Podstawy Bezpieczeństwa: Hasła część 5, czyli odpowiedzi na wasze pytania

dodał 12 października 2022 o 08:42 w kategorii HowTo, Info  z tagami:
Podstawy Bezpieczeństwa: Hasła część 5, czyli odpowiedzi na wasze pytania

Hasła budzą wiele wątpliwości. To temat złożony, kontrowersyjny, obrosły mitami i często trudny do szybkiego zrozumienia. Poniżej zebraliśmy dziesięć najczęściej zadawanych pytań – spróbujemy na nie odpowiedzieć w zwięzłej formie.

Przez ostatnie dni mogliście przeczytać w naszym serwisie cykl artykułów poświęcony hasłom. Tematu oczywiście nie wyczerpał, ale zdążyliśmy poruszyć najważniejsze kwestie:

Dzisiaj nadszedł czas pytań przeróżnych, ale ważnych.

Podstawy Bezpieczeństwa
Artykuł stanowi część cyklu Podstawy Bezpieczeństwa realizowanego od ponad dwóch lat pod patronatem Aruba Cloud. Doradzamy w nim, jak podnosić bezpieczeństwo codziennego używania komputerów, telefonów i internetu. Nawet jeśli nie znajdziecie w nim niczego nowego (chociaż najpierw warto sprawdzić!), to zawsze możecie te wpisy podsyłać swoim bliskim i znajomym – im na pewno się przydadzą. Zachęcamy też do zapoznania się z poprzednimi odcinkami tej serii.

Dlaczego w banku mogę ustawić tylko 8 znaków hasła, to skandal

To dobre i często pojawiające się pytanie, ale nie skandal. Nie będziemy wnikać w przyczyny takiej sytuacji (często sięgające wielu lat wstecz), skupimy się na skutkach. W pierwszym artykule naszej serii rekomendowaliśmy hasła o długości co najmniej kilkunastu znaków, jakim więc cudem 8 znaków (albo czasem nawet tylko cyfr) można uznać za wystarczające?

Po pierwsze, trzeba spojrzeć odrobinę szerzej na ryzyko związane z taką konstrukcją hasła. Gdyby ktoś próbował je odgadnąć online (na stronie banku), to ile zajmie mu to czasu? Odpowiedź brzmi „nieskończoność”, ponieważ bank po kilku (często nawet tylko 3) nieudanych próbach logowania zablokuje konto i poprosi właściciela o dodatkową weryfikację przed ponownym odblokowaniem.

A co z atakami offline? Tu musimy założyć, że napastnik uzyskał dostęp do bazy danych haszy haseł klientów banku. Już samo to zdarzenie jest mało prawdopodobne, a taki poziom dostępu daje wiele innych możliwości atakującemu, który prawdopodobnie raczej spróbuje wygenerować przelewy SWIFT na miliony, niż będzie włamywał się na konta pojedynczych klientów (chyba że i haker, i bank są średnio ogarnięci).

W powyższych rozważaniach nie sięgamy już do kwestii innych zabezpieczeń (procesy zwalczania nadużyć, identyfikacja nieautoryzowanego dostępu itd.) ani poziomów dostępu (nawet udane logowanie złodzieja nie oznacza utraty środków). Podsumowując, oczywiście lepiej używać długich haseł, ale gdy nie ma takiej możliwości, to warto spojrzeć, czy istnieją inne mechanizmy zabezpieczające nasze konto przed niepowołanym dostępem.

PS. Wszelkie ograniczenia długości / złożoności hasła są złe (w zakresie rozsądku, np. 64 znaki powinny wystarczyć każdemu). Jeśli nie da się pozwolić użytkownikom na dłuższe hasła, to trzeba stosować mechanizmy ograniczające ryzyko.

Jak często zmieniać hasło?

To zależy, ale co do zasady raczej wcale, oprócz wyjątków. Lata wpajania regularnej zmiany hasła są już za nami, podobnie jak przepisy wymuszające to w Polsce. Częsta zmiana hasła najczęściej obniża jego jakość. Możecie mieć te same (dobre) hasła latami i nie musieć ich zmieniać.

To kiedy trzeba zmieniać? Przede wszystkim wtedy, gdy podejrzewamy, że ktoś mógł je poznać. To bardzo dobry powód, a zmieniamy je zaraz po tym, jak usuniemy prawdopodobną przyczynę wycieku. Nie da się ukryć, że zmiana haseł na nadal zainfekowanym komputerze (lub nawet tylko użycie na nim nowego hasła) wiele nie poprawi w naszej sytuacji.

Drugim powodem okresowej zmiany hasła może być duża krytyczność chronionych zasobów. Tu przewrotnie dodamy, że jeśli zmiana hasła cokolwiek w tej sytuacji zmienia, to znaczy, że ktoś nie zadbał o inne mechanizmy uwierzytelnienia (np. dodatkowe składniki). Niemniej jednak nadal w sytuacji, gdy np. mówimy o kluczowych zasobach, mogących być celem ataku wrogich państw, zmiana hasła raz na kilka miesięcy nie zaszkodzi, a może utrudnić wrogowi działanie (zakładamy tu, że są rzeczy, o których się nam nie śniło).

Na pewno „zwykły użytkownik” nie powinien być zmuszany do regularnej zmiany hasła – to szkodliwa praktyka.

Czy używać „zaloguj się Facebookiem/ Google’em/ Apple’em”?

To zależy. To dobry pomysł, by redukować liczbę posiadanych loginów i haseł – proces uwierzytelnienia obsługuje wtedy dostawca usługi, za pomocą której logujemy się w innym serwisie. Jest to rozwiązanie tak bezpieczne, jak bezpieczne jest nasze konto Facebooka / Google’a / Apple’a (gdzie mamy nadzieję macie włączone dwuskładnikowe uwierzytelnienie).

Pamiętajcie jednak, że często, logując się np. Facebookiem, jednocześnie przekazujecie serwisowi, w którym zakładacie konto, podstawowe dane konta FB, jak np. imię i nazwisko. Jeśli zatem chcecie założyć konto anonimowe, a na FB podaliście prawdziwe dane, to nie będzie to najlepszy pomysł.

Skąd wyciekło moje hasło?

To często trudno ustalić. Jest to prawie niemożliwe w sytuacji, gdy to samo hasło było używane w więcej niż jednym serwisie. Gdy już zmienicie wszystkie hasła na unikatowe, odpowiedź będzie nieco prostsza (choć dalej niekoniecznie oczywista). Co więcej, często trudno stwierdzić, czy hasło zostało wykradzione z komputera ofiary przez złośliwe oprogramowanie, ofiara dała się złapać na phishing czy może wykradziona została baza danych serwisu, w którym ofiara miała konto.

Jedyną sensowną próbą przybliżenia źródła wycieku jest wizyta w serwisie HaveIBeenPwned.com i sprawdzenie tam swojego adresu e-mail. To bezpieczna czynność (serwis prowadzi renomowany badacz bezpieczeństwa), która pozwala zrozumieć skalę problemu wycieków.

Co zrobić z serwisem, który przechowuje moje hasło otwartym tekstem?

10 lat temu przeprowadziliśmy akcję piętnowania polskich serwisów, które wysyłały hasła użytkowników otwartym tekstem w e-mailach. Choć chcemy wierzyć, że przywołane w tamtym tekście serwisy już zmieniły swoje praktyki, to jednak nadal od czasu do czasu dostajemy podobne sygnały od czytelników. To, że serwis wysyła hasła otwartym tekstem w e-mailach, jest karygodne. Warto takie zachowania piętnować. Nie oznacza to jednak automatycznie, że hasła są także przechowywane otwartym tekstem lub w inny niebezpieczny sposób. Widzieliśmy wiele implementacji, gdzie w momencie tworzenia konta hasło było wysyłane e-mailem w formie jawnej, a jednocześnie zapisywane w bazie jako funkcja skrótu. Można by powiedzieć zatem, że twórcy tych serwisów odnosili połowiczny sukces. Na szczęście ta praktyka odchodzi powoli w zapomnienie.

Czy klawiatury ekranowe i hasła maskowalne mają sens?

Nie.

Klawiatury ekranowe chronią chyba tylko przed sprzętowym keyloggerem, którego dzisiaj (poza zabawami redteamów) praktycznie trudno uświadczyć. Z kolei hasła maskowalne nie chronią już chyba przed niczym.

Co z atakami na uwierzytelnienie wieloskładnikowe?

Takie ataki faktycznie istnieją. Można kraść SMS-y, wyłudzać kody 2FA z aplikacji, można także (co pokazał LAPSUS$) spamować telefon ofiary żądaniami akceptacji logowania tak długo, aż zaakceptuje. Większość tych ryzyk omijamy, stosując uwierzytelnienie sprzętowe poprzez klucz FIDO / U2F – to nasza rekomendacja. Oczywiście ich wdrożenie jest trudniejsze – ale korzyści je często uzasadniają.

Dlaczego nie powinno się używać „wzorków” do blokowania telefonu?

Powodów jest kilka. Po pierwsze, wzorki łatwiej zidentyfikować niż kod PIN, patrząc, jak ktoś odblokowuje swój telefon (jest nawet badanie naukowe, które to potwierdza). Po drugie, większość użytkowników wybiera wzorki łatwe, a prawie każdy zaczyna od lewego górnego rogu ekranu. Po trzecie, wystarczy przejechać po ekranie tłustym palcem, by możliwa była próba odgadnięcia wzorku przez analizę układu smug. PIN i biometria są dużo lepszym pomysłem.

Dlaczego rekomendujecie biometrię palca / twarzy, skoro nie działa w rękawiczkach / w ostrym słońcu?

Jeśli używasz tylko kodu PIN, to podajesz go pewnie ok. 50-100 razy dziennie. Załóżmy, że zmieniasz na biometrię palca / twarzy i jest ostra zima / upalne lato. Liczba przypadków użycia kodu PIN i tak będzie mniejsza, bo nie zawsze odblokowujesz telefon na mrozie (co więcej, często też zdejmując rękawiczki, chyba że stukasz sprawnie nosem lub używasz rękawiczek zgodnych z ekranami dotykowymi) lub w pełnym słońcu. Dopóki więc nie istnieją inne zagrożenia (np. dzieci używające palców drzemiących rodziców czy obawa przed organami ścigania), biometria daje dużo więcej wygody, przy sensownym poziomie bezpieczeństwa.

Jestem architektem systemów / programistą. Co mogę zrobić, by świat był bezpieczniejszy?

Przeczytaj i zastosuj świetną rekomendację CERT Polska, opisującą wszystkie ważne kwestie związane z hasłami.

Podsumowanie

Mamy nadzieję, że nasza mała encyklopedia wiedzy na temat haseł trochę wam pomoże tłumaczyć ten temat innym internautom – a może część z was zmieni także swoje zwyczaje w tym obszarze. Trzymamy kciuki! A jeśli macie jeszcze jakieś pytania dotyczące haseł, to piszcie je w komentarzach, odpowiemy.

Dla zachowania pełnej przejrzystości: Patronem cyklu jest Aruba Cloud. Za opracowanie i opublikowanie tego artykułu pobieramy wynagrodzenie.