł” (opublikowana w końcówce 2019 roku).

ID Hasło Popularność
1. 12345 2812220
2. 123456 2485216
3. 123456789 1052268
4. test1 993756
5. password 830846
6. 12345678 512560
7. Zinch 483443
8. g_czechout 372278
9. asdf 359520
10. qwerty 348762
11. 1234567890 329341
12. 1234567 261610
13. Aa123456. 212903
14. iloveyou 171657
15. 1234 169683
16. abc123 150977
17. 111111 148079
18. 123123 145365
19. dubsmash 144104
20 test 139624

Źródło: nordpass.com

Jak widać, problem dotyczy zatrważającej ilości osób. Sedno sprawy leży w nieświadomości tej ogromnej części społeczeństwa, dlatego trzeba sukcesywnie tę część zmniejszać. W ramach naszej działalności dołożymy wszelkich starań, aby popularyzować wiedzę o bezpieczeństwie i edukować z jej zakresu. Pora na to, by te kosmiczne liczby zaczęły w końcu zmniejszać się do bardziej przystępnych.

Dla zainteresowanych lista 100k najpopularniejszych haseł: ncsc.gov.uk

Wymogi prawne, czyli RODO w 2020 roku


W 2004 roku przedstawiono nam jasno określone kryteria, które musiały być spełniane przez hasła systemów informatycznych, służących do przetwarzania danych osobowych. Wprost nakazano, że takie hasło ma składać się z co najmniej 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. Należało też zmieniać je nie rzadziej, niż co 30 dni. Ta ustawa została jednak uchylona i tak od 25.05.2018 roku powstał niemały zamęt wokół tego „co należy”, a „co nie należy”.

Odkąd tak szczegółowe przepisy już nie obowiązują, w ustawach nie znajdziemy wytycznych, według których administratorzy mają kontrolować politykę haseł w firmie, niemniej nie jest to równoznaczne z tym, aby takiej działalności zaniechać. Według unijnych wymogów, do obowiązków administratora należy zastosowanie wszelkich środków, mających na celu zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych. W praktyce znaczy to tyle, co stosowanie się do aktualnych standardów, wynikających z powszechnie uznawanych norm technologicznych. Istotnym jest także to, aby prowadzona polityka haseł gwarantowała sensowny poziom poufności i wygodny dostęp do przetwarzanych danych. Wcale nierzadko można spotkać się z tzw. nadgorliwym administratorem, przy którym praca jest prawdziwym utrapieniem.

Faktem jest, że przepisy RODO nie mówią wprost jak ma wyglądać polityka haseł w firmie, dlatego to administrator sprawuje główną pieczę. Do niego należy przeprowadzenie analizy ryzyka i ustalenie konkretnych wymogów, do których firma będzie musiała się zastosować. W gruncie rzeczy, jedynie bazując na aktualnym stanie wiedzy, administrator może wykazać, że środki techniczne i organizacyjne, które wdrożył, są właściwe dla zapewnienia bezpieczeństwa danej firmie (a to właśnie za błędne dopasowanie środków ochrony może zostać nałożona kara pieniężna).

Reasumując, pojawia się pytanie: wobec tego w jaki sposób prowadzić politykę haseł w firmie, by była ona zgodna z unijnymi wymogami RODO?
Pomocna będzie amerykańska norma technologiczna – NIST 800-63B: Digital Identity Guidelines: Authentication and Lifecycle Management.

W dokumencie tym stosunkowo klarownie odniesiono się do zasad, których należyte byłoby przestrzeganie w ramach obowiązków administratora. Zdecydowanie są one cennymi wskazówkami:

  • Administrator nie powinien ustalać odgórnie terminów, po których upływie wymagana będzie zmiana hasła.
  • Administrator nie powinien stosować wymuszania stosowania specjalnych znaków, symboli lub cyfr.
  • Administrator powinien umożliwić wykorzystywanie komendy „wklej” przy wpisywaniu hasła – tak, by umożliwić użytkownikowi stosowanie menadżera haseł (jeżeli użytkownik uzna to za odpowiednie).
  • Przy konstruowaniu polityki haseł należy zachęcać użytkowników do tworzenia maksymalnie długich haseł.
  • Administrator powinien ustalić limit nieudanych logowań, po którym dojdzie do zresetowania hasła (maksymalnie 100 nieudanych logowań).
  • Zaleca się, by administrator stosował wskaźniki „mocy” hasła („password-strength metres”).

Niemniej są to jedynie pojedyncze zalecenia, dlatego osobom zainteresowanym i w szczególności zobowiązanym (administratorzy), polecamy zapoznać się z całością danej normy. Zważając na wiele lat poprzednio obowiązujących przepisów, które aktualnie mogą być źródłem wielu błędnych przyzwyczajeń, warto w swojej organizacji trochę „odkurzyć” dotychczasową politykę haseł i nadać jej powiewu świeżości.


Pamiętajcie, że jesteśmy otwarci na wszelkie pytania!


Przede wszystkim zachęcamy do samodzielnego studiowania i poszerzania wiedzy
(i udostępniamy tę możliwość), ale jesteśmy tu także po to, aby pomagać. Jeśli masz pytania na temat któregoś wątku lub potrzebujesz ukierunkowania na bardziej specjalistyczne materiały, to po prostu odezwij się do nas. Prosimy o kierowanie zapytań pod nasz adres mailowy: [email protected]

Komentarze: 0Odsłony: 328 minut czytania: 17

Napisz komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Zamieszczajac komentarz akceptujesz regulamin strony. Każdy komentarz podlega moderacji, zabronione są wulgaryzmy i wszelkie sprawy niezwiązane z danym postem.