Czy nasze hasła są bezpieczne? O łamaniu słownikowym...
Jak to możliwe, że w XXI wieku wciąż słyszymy o przejęciu czyjegoś konta?
Jakiś czas temu zainteresował mnie temat łamania haseł. Pamiętam, mój jeden z pierwszych błędów, które zgłosiłam jeszcze na praktykach. W firmie X, w bazie danych hasła nie były hashowane. Uwierzycie? Pomimo krótkiego stażu w IT, nie było to aż tak dawno.
Żeby włamać się na konto, haker musi złamać kod naszego hasła, który jest przechowywany w bazie danych. Wydawać by się mogło, że w XXI wieku włamanie na czyjeś konto to totalna abstrakcja, ponieważ wiele platform wymaga od użytkowników skomplikowanych haseł z różnymi znakami specjalnymi. Dodatkowo, wielu programistów nie korzysta już tylko ze standardowych funkcji kodowania, ale specjalnych mechanizmów, np. Bcrypt. A jednak..
Kod hasła może być różny, jego format wygląda tak:
$1$apj7$LI0NvmoDuLV6ugSPsoc150
Początkowe znaki $1$ oznaczają, że hasło jest zapisane za pomocą MD5. Dalsze znaki, aż do $ to salt, a ciąg po $ to skrót hasła.
Atak słownikowy
Metoda opiera się na najbardziej popularnych słowach. Hasła są generowane z zastosowaniem pewnym modyfikacji:
- modyfikacja wielkości liter, np. jasu, KaSiU, JASIU, JAsiu
- dodanie cyfry lub cyfr na konic lub początku: 1jasiu1, 12jasiu, jasiu33
- zamiany litery na podobną cyfrę:
słowo | modyfikacja | litera -> cyfra |
---|---|---|
klucz | k1lucz | l ->1 |
zero | zer0 | o -> 0 |
test | t3st | e -> 3 |
test | te5t | s -> 5 |
Złamanie hasła to jedno, a obejdą weryfikację dwustopniową?
Trudne pytanie, warte zastanowienia, przemyślenia..
Dokładnie. Podstawa w dzisiejszych czasach to nietrywialne hasło (np. z generatora w Keepass) + weryfikacja dwuskładnikowa. Niestety większość ludzi ma hasła typu "kwiatek123" do wszystkich serwisów.
Strach pomysleć o ich hasłach do banku!
Myślę, że tu na szczęście nie ma takiej dowolności i system danego banku wymusza na użytkowniku zachowanie jakiś standardów przy tworzeniu hasła :)
Chociaż nie mam wiedzy technicznej, uważam, że ten temat jest bardzo ciekawy. Ostatnio mam świra na punkcie bezpieczenstwa, hasła tak skomplikowane, że aż sama się w nich gubię :D ale jak sobie przypomnę jakie hasła ustawiałam jak była młodsza... aż strach pomyśleć
Keepass i wystarczy pamiętać jedno hasło :)
a co jak ktoś o niepowołanych rękach wykradnie dane z Keepass'a?
Sama baza Keepass jest szyfrowana, wjazd do keepass można ustawić z weryfikacją dwuetapową, jednak jak zawsze najsłabszym ogniwem jest sam użytkownik :)