698 327 315 info@polinfor.pl

Serfując po wirtualnym świecie mamy przeważnie jakąś świadomość, że to co robimy jest  rejestrowane. Nie mówię tu o każdym ruchu palców na klawiaturze, ale o wszystkim tym, co dobrowolnie udostępniamy w sieci – zdjęcia, komentarze, opinie itd. Samo w sobie nie stanowi to zagrożenia – informacji udostępnianych przez wszystkich internautów jest zbyt dużo, by ktoś mógł zrobić coś złego z nimi wszystkimi naraz. Jednakże, gdy udostępniane przez nas informacje w sieci zaczynają być zbyt osobiste, albo pokrywają się z tym czego użyliśmy w naszych hasłach, rodzi to szereg problemów. Szczególnie, jeśli ktoś obierze nas za cel.

HASŁA

Zacznijmy od oczywistej rzeczy – zabezpieczenia naszych kont mailowych, portali społecznościowych i bankowości internetowej. Wiele z nich ma pewne wymagania, które trzeba spełnić, zanim hasło zostanie zaakceptowane – nie jest to widzimisię danego portalu, a wymóg który ma zapewnić nam większe bezpieczeństwo.

Czemu? Rozważmy to na prostym przykładzie – mamy hasło „kot” – używamy tylko małych liter alfabetu łacińskiego – jest ich 26, w haśle wykorzystaliśmy 3. Jeżeli ktoś zna długość naszego hasła i zakres znaków których użyliśmy (26), to wie że ma do dyspozycji 17576 kombinacji. Skąd taka dziwna liczba? 26 do potęgi 3 (263) stanowi ilość możliwych wariacji o długości trzech liter z dostępnych dwudziestu sześciu  – zakładając że litery mogą się powtarzać (np. aaa). Ta liczba może się wydawać duża, ale nawet jeśli dodamy do tego krótsze, możliwe kombinacje – o długości dwóch i jednego znaku, dostajemy 18278 kombinacji (uwierzcie na słowo, albo obliczcie sami). Wasza komórka byłaby w stanie wypisać je wszystkie w parę sekund – niewiele dłużej trwałoby sprawdzenie czy któreś z nich jest poprawne. Jest to tak zwany „brute force attack”, czyli po polsku „atak siłowy”, gdzie haker nie ma pojęcia jakie jest hasło, ale próbuje wszystkich kombinacji.

Podsumowując, nawet jeśli poprawne hasło, byłoby ostatnie na liście domniemanych, przeciętnemu hackerowi nie zajęłoby dłużej niż kilka minut, aby zalogować się na np. waszego maila (login jest wtedy raczej oczywisty). Trochę straszne, prawda?

Rozważmy więc nieco inną sytuację – mamy hasło, osiem znaków, poszliśmy po rozum do głowy i użyliśmy kombinacji małych i dużych liter a także cyfr i oto rezultat – „Anna2004”. Zwiększyliśmy możliwość kombinacji do 628 = 218340105584896 – całkiem imponująca liczba. Ale, jeśli udostępniliśmy gdzieś informację, że nasza żona to Anna i pobraliście się w 2004 roku, to hasło jest spalone w przedbiegach.

Nie jest tak, że hacker zgadnie je od razu, ale jeśli użyje imion, dat i nazw własnych, które są udostępnione przez Was albo o Was w internecie, aby zawęzić swoje poszukiwania, to otrzyma listę paru bądź parunastu tysięcy kombinacji, które sprawdzi w bardzo szybki sposób. Sam fakt łączenia daty i imiona, może narazić nas na przejęcie konta, nawet jeśli data i imię jest naszą słodką tajemnicą i nikt nie wie co one dla nas oznaczają – liczba imion jest skończona, a daty mają przewidywalny format – tyle wystarczy, by nie były one najlepszym źródłem naszych haseł.

Jednak nie siejmy paniki  – celem tego tekstu jest uzmysłowienie potencjalnych zagrożeń. Hasło w stylu „HerMeneGilda07.07.2016r” dalej stanowi potencjalnie zabezpieczenie nie do złamania, mimo obecności imienia i daty. Jego długość jest imponująca (23 znaków), zawiera małe i duże litery, a także cyfry, nie wspominając już o kropkach, które dodają całą gamę nowych znaków do ilości kombinacji.

Patrząc na ten temat od innej strony, można dojść do wniosku, że hasło które zawiera trzydzieści liter „a” też jest genialne – ilość potencjalnych kombinacji to 2630 = bardzo duża liczba. Jednak ilość potencjalnych kombinacji jest tylko próbą uzmysłowienia podstaw mechaniki działania haseł – w żaden sposób nie stanowi ona niepodważalnego wyznacznika ich siły, jedynie punkt odniesienia. Ponadto, większość portali na które trzeba się logować, mają odgórne ograniczenia długości haseł, więc poleganie tylko na długości hasła nie jest najlepszą metodą. Poza tym sprawdzenie czy hasło nie stanowi ciągu tych samych znaków (niezależnie od znaku i długości ciągu) jest bardzo szybkie.

Ważną kwestią jest także powtarzalność haseł – nie chodzi mi o ilość tych samych liter czy cyfr, ale o używanie tego samego hasła na wielu różnych stronach. Praktyka o tyle częsta, co tragiczna w skutkach. Do tej pory zakładaliśmy, że silne hasło uchroni nas przed dostępem do naszego kont –  ale co jeśli ktoś znajdzie „tylne drzwi” do naszych danych użytkownika i pozna hasło niezależnie od jego siły? Jeżeli zrobi to na naszym portalu randkowym, pół biedy. Gorzej jeśli użyliśmy tego samego hasła do naszego konta internetowego w banku. Wniosek jest jeden – używanie tego samego hasła może się na nas zemścić. Wystarczy, że jedno z miejsc będzie miało niewystarczającą ochronę naszych danych osobowych, a wszystkie mogą stanąć otworem dla hakera.

Wiecie co jest najskuteczniejszą metodą, aby nasze hasło nie zostało złamane? Po prostu nie zdradzajcie go absolutnie nikomu, nie zapisujcie nigdzie poza swoją głową, i nie korzystajcie z wydarzeń i sytuacji z życia osobistego przy wymyślaniu hasła.

PHISHING

Nawet jeśli hasła mamy już wystarczająco „mocne”, żeby odeprzeć każdy bezpośredni atak hackerski, dalej mają one pewną słabość – ciebie. Mówi się, że w każdym systemie komputerowym najsłabszym ogniwem jest człowiek.

Idąc dalej tym tropem –  nawet przy odpornym na atak haśle, nadal ma ono swój słaby punkt – czynnik ludzki. Chodzi mi tutaj o tak zwany „phishing” czyli próby wyłudzenia haseł poprzez maile lub inne formy komunikacji sieciowej. Może się to wydawać trywialne, bo przecież nikt świadomie nie poda nieznanej mu osobie swojego hasła. Hakerzy liczą na efekt skali – wysyłają wiadomości do wielu osób i liczą na to, że chociaż 1% zareaguje.

Liczą nie na to, że ktoś jest głupi, ale  poprzez naśladowanie administratorów serwera (lub osoby zarządzającej naszym kontem) na chwilę nieuwagi z naszej stron. Często zanim zorientujemy się, że coś jest nie tak, już jest za późno. Potwierdziliśmy jakąś operację albo zalogowaliśmy się na podstawioną przez hakera stronę, użyliśmy do tego naszego hasła i już po chwili straciliśmy dostęp do naszego konta na rzecz włamywacza.

Rzecz w tym, że często ciężko rozróżnić podstęp hakerów od prawdziwej wiadomości administracyjnej. Dlatego każda prośba o zalogowanie się pod podanym adresem albo prośba o udostępnienie hasła w celach administracyjnych, powinna od razu wzbudzać w nas nieufność. Żaden serwis internetowy nie będzie prosił o twoje hasło bezpośrednio – mają do niego swoje dostępy, jeśli już muszą coś z nim zrobić. Jeśli chodzi o logowanie do danego portalu, lepiej zamiast klikać podanego linka, wejść na stronę samodzielnie wpisując adres w przeglądarce.

Zachowaj czujność podczas przeglądania internetu. Każda prośba o udostępnianie danych osobowych powinna wzbudzać nieufność. Czy chodzi o przesłanie danych wprost czy o zalogowanie się pod podany adres – zastanówmy się dwa razy, zanim spełnimy taką prośbę a najlepiej z góry ją odrzucać i tylko w razie wątpliwości, skontaktujmy się z danym miejscem bezpośrednio.

PODSUMOWANIE

Zgadywanie haseł i ich wyłudzanie podanymi metodami, stanowią tylko parę z licznych narzędzi w arsenale hakerów. Razem z postępem technologicznym i coraz większą świadomością społeczeństwa o niebezpieczeństwach w internecie, sposoby sieciowych przestępców są coraz bardziej wyrafinowane i trudniejsze do rozpoznania. Mimo, iż firmy zajmujące się tworzeniem oprogramowania dbającego o nasze bezpieczeństwo nie próżnują, to nasza świadomość o tych niebezpieczeństwach jest bardzo istotna. Jeżeli zamiast najsłabszego ogniwa w łańcuchu, będziemy dobrze poinformowanym członkiem społeczności internetowej, świadomym zagrożeń czyhających pod każdym linkiem, wytrącimy z rąk cyberprzestępców bardzo skuteczne narzędzie, jakim jest niewiedza ofiar.