Uwierzytelnianie to droga dwukierunkowa!

bezpieczeństwo

W bezpieczeństwie komputerowym często posługujemy się słowem uwierzytelnianie. Oznacza ono proces lub mechanizm, za pomocą którego dowodzimy, że my to my (albo ktoś dowodzi nam, że on to on). Wyobraźmy sobie, że jesteśmy w obozie wojskowym. Ktoś podchodzi do strażnika, a ten woła: „Błysk”. Nadchodzący żołnierz odpowiada: „Grom”. To klasyczne hasło i odzew z czasów drugiej wojny światowej.

Wymiana ta nie ma sensu, co jest celowe. Ma ona dowieść żołnierzowi, że znalazł się przy właściwym obozie, a strażnikowi – że żołnierz jest jednym z jego towarzyszy. O hasłach i odzewach sporo pisze się na jednym z moich ulubionych blogów, który znajdziecie tutaj.

W erze komputerów sprawy znacznie się skomplikowały, ale proces pozostał zasadniczo taki sam. Witryna internetowa próbuje ustalić, kim jest użytkownik i czy jest właściwą osobą — to właśnie uwierzytelnianie. Istnieją następujące trzy metody uwierzytelniania:

  1. Coś, co masz, na przykład prawo jazdy, karta kredytowa itd.
  2. Coś, co znasz, na przykład hasło.
  3. Coś, czym jesteś, na przykład odcisk palca, wzór siatkówki oka albo struktura twarzy. Określa się to mianem uwierzytelniania biometrycznego.

W komputerze znajdują się też inne informacje o użytkowniku. Jest jego adres IP (adres przypisywany każdemu komputerowi w internecie), a sam komputer ma unikatowy numer seryjny, który nietrudno odczytać. System operacyjny identyfikuje się, podobnie jak wiele innych elementów sprzętu i oprogramowania w komputerze. Wszystkie one są unikatowe i wszystkie prowadzą do użytkownika. Jedną z metod, której używamy do zabezpieczenia się, jest odmiana uwierzytelniania nazywana hasłem. Stwarza ona mnóstwo zamieszania w naszym życiu, i nic dziwnego; poniższy tekst zaczerpnąłem z osobistego bloga:

Klucz

Hakerzy interesują się otwieraniem zamków. Co roku na DEFCON-ie organizowane są konkursy i demonstracje, a różne narzędzia (wytrychy, klucze do bumpingu) można kupić na konferencjach Black Hat, DEFCON i innych podobnych imprezach. Timo Hirvonen twierdzi, że jest to logiczne przedłużenie nauki testowania penetracyjnego, a ja całkowicie się z nim zgadzam. W rzeczywistości nauczyłem się otwierać zamki latem 1965 roku, na długo przed tym, zanim zająłem się komputerami, ale to temat na inną opowieść.

Naprawdę ma to związek z tematem, więc proszę o jeszcze odrobinę cierpliwości.

Przyjrzyjmy się typowemu kluczowi na obrazku powyżej. Jest to klucz do zamka bębenkowego, najczęściej spotykany rodzaj. Zwróćmy uwagę, że małe nacięcia na kluczu mają różną głębokość. Klucz wkłada się do otworu, który znajduje się w części zamka zwanej cylindrem.

Klucz

Kiedy wszystkie nacięcia na kluczu mają odpowiednią głębokość, zapadki ustawiają się tak, że możliwe jest obrócenie cylindra. Muszą one być wykonane bardzo dokładnie. W naszym przykładzie zamek ma pięć zapadek, więc klucz musiałby mieć nacięcia w pięciu miejscach. Każda zapadka może być ustawiona w kilku pozycjach; żeby uprościć obliczenia, załóżmy, że zapadka ma pięć różnych ustawień.

Ile to daje możliwych kombinacji? Pięć razy pięć to 25, ale nie jest to właściwa odpowiedź. Pięć razy pięć razy pięć, czyli 125, to również nie to. Opisywany zamek byłby bardzo prosty, ale oferowałby aż 3125 kombinacji (pięć do potęgi piątej). Gdyby każdy bolec miał sześć możliwych pozycji, liczba kombinacji wzrosłaby do 15 626.

W zamku bębnowym, takim jak pokazany powyżej, występuje jeszcze takie ograniczenie, że klucz musi mieć odpowiedni wpust (rowki i wyżłobienia, które umożliwiają włożenie klucza do zamka). Każda marka ma własny wpust i dlatego w punktach dorabiania kluczy można zobaczyć setki surowych kluczy na dużym obrotowym stojaku.

Jest to bardzo dobry model internetowego hasła. Liczba zapadek odpowiada liczbie znaków hasła, a liczba możliwych pozycji zapadki odpowiada liczbie dostępnych znaków. Stąd ciągle słyszymy, że hasło jest mocne lub słabe. Przyjrzyjmy się temu bliżej.

Wyobraźmy sobie bardzo krótkie hasło złożone z zaledwie dwóch znaków. Gdybyśmy używali tylko cyfr, mielibyśmy dziesięć możliwości na każdej pozycji (0-9), więc przy takim ograniczeniu dwuznakowe hasło złożone wyłącznie z cyfr dziesiętnych dawałoby zaledwie 100 możliwych kombinacji. Gdybyśmy chcieli wypróbować je ręcznie, byłoby to kłopotliwe, ale komputer mógłby wygenerować sto kombinacji w ułamku sekundy.

Gdybyśmy w tym samym dwuznakowym haśle użyli 26 łacińskich liter zamiast cyfr, otrzymalibyśmy 676 możliwych kombinacji zamiast 100. Gdybyśmy zwiększyli liczbę znaków, podobnie jak liczbę zapadek w zamku, kombinacji byłoby jeszcze więcej, jak pokazano w tabeli poniżej.

 cyfry  litery  cyfry+litery
 10  26 36
 1  10  26 36
 2  100 676 1296
 3  1000  17 576  46 656
 4  10000  456 976  1 679 616
 5  100000  11 881 376  60 466 176
 6  1000000  308 915 776  2 176 782 336
 7  10000000  8 031 810 176  78 364 164 096
 8  100000000  208 827 064 576  2 821 109 907 456
 9  1000000000  5 429 503 678 976  101 559 956 668 416
 10  10000000000  141 167 095 653 376  3 656 158 440 062 980

Cóż, nie musimy robić tego sami. Możemy zainstalować program znany jako menedżer haseł. Ten, który stworzyła firma F-Secure, nazywa się KEY. Niedługo mu się przyjrzymy, ale najpierw wyjaśnijmy sobie kilka spraw. Jak widać, im dłuższe hasło albo im więcej można wykorzystać w nim różnych znaków, tym trudniej je złamać. To nie wszystko. Jeśli używamy hasła złożonego ze słów, które znajdują się w słowniku, haker będzie mógł złamać je za pomocą słownika. Naprawdę. Określa się to zresztą mianem ataku słownikowego. Zatem najlepsze byłoby hasło zupełnie nonsensowne. Tylko jak je zapamiętać?

1. Hasła są niezwykle cenne. Są to elektroniczne wersje kluczy, a prędzej czy później nasze samochody i domy będą otwierać się na hasło, a nie za pomocą fizycznego klucza (mam tu wielką ochotę nieco zboczyć z tematu). Warto poświęcić hasłom nieco uwagi, ponieważ kradnie się je na lewo i na prawo, a otwierają one drzwi do naszej poczty elektronicznej, naszej reputacji i naszego konta bankowego.

ZBACZAJĄC Z TEMATU

Kluczyki do samochodów ostatnimi laty stały się bardziej skomplikowane. Najpierw w samochodach zaczęto montować elektroniczne zamki, a klucze zmieniły się w piloty. Dochodzą do tego inne funkcje, takie jak otwieranie bagażnika oraz jakiś rodzaj alarmu. Ponadto w kluczu znajduje się wtórna blokada, żeby samochód można było otworzyć tylko kluczem, który ma odpowiedni fizyczny kształt (jak opisano powyżej) ORAZ odpowiedni podpis elektroniczny. Dlatego nowy klucz do mojego samochodu po wycięciu wymaga zaprogramowania i kosztuje prawie 300 dolarów! Podobno ze względu na dodatkowe programowanie, ale tak naprawdę dlatego, że potrzebujemy kluczyków do samochodu, a w zależności od marki wozu producenci dyktują nam najwyższą cenę, jaką jesteśmy skłonni zapłacić. Elektronika nie jest tyle warta, podobnie jak „programowanie”. Pokazuje to, jak działa świat. Jeździsz buickiem z 1961 roku, kupisz kluczyk za dolara, jeździsz lexusem rocznik 2001, a klucz wyniesie cię 300 dolarów — w najnowszych modelach w ogóle nie używa się fizycznych kluczy, tylko jeszcze droższych kart. Liczą sobie tyle, ile jesteśmy skłonni zapłacić.

2. Jest bardzo ważne, żeby nie używać tego samego hasła do wszystkiego, bo jeśli ktoś złamie jedno, będzie znał je wszystkie. Niektórzy używają prostych, jednakowych haseł do tego, na czym im szczególnie nie zależy (jak kupon rabatowy do cukierni), a mocniejszych, niepowtarzalnych haseł do ważniejszych rzeczy, takich jak kody startowe do wyrzutni rakiet jądrowych.

3. Nie należy używać haseł, których można domyślić się na podstawie imion domowych zwierząt, imienia współmałżonka, nazwy łódki ani czegokolwiek, czego można się o kimś dowiedzieć poprzez dokładną analizę strony na Facebooku.

4. Należy tworzyć zapasowe kopie danych!  Ja robię dwie różne kopie wszystkiego, a trzy w przypadku najważniejszych danych. Kopiuję dane do urządzenia NAS (sieciowa pamięć masowa) i do chmury, a trzecia metoda jest moją tajemnicą. Nigdy nie stawiajmy się w sytuacji, w której ktoś włamie się na nasze konto i ukradnie albo usunie cokolwiek, czego potrzebujemy.

To powiedziawszy, chciałbym zauważyć, że dziś musimy uwierzytelniać się stanowczo zbyt często (właśnie do tego służy hasło, do uwierzytelniania się — dowodzenia, że my to my). Ci, którzy spędzają w sieci dużo czasu, mogą mieć nawet setki haseł, a kto byłby w stanie to spamiętać? Otóż nikt. To kolejny przykład SZOKU PRZYSZŁOŚCI błyskotliwie przewidzianego w 1971 roku przez doktora Alvina Tofflera.

Książka

Do czego zmierzam? Może przesadzamy z uwierzytelnianiem. Czy Bar Micwa mojego bratanka naprawdę wymaga utworzenia hasła tylko po to, żebym mógł odpowiedzieć na e-zaproszenie? Czy rzeczywiście potrzebuję mocnego hasła, żeby chronić rejestrację udziału w targach branżowych? Powszechne i ciągle rosnące zapotrzebowanie na nowe hasła trochę osłabia ich wizerunek w oczach ogółu użytkowników. Jeśli ktoś musi posługiwać się setkami haseł, to prawdopodobnie nie będzie wkładał dostatecznie dużo wysiłku w zarządzanie nimi.

W F-Secure mamy na to sposób o nazwie KEY. Używam tego programu we wszystkich moich urządzeniach i uważam, że sprawdza się naprawdę dobrze. Synchronizuje wszystkie hasła między urządzeniami i chroni je jednym hasłem głównym. Klucze są bezpiecznie szyfrowane i nie można wyodrębnić ich ani z zainstalowanego programu, ani z chmury. KEY może też wygenerować nowe, mocniejsze hasła do najcenniejszych danych. Warto mu się przyjrzeć.

Wytrwajcie!

David Perry

 

Tagi

Oceń artykuł

0 głosów

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

Może Ci się też spodobać

%d bloggers like this: