Bezpieczne hasla i nie tylko.
Po wlamaniu na forum zaczalem interesowac sie bezpieczenstwem kont w portalach lub forach dyskusyjnych. Po miesiacu, dwoch, znalezienie luki w zabezpieczeniu nie stanowi dla mnie problemu – zawsze jest nia popelniony przez czlowieka blad. Zazwyczaj jest to zle dobrane haslo, choc, nie zawsze... Postaram sie tutaj opisac metody zabezpieczania wlasnie takich kont jak konto na forum, w portalu, czy email, bo nie zawsze bezpieczenstwo naszych danych zalezy tylko i wylacznie od administratora, czy tez samego systemu witryny.
Zacznijmy od tego, ze kazdy powinien zwrocic uwage na ochrone swojego konta email. Wbrew pozorom, po uzyskaniu dostepu do niego, wlamywacz moze uzyskac kontrole nad wszystkimi naszymi zasobami. Poniewaz bardzo ciezko jest wlamac sie na takowe konta metodami technologicznymi (co nie oznacza, ze jest to niemozliwe), cale bezpieczenstwo lezy w naszych rekach. Zacznijmy od tego, ze kazdy powinien zatroszczyc sie o jak najtrudniejsze do odgadniecia haslo. Nie powinno one byc porownywalne do zadnego slowa w slowniku. W przypadku wyciekniecia takiego hasla, nawet zaszyfrowanego, na zewnatrz – jest one natychmiast do zlamania. Nasze haslo powinno byc losowym ciagiem znakow, zawierajacym litery, liczby, a nawet znaki specjalne. Przykladem dobrego hasla moze byc np. 257!dsjtr8. Jednak, sam proces ustalania dobrego hasla opisze za chwile. Skupmy sie teraz na jeszcze jednym bardzo waznym, a pozornie nie groznym, aspekcie. Sam uwielbiam wykorzystywac podpowiedz do hasla w celu uzyskania dostepu do obcego konta, bo wiele osob nie pamietam o tym, ze ten modul moze stanowic otwarte drzwi dla wlamywacza
Nawet, gdy nie znamy wlasciciela, mozemy prosto ominac to zabezpieczenie, jesli sam uzytkownik popelni w tym miejscu klasyczny blad. Bardzo latwo mozna od delikwenta wyciagnac odpowiedz metodami socjotechnicznymi, albo po prostu... zgadnac. Zdarzylo mi sie juz widziec pytanie 'Twoj ulubiony sport?'. Nie znam kolesia, wiec wpisuje nazwy jakie mi przychodza do glowy – pilka nozna – nie dziala, siatkowka – dziala
Nigdy, ale to nigdy nie powinnismy ustawiac podpowiedzi tego typu. To nie gwarantuje
zadnej ochrony. Odpowiedz najlepiej aby w ogole nie byla zwiazana z pytaniem. Dobre jest tez pisanie FrEaK'iem, co tylko utrudnia wlamywaczowi przejscie przez proces przypominania / zmiany hasla. Nie zalujmy w odpowiedzi wulgaryzmow i roznych dziwnych wygibasow – to tylko zwieksza nasze bezpieczenstwo! Odpowiedz mozemy zapisac sobie na kartce, w komputerze, w telefonie – pewnie i tak nikt sie nie zorientuje do czego sluzy tak dziwne zdanie
Jesli nasz email jest bezpieczny – przebrnelismy przez pierwszy etap zabezpieczen. Pora przyjrzec sie samemu sposobowi przygotowywania hasla...
Dobre haslo to, jak juz mowilem, losowy ciag znakow, ktory nie przypomina zadnego slowa ze slownikow jezykowych. Dlaczego jest to takie wazne? Bo w przypadku wyciekniecia hashu do otoczenia nie bedzie mozliwosci zlamania go atakiem slownikowym – przez co utrudniamy zycie zlodziejowi. Pytanie tylko, jak sprawdzic, czy haslo bedzie zdolne uchronic sie przed tego typu atakiem... To proste, samemu sprobowac je zlamac. Na potrzeby artykulu napisalem prosty skrypt, ktory podda nasze przykladowe haslo najpopularniejszemu dzisiaj sposobowi szyfrowania danych – MD5. Jest to
szyfrowanie jednostronne, czyli nie mozna go zdeszyfrowac... Ale pozostaja zawsze ataki slownikowe i brute-force
O ile atak silowy jest czasochlonny i mimo to nie musi sie powiesc, nie bede sie o nim rozpisywal... Ale atak slownikowy jest obecnie bardzo popularny i latwo nim zlamac proste w konstrukcji hasla. Wiec, zaczynajmy sprawdzanie naszego przykladowego hasla
Odpalamy moj skrypt:
http://www.e-comp.org/lool/md5.php . Aby nie bylo niepewnosci podaje tutaj kod zrodlowy skryptu:
| PHP Code: |
<html>
<head>
<title>MD5 Hash</title>
</head>
<body>
<form action="md5.php" method="post">
<label>Pass:
<input type="text" name="pass" /></label>
<input type="submit" value="Generuj hash" />
</form>
<br><br>
<?php
$pass = $_POST['pass'];
if(!$pass) {
echo "<br>";
} else {
$hash = md5($pass);
echo "$hash";
}
?>
</body>
</html>
|
Nasze haslo wpisujemy w miejsce przeznaczone na tekst i klikamy 'Generuj hash!'. Po wpisaniu naszego przykladowego hasla podanego wyzej otrzymalem '
9d43431b3d61b136072e5af584fd66bd'. Jest to unikalny hash dla tego ciagu znakow. Nie mozna go jednoznacznie rozkodowac, ale - mozna porownac ze slownikiem W tym celu wchodzimy na strone http://md5search.uk.to/ i wypelniamy wymagane pola. To dzialanie nazywamy atakiem slownikowym, hash jest porownywany z innymi, ktore sa przechowywane w bazach danych wraz z ich niezakodowanymi odpowiednikami. Jesli haslo zostaje rozpoznane - jest ono niebezpieczne.
Bazy danych wykorzystywane w atakach slownikowych z dnia na dzien sie powiekszaja, wiec nie mozemy ciagle polegac na tym, ze nikt nie rozkoduje naszego hasla. Jednak na to tez jest sposob - wystarczy dla waznych kont (administracja forum, portalu, email, konto bankowe itd.) ustawic unikalne haslo dla kazdego z osobna. Wtedy nie ma szans na to, aby wyciekly one do otoczenia w jakiejkolwiek formie. Jest to czesto niedostrzegany przez ludzi szczegol, co mozna bardzo latwo wykorzystac
Mam nadzieje, ze dzieki tej publikacji, sklonie choc kilka osob do utrzymania wysokiego poziomu zabezpieczen swoich kont m.in. przez mocne i sprawdzone hasla. Przejeci skrzynki poczty elektronicznej, co moze pozniej przejsc w przejecie np konta allegro, moze zrujnowac finansowo nawet na kilkanascie, -dziesiat lat. Mysle, ze teraz bedziecie sobie bardziej zdawac sprawe z tego, ze w prosty, choc nie koniecznie zawsze wygodny sposob, mozecie uchronic sie przed nieszczesciem
Autor: michaelxp91,
Tekst chroniony prawami autorskimi, kopiowanie bez zgody autora surowo wzbronione.
Pozdrawiam serdecznie 
THX Michael 
