Reklama

Artykuł

Hasła: zło konieczne, ale przyszłość zwiastuje duże zmiany

admin

admin

  • Zaktualizowany:

Hasła odgrywają w naszym życiu znaczącą rolę. Niestety, nie wszystkie są tak mocne, jak powinny. Natomiast, zapamiętywanie skomplikowanych haseł jest dość trudne. Czy istnieją dla nich jakieś alternatywy? Tak, ale wie o nich niewielu.

W naszej cywilizacji – która oparta jest na własności, prywatności i poufności – ochrona tożsamości jest podstawową zasadą bezpieczeństwa. Jeśli nie jesteś w stanie udowodnić, że jesteś osobą, za którą się podajesz, nie uzyskasz dostępu do swojego konta bankowego lub emaila. Dowód osobisty jest tylko jednym ze sposobów uwierzytelnienia się. Podobnie uwierzytelniają Cię kluczyki od samochodu (jako jego, choćby tymczasowego, posiadacza) czy kod PIN Twojej karty płatniczej. Nasze życie jest pełne haseł i przedmiotów, które poświadczają naszą tożsamość i prawa dostępu. I nie ma nic w tym fakcie inherentnie dobrego czy złego; zwyczajnie tak to już dzisiaj jest.

Hasła: zło konieczne, ale przyszłość zwiastuje duże zmiany

Hasła: spuścizna przeszłości

W informatyce, problem identyfikacji i praw dostępu po raz pierwszy pojawił się w systemach komputerowych przeznaczonych dla wielu użytkowników. Obsługiwane były one przez ogromne maszyny, z którymi dziesiątki osób łączyły się poprzez terminale, by uzyskać dostęp do określonych zasobów danych. Bez haseł, użytkownicy mogliby podszywać się pod innych i otwierać zastrzeżone pliki – rzecz nie do pomyślenia w systemach akademickich czy wojskowych.

Wynalezienie haseł komputerowych przypisuje się Fernando Corbató (źródło)

Powodem, dla którego dziś używamy haseł w tekście otwartym (ang. plaintext) jest to, że przed laty systemy komputerowe niemal wyłącznie dopuszczały używanie jedynie klawiatury. Natomiast krótka długość haseł wynika z tego, że zasoby ówczesnych komputerów były bardzo ograniczone i nie mogły pomieścić haseł o dużej długości. Popularyzacja i adopcja tych systemów przez uczelnie, które później przyczyniły się do powstania Internetu, sprawiła, że cały świat bez pytania przyjął hasła takimi, jakimi je dziś znamy.

Hasła: ekonomiczne, ale problematyczne

Jako system identyfikacji, hasła są bardzo wygodne i łatwe do wdrożenia w dowolnym systemie komputerowym. Po pierwsze, praktycznie każdy komputer umożliwia wprowadzania tekstu za pomocą klawiatury. Po drugie, dzisiejsze systemy operacyjne mogą bez trudu gromadzić nieprzebrane ilości haseł tekstowych. Technologia haseł jest prosta, dość niezawodna i dobrze znana.

John the Ripper może wypróbować tysiące haseł na sekundę (źródło)

Mimo swych wielu zalet, hasła tekstowe są dość słabą metodą potwierdzania tożsamości. Przyczyną tego nie są systemy informatyczne, w których są stosowane, a trudność naszych mózgów z zapamiętaniem długich ciągów liter i cyfr. W związku z tym, mamy tendencję do generowania i używania łatwych do zapamiętania haseł, które często nie gwarantują bezpieczeństwa. Przykładowo, częstymi hasłami są frazy takie, jak „123456”, „qwerty” i „słoneczko1”. Jaki jest z nimi problem? Ano taki, że tak krótkie i proste hasła nie stanowią żadnej trudności dla programów stosowanych przez współczesnych hakerów. Zabezpieczenie dostępu do Facebooka lub konta bankowego takimi hasłami może być opłakane w skutkach.

Liczne próby poprawienia świadomości publicznej

Mimo, że o słabościach haseł wiemy od wielu lat, większość z nas ciągle z nich korzysta. Wciąż używamy tych samych słabych haseł, a gdy strony internetowe wymagają, np. stosowania cyfr, dodajemy do naszych haseł „1” lub naszą datę urodzenia. Wielu użytkowników nagminnie używa tego samego hasła w wielu różnych serwisach, co znacznie ułatwia hakerom sprawę. Wystarczy, że włamią się oni do jednego z Twych kont, by uzyskać dostęp do pozostałych! Wszystko to wynika z odwiecznej konieczności wyboru między bezpieczeństwem, a wygodą. Jak pokazuje historia, to właśnie wygodę wybieramy zazwyczaj.

Strona How Secure is My Password informuje, ile czasu wymagałoby złamanie Twojego hasła

Niektórzy eksperci ds. bezpieczeństwa oraz psychologowie polecają mnemotechniki ułatwiające zapamiętywanie długich haseł. Ich zdaniem, pomóc może wykorzystywanie wierszy i tekstów ulubionych piosenek jako długich, bezpiecznych haseł. Innym sposobem jest stosowanie menedżera haseł – polecamy Dashlane – który sam wygeneruje i zapamięta za Ciebie bardzo długie hasła. Jedynym i ostatnim hasłem, które będziemy musieć zapamiętać będzie to do samego menedżera.

Istnieją rozwiązania alternatywne, ale korzysta z nich niewiele osób

Problemy związane ze stosowanie haseł spowodowały, że powstały alternatywne rozwiązania. Mogą one usprawnić obecnie stosowane systemy haseł lub całkowicie je zastąpić. Rozwiązania te podzielono na cztery główne kategorie: 1) coś, co wiesz; 2) coś, co masz (np. tokeny); 3) coś, czym jesteś (np. linie papilarne); 4) coś, co robisz.

Coś, co wiesz

Podstawowym elementem tej kategorii są, naturalnie, hasła – czyli rzeczy, które pamiętamy. Ale wiedzieć – a więc też rozpoznawać – możemy również twarze, wzory geometryczne, czy zdjęcia. Symbole te zapamiętujemy niemal bez wysiłku, co jest ich najważniejszą zaletą w porównaniu do tradycyjnych haseł.

Windows 8 umożliwia łatwe tworzenie haseł obrazkowych

Rysowanie szlaczków i wzorków by odblokować urządzenia z Androidem lub Windows 8 to dwa przykłady weryfikacji, które mniej obciążają naszą pamięć niż tradycyjne hasła. Sposób ten jest jednocześnie bardziej odporny na próby włamania. Innym przykładem są dobrze znane pytania typu “Jak nazywał się Twój wychowawca?”. Ich skuteczność jest mocno ograniczona tym, jak bardzo niebanalnie na nie odpowiadamy. Pamiętajmy, że odpowiedź na to pytanie zna cała nasza klasa i jest ona dostępna w serwisie o tej samej nazwie.

Coś, co masz

Klucze do domu – czyli „coś, co masz” – to też rodzaj hasła. Tym razem zostało ono zakodowane w postaci nacięć i ząbków o różnych rozmiarach i kształtach. Innym przykładem jest karta kredytowa, dająca dostęp do pieniędzy zgromadzonych na koncie. Zaletą tego systemu identyfikacji jest brak konieczności pamiętania długich haseł. Wadą, konieczność bacznego pilnowania przedmiotów zastępujących hasła, tzn. kart, kluczy lub dowodu osobistego.

W informatyce, fizyczne zamienniki haseł (tzw. klucze sprzętowe) są stosowane od dawna. Poza popularnymi kluczami w formie pendrivów, coraz częściej wykorzystujemy telefony, korzystając z tzw. weryfikacji dwuetapowej (ang. two-step verification). Polega ona na konieczności podania nie tylko tradycyjnego hasła, ale też kodu SMS wysłanego na nasz numer telefonu.

Coś, czym jesteś

Nasze ciało jest unikalne. Nie istnieją dwie identyczne osoby. Nasze odciski palców, siatkówka oka, barwa głosu i rysy twarzy należą tylko do nas. Nie da się ich ukraść ani zgubić z taką łatwością, jak paszportu na wakacjach. Fakt ten wykorzystują technologie zastosowane w najnowszych smartfonach. Niektóre telefony z Androidem potrafią rozpoznać Twoją twarz, a iPhone 5S posiada czytnik linii papilarnych.

W teorii, biometryczne systemy identyfikacji nie mają wad. Ich użytkownicy nie mogą paść ofiarą kradzieży, ani nie muszą pamiętać skomplikowanych haseł. W praktyce, mają one swoje wady. Skanowanie naszego ciała wciąż bywa dość zawodne i drogie. Poza tym, jeśli komuś udałoby się przechwycić odcisk naszego palca, ciężko byłoby nam go zmienić.

Coś, co robisz

Miejsce, w którym jesteś i to, co robisz również bywa wykorzystywane w weryfikacji Twej tożsamości. Przykładowo, operacje na Twym koncie bankowym, które odbiegają od historii wcześniejszych transakcji, mogą zasygnalizować bankowi kradzież numeru Twojej karty kredytowej (np. zakup przez emeryta 10 par butów sportowych).

Popularność tego rodzaju narzędzi jest jednak nadal dość niska. Być może jest tak ze względu na ograniczoną kontrolę, jaką ma nad nimi użytkownik. Druga bariera dla popularyzacji tej technologii ma korzenie w naszej psychologii. Fakt, że nie wymaga ona posiadania żadnego przedmiotu, sprawia, że wydaje nam się, iż jest ona mniej bezpieczna.

Dla pełnego bezpieczeństwa połącz różne typy zabezpieczeń

Żaden z systemów nie gwarantuje pełnego bezpieczeństwa. Jedyną metodą jest użycie więcej niż jednego typu identyfikacji (dwóch, trzech lub czterech). Ochrona osiągnięta w ten sposób jest znacznie bardziej odporna na potencjalny atak hakera.

Główną wadą weryfikacji wieloetapowej jest jej wysoki koszt. Na dzień dzisiejszy, tylko najwięksi producenci oprogramowania i znane strony internetowe mogą sobie pozwolić na jej wdrożenie. Czynnikiem generującym koszty są przede wszystkim drogie czytniki biometryczne i klucze sprzętowe. Ponadto, dla wielu użytkowników tradycyjna weryfikacja jest znacznie mniej kłopotliwa.

Na szczęście, rośnie popularność systemów weryfikacji dwuetapowej. W ostatnich latach, wdrożyły ją Google, Facebook i Twitter, a ostatnio także Apple. Być może w niedalekiej przyszłości będziemy świadkami eksplozji popularności tej technologii. Z pewnością, każdy by na tym skorzystał.

Myślicie, że coś się zmieni czy będziemy korzystać z haseł aż do grobowej deski?

Autorem tekstu jest Fabrizio Ferri-Benedetti.

admin

admin

Najnowsze od admin

Editorial Guidelines