Nech Vás sila (hesla) sprevádza…

Nech Vás sila (hesla) sprevádza…

Návody
Zoom Out Zoom In
Od
07819
22:02 8. augusta 2013

V predchádzajúcom článku k tejto téme (Od anonymity k autentizácii) sme sa venovali základným mechanizmom autentizácie (overovania totožnosti v informačných systémoch). Ako bolo spomenuté, autentizácia statickým heslom je najstaršou a zrejme stále i najpoužívanejšou, avšak najmenej bezpečnou metódou. Preto by som sa v tomto pokračovaní témy rád venoval odporúčaniam, ktoré môžu prispieť ku zvýšeniu úrovne bezpečnosti autentizácie statickým heslom.

 

Odolnosť hesla

Výraz „odolnosť hesla“ vyjadruje schopnosť, akou heslo dokáže odolávať pokusom o uhádnutie alebo odhalenie. Odolnosť hesla nepriamo naznačuje, koľko pokusov a koľko času potrebuje na jeho získanie potenciálny útočník, ktorý to heslo na začiatku vôbec nepozná.

Odolnosť, neodhaliteľnosť, nevypočítateľnosť, alebo tiež jednoducho „sila“ hesla, je vymedzená jeho dĺžkou a zložitosťou (komplexitou). Všeobecne je možné povedať, že pre komplexitu hesla je určujúce použitie najmenej troch, z nasledujúcich atribútov na jeho tvorbu: malé písmená, veľké písmená, číslice a symboly.  Odporúčaniam na silné heslo sa budeme venovať v ďalšej časti tohto článku.

 

Ako sa lámu heslá

Zo samozrejmých dôvodov nebudeme popisovať metódy, pri ktorých je  na vymámenie hesla použité fyzické, či psychické násilie, podvod, sociálne inžinierstvo, alebo akákoľvek manipulácia. Čo je to sociálne inžinierstvo, je nakoniec opísané v inom článku (URL).  Venujme sa, pre tento prípad, len sofistikovaným technikám.

 

Slovníkový útok

Veľmi častým základným typom útoku na statické heslo je tzv. slovníkový útok. Tá najjednoduchšia forma slovníkového útoku by sa dala praktizovať tak, že si útočník z internetu stiahne balíčky najčastejšie používaných hesiel a všetky tieto heslá vyskúša. Ak má šťastie a použité je niektoré frekventované heslo, tak ho získať dokáže. Čo z toho vyplýva? Že je prinajmenšom nevhodné používať heslá, ktoré sú reálnymi slovami niektorého z ľudských jazykov.

 

 

Útok hrubou silou

Existuje sofistikovanejšia forma útoku na heslo. Nazýva sa útok hrubou silou (bruteforcing). Spočíva vo vyskúšaní čo najväčšieho počtu možných variácií hesiel. Špeciálna aplikácia skladá postupne znaky podľa rôznych algoritmov a pokúša sa „trafiť“ platné heslo. Ako dlho také skúšanie môže trvať? Pokúsme sa to cvične spočítať.  

Keďže poradie  písmen v hesle je dôležité, pre výpočet použijeme variácie.  Variácia k-tej triedy s opakovaním z n prvkov je každá usporiadaná k-prvková skupina zostavená iba z týchto n prvkov tak, že sa každý prvok môže ľubovoľne krát opakovať. Počet možných variácií s opakovaním je: V’(k, n) = nk. Slovenská abeceda pozostáva zo 46 písmen, modifikovaných použitím zložiek a diakritických znamienok. Pre zjednodušenie uvažujme iba s tými základnými 46-timi písmenami bez diakritiky. Ak by sme mali heslo o dĺžke 5 znakov, za n dosadíme počet písmen, z ktorých budeme vyberať – t.j. počet písmen slovenskej abecedy a za k dosadíme počet písmen, z  ktorých sa heslo skladá. Výsledok je viac ako dvesto miliónov rôznych variácií. Zdá sa vám to veľa? Tragický omyl. Bežne dostupný mikroprocesor zvládne za sekundu rádovo stovky miliónov operácií. Takže s počítačom za sto euro máte výsledok k dispozícii do niekoľkých sekúnd.

Vyššie uvedený príklad s päťmiestnym heslom pravdaže nie je nasledovaniahodným príkladom tvorby hesla. Skúsme iný. Myslíte, že je lepšia voľba hesla zloženého iba s čísiel? Opäť omyl. Číselné heslo je síce odolné voči slovníkovému útoku, keďže v žiadnom slovníku sa nebude nachádzať konkrétne viacmiestne číslo. Avšak na útok hrubou silou sú číselné heslá odolné ešte menej ako znakové. Povedzme, že by sme ako heslo zvolili 10 miestne celé číslo – počet možných variácií s opakovaním bude opäť:  V’(k, n) = nk , teda iba 10 000. Z toho vyplýva, že odolnosť hesla nepredurčuje len jeho dĺžka, ale najmä komplexita. Je efektívnejšie vytvoriť heslo kratšie, ale s viacerými typmi znakov.

Aby ste si spravili obraz o zložitosti hesiel a možnostiach ich prelomenia hrubou silou,  pozrite si, napríklad, túto tabuľku zložitosti hesiel http://www.lockdown.co.uk/?pg=combi&s=articles

 

Vlastnosti odolného hesla

Výzvou je vytvorenie hesla, ktoré si dokážete zapamätať a zároveň bude pre ostatných ťažké ho uhádnuť. Z pohľadu útočníka by to mal byť reťazec náhodných znakov. Z pohľadu používateľa – výraz v zapamätateľnom tvare.

Pri tvorbe hesiel by mali platiť nasledujúce pravidlá:

hesla_tab

 

Ako vytvoriť odolné a ľahko zapamätateľné heslo

Zdá sa Vám zložité dodržať vyššie uvedené pravidlá? Nezúfajte – vôbec to nie je zložité. Existuje odporúčaný postup, ako vytvoriť odolné heslo:

1. Vymyslite si akúkoľvek vetu, ktorú si dokážete zapamätať. Táto veta bude tvoriť základ Vášho budúceho hesla, alebo tzv. prístupovej frázy (passphrase). Môžete použiť napríklad vetu: „Môj syn Tomáš má o mesiac dvadsaťpäť rokov“.

2. Najprv si overte, či systém podporuje autentizáciu metódou „passphrase“ priamo. Ak môžete použiť túto vetu ako autentizačný prvok, použite ju – tak ako je.

3. Ak systém nepodporuje metódu prístupových fráz, zmeňte frázu na heslo. Ako? Napríklad tak, že prvé písmeno každého slova vety použijete na vytvorenie budúceho nového slova. Vznikne slovo, ktoré síce nedáva zmysel, ale pre Vás osobne bude zapamätateľné.  Na základe vyššie uvedeného príkladu by vzniklo slovo „mstmomdr“.

4. Zvýšte zložitosť (komplexitu) hesla. Skombinujte, napríklad,  veľké a malé písmená a doplňte číslice. V uvedenej fráze je, napríkla,d možné nahradiť slovo „dvadsaťpäť“ číslicou. Napríklad môže vzniknúť heslo „mStmoM25r“.

5. Začleňte do hesla niektoré symboly a zvláštne znaky. Môžete vedome použiť symboly na mieste podobne vyzerajúcich písmen. Môže vzniknúť niečo ako „m$tm0M25r“

6. Otestujte takto vytvorené heslo niektorým nástrojom na kontrolu odolnosti hesiel. Na internete je podobných on-line nástrojov množstvo. Skúste napríklad http://www.passwordmeter.com/, https://howsecureismypassword.net/ alebo https://security.ics.muni.cz/apps/passwords/  

 

Všeobecné odporúčania

Nepoužívajte všade rovnaké heslo. Ak používate rovnaké heslá na viacerých systémoch, v prípade kompromitácie jedného zo systémov, bude Vaša identita v krátkej dobe ohrozená aj vo všetkých ostatných systémoch, kde používate to isté heslo.  

Nepoužívajte ukladanie hesiel. Webové prehliadače a aplikácie vo väčšine operačných systémov ponúkajú používateľovi pohodlnú možnosť zapamätania hesla. Pokúste sa odolať tomuto pokušeniu. Ak útočník objaví uložené heslo,  pokúsi sa pomocou tohto hesla získať prístup ku všetkým systémom, o ktorých predpokladá, že ste ich používateľom.

Heslá pravidelne obmieňajte. Týmto spôsobom sťažíte prácu potenciálnym útočníkom. Zložitejšie heslo je bezpečnejšie počas dlhšej doby. 

Neautentifikujte sa v počítačoch, nad ktorými nemáte kontrolu. Na prístup k citlivým údajom nepoužívajte zdieľané počítače (napr. v internetových kaviarňach, kioskoch, na letiskách, atď). Takéto počítače nemožno považovať  za dôveryhodné pre potreby osobného použitia, okrem anonymného surfovania po internete. Hrozbou v tomto prípade sú tzv. keyloggery (software alebo hardware, ktorý zaznamenáva stlačenia jednotlivých kláves. Zachytené údaje ostávajú v počítači, alebo sú automaticky odosielané na vopred určený server).

 

Zlé príklady hesiel

Zlým heslom sa užívateľ vystavuje riziku prezradenia osobných údajov, alebo krádeže identity. Na základe štatistiky nemenovaného slovenského internetového portálu je možné približne povedať, ktoré sú najpoužívanejšie zlé heslá:

  •  6,5 % užívateľov (každý 15. užívateľ) sa pokúša nastaviť si ako heslo vlastné meno
  •  2,8 % užívateľov (každý 35. užívateľ) má ako heslo nastavené súčíslie 12345 alebo 123456.
  •  6,8 % užívateľov používa ako heslo meno z kalendára. (Najčastejšie používané mená sú janka, peter, katka, martin, lenka, tomas)
  •  1,5 % užívateľov používa ako heslo svoje meno a priezvisko (napr. „jankomrkvicka“) alebo mená detí, dátumy narodenia atď.
  •  1 % užívateľov používa heslo „heslo„ (resp. „password“)
  •  0,8 % užívateľov má ako heslo nastavené „laska“, alebo „milacik“
  •  0,5 % užívateľov má heslo „internet“, „mobil“ „nokia„ alebo “sony“
  •  0,5 % užívateľov ma v hesle niektorý z najpoužívanejších vulgarizmov
  •  0,2 % užívateľov používa heslo „neviem“

 

Na záver

Zapamätajte si – heslá sú ako spodné prádlo: 

  •  meňte ich často,
  •  nezdieľajte ich s inými ľuďmi,
  •  ak sú dlhšie, sú zdravšie,
  •  musia zostať záhadné,
  •  nenechávajte ich voľne pohodené.

 

MTFBWY 😉

Od I. Makatura

Generálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti. Súdny znalec v odvetví Bezpečnosť a ochrana informačných systémov a certifikovaný audítor kybernetickej bezpečnosti. Predseda Asociácie kybernetickej bezpečnosti, člen rady ISACA Slovensko. Vyštudoval odbor aplikovaná informatika na FEI TU v Košiciach a postgraduálne štúdium na STU v Bratislave.

Odporúčané príspevky

Newer Post
Older Post

Vyjadrite váš názor v komentároch