Jak nie tworzyć swoich haseł – instrukcja prosto z Urzędu Wojewódzkiego w Poznaniu

dodał 19 stycznia 2021 o 16:21 w kategorii Info  z tagami:
Jak nie tworzyć swoich haseł – instrukcja prosto z Urzędu Wojewódzkiego w Poznaniu

Można spędzić setki godzin na edukowaniu użytkowników, jak powinni tworzyć swoje hasła, lecz i tak na koniec dnia może pojawić się administrator, który każe im zmienić cyfrę na końcu hasła zgodnie z numerem miesiąca. Ręce opadają.

Jeden z naszych czytelników przysłał nam bardzo ciekawego e-maila, którego otrzymali operatorzy Systemu Teleinformatycznego Centrum Powiadamiania Ratunkowego. Po polsku mówiąc – ludzie, którzy odbierają wasze telefony, gdy dzwonicie na 112. Wasze, o ile jesteście mieszkańcami województwa wielkopolskiego, bo mowa o jednostce z Poznania. Ten e-mail to świetna okazja, by przypomnieć, jak NIE TWORZYĆ swojego hasła.

E-mail od administratora

Spójrzcie na tekst poniżej.

Nie przepiszemy go dla was całego, ale oto nasza analiza najważniejszych punktów e-maila.

E-mail najpierw informuje o nowej polityce haseł, wynikającej z polityki przetwarzania danych osobowych. Nowe zasady (starych nie znamy) wymuszają zmianę hasła co 40 dni i jego skład w postaci małych i wielkich liter, cyfr i znaków specjalnych oraz określają długość na minimum 12 znaków. Dodatkowo hasło nie może zawierać imienia, nazwiska, nazwy użytkownika ani być „proste”, jak np. Anna7676. Konto blokowane jest na minutę po nieudanej próbie logowania, po 5 nieudanych próbach konto jest blokowane w sposób wymagający interwencji administratora systemu. Do tego system pamięta ostatnie 12 haseł (nie 10, jak to zwykle można spotkać, a 12 – to ważny parametr, zapamiętajcie go).

Nasza uwaga: po kilkunastu latach obowiązywania wymogu zmiany co 30 dni hasła do systemów przetwarzających dane osobowe RODO ten wymóg wymiotło i teraz każdy może ustalić swój własny czas ważności hasła. Skąd 40 dni? Wygląda trochę jak „zmieńmy standardowe 30, ale nie dajmy za dużo”. Dziwne, ale akceptowalne. Reszta wymogów – lepsze takie, niż żadne. Długość całkiem OK, złożoność jest kontrowersyjnym wymogiem, ale nie wnikamy tu już w głębsze rozważania, bo dalej w e-mailu robi się dużo ciekawiej.

Jak tworzyć bezpieczne hasło

E-mail instruuje, jak wejść do opcji zmiany hasła, wskazuje, że najlepiej je zmieniać na pierwszej zmianie w nowym miesiącu (więc te 40 dni staje się de facto ponownie 30 dniami, po co cała zmiana) i przekazuje na przykładzie, jak stworzyć hasło spełniające wymagania. A nawet 12 takich haseł. I tu robi się ciekawie.

Autor e-maila, administrator systemu, wskazuje, że dobrym hasłem będzie

Przsmi*111112

„Prz” oraz „smi” to pierwsze 3 litery imienia i nazwiska administratora. Potem mamy gwiazdkę i pięć jedynek i dwójkę. Czy to hasło spełnia wymogi bezpieczeństwa z polityki haseł? Ależ oczywiście! A skąd te 5 jedynek i dwójka? Oddajmy głos autorowi instrukcji:

[…] dodajemy dwucyfrowy numer miesiąca, zaraz po kodzie PIN użytym u was w haśle. Reasumując: proszę dodać do swojego hasła przy pierwszym logowaniu danego miesiąca jego dwucyfrowe oznaczenie na końcu hasła. Styczeń -01, luty -02 itd.

Co tu się…

PIN, wspomniany w e-mailu, to jak pisze do nas czytelnik, czterocyfrowy PIN do karty inteligentnej, którą to operatorzy mogą się logować. PIN jest niezmienialny i znany działowi IT oraz Departamentowi Teleinformatyki MSWiA, swego czasu był naklejony na karty inteligentne.

Jeżeli zatem użytkownicy skorzystają z propozycji sposobu tworzenia hasła, to ograniczają liczbę jego możliwych wariacji do 10 tysięcy, a dla osób, które znajdą PIN na karcie, do 1. Co więcej, jeśli użytkownicy skorzystają tylko z części rekomendacji o dodaniu liczby odpowiadającej miesiącowi na końcu hasła, to raz poznane hasło oznacza, że ktokolwiek je poznał, zna już wszystkie hasła do końca świata mimo wymuszenia ich regularnej zmiany i tego, że system pamięta ostatnie 12 haseł (wiecie już, skąd liczba 12?).

Jak zrobić to lepiej

Choć rozumiemy intencję administratora (proste hasło = mniej problemów z użytkownikami, którzy hasła zapomnieli i nie mogą się zalogować), to zapewniamy, że analiza incydentów związanych ze słabymi hasłami = więcej problemów. Nie warto, naprawdę.

Jak najprościej pomóc użytkownikom stworzyć hasła łatwe do zapamiętania, a niemożliwe do odgadnięcia i trudne do złamania? Reguły są proste.

Po pierwsze, jedynym sensownym wymogiem formy hasła jest długość (najlepiej minimum 15 znaków). To pozwala użytkownikowi wybrać swoje własne hasło bez różnych udziwnień, przez które wkrótce je zapomni. A matematyka idzie w sukurs tej praktyce, bo hasło długie jest dużo trudniej złamać niż hasło skomplikowane. 12 losowych znaków można odgadnąć szybciej niż 17 małych liter. Jak to możliwe? Policzcie sobie sami.

Przyjmijmy, że pula małych i dużych liter, cyfr i znaków specjalnych to 95 różnych znaków, a pula małych liter to 26 znaków. Już 17-znakowe hasło składające się z samych małych liter ma więcej możliwych kombinacji niż 12-znakowe hasło składające się z małych i dużych liter, cyfr i znaków specjalnych. Hasła długie są dużo lepsze niż złożone, bo 95 do potęgi 12 jest mniejsze niż 26 do potęgi 17.

Po drugie, hasło powinno składać się z frazy – kilku połączonych wyrazów, na przykład „codziennieranowchodzenazaufana”. I już. Żaden atak słownikowy tego nie złamie, zapamiętanie jest proste i trudno się pomylić przy wpisywaniu.

Po trzecie, mocnych haseł nie trzeba często zmieniać. W zależności od analizy ryzyka można spokojnie ustawić czas wygasania na 3-6 miesięcy.

Po czwarte, hasła powinny być przechowywane w menedżerze haseł.

Efekt zastosowania tych czterech zasad? Użytkownicy nie klną na administratora, administrator nie musi co chwilę resetować ludziom haseł, konta są bezpieczne. Amen.

PS. Oczywiście takie czynniki jak np. fakt, że do systemu zalogować się można tylko w sieci lokalnej czy być może nie da się tego zrobić bez inteligentnej karty zmniejszają skalę problemu. Problemem pozostaje jednak nadal utrwalanie praktyki tworzenia słabych haseł.