Sezamie, zamknij się!


Zapamiętywanie haseł

Na co komu optymalne hasło, jeśli nie uda się go zapamiętać? Niektórzy posługują się ponad pięćdziesięcioma tajnymi kodami. Na taką okazję warto mieć ściągawkę - jednak z pewnością nie w postaci kartki noszonej w portfelu.

Jeśli opierać się na jednogłośnej opinii wielu ekspertów, do najbezpieczniejszych narzędzi hasłowych należy wspomniany powyżej KeePass. Szyfruje nie tylko same hasła, lecz całą bazę danych. Wykorzystuje algorytmy AES/Rijndael i Twofish - te same znajdują zastosowanie w wielu zaawansowanych systemach bankowych. Odszyfrowanie zabezpieczonego w ten sposób klucza trwałoby średnio kilka milionów lat. Powyższe metody KeePass stosuje w połączeniu z algorytmem haszującym SHA 256 i 256-bitową sumą kontrolną, generowaną do każdego zapytania. Jeśli chcesz zaczerpnąć informacji na temat opisanej koncepcji bezpieczeństwa, zajrzyj na stronę internetowąhttp://keepass.info/help/base/security.html .

Aby ustawić polski interfejs, pobierz odpowiedni plik językowy z witryny autora i skopiuj zawartość archiwum do katalogu, w którym został zainstalowany KeePass. Następnie uruchom go, kliknij menu View | Change language i wskaż wiersz Polish.

Bezpieczeństwo gromadzonych haseł zapewnia klucz główny, który ustawia się, tworząc nową bazę haseł. Wymyśl je sam zgodnie z powyższymi zasadami lub użyj wbudowanego generatora (menu Narzędzia | Generator haseł). Aby utworzyć hasło automatem, ustal zakres dozwolonych znaków i zaopatrz program w ciąg danych losowych, poruszając myszą. Jeśli z KeePassa korzysta kilka osób, każda powinna mieć oddzielną bazę. Hasła możesz gromadzić w kategoriach i podkategoriach. Aby przywołać jedno z nich, wystarczy kliknąć przycisk Kopiuj hasło do Schowka.

Zauważ, że KeePass dostępny w archiwum ZIP można rozpakować na dowolny nośnik (nawet przenośną pamięć USB). Dodatkowe bezpieczeństwo uzyskasz opcjonalnym plikiem klucza. Wówczas autentyczność użytkownika program nie tylko sprawdzi na podstawie wpisanego hasła, lecz również upewni się, czy np. określony nośnik z plikiem klucza jest podłączony do portu USB. Najwyższy stopień bezpieczeństwa daje zastosowanie obu wymienionych środków.

Łamanie haseł

Sezamie, zamknij się!

Ile czasu potrzeba na złamanie hasła?

Wpływ na bezpieczeństwo hasła mają metody stosowane do jego złamania. Zatem lepiej nie używać istniejących wyrazów. W wypadku wszystkich innych kombinacji znaków można złamać hasło tylko za pomocą tzw. ataku siłowego, czyli wypróbowywania kolejno wszystkich możliwych kombinacji znaków do momentu odgadnięcia hasła.

Blokowanie ataków siłowych. Administratorzy witryn wymagających hasła powinni dopuszczać ograniczoną liczbę prób wpisywania. Po jej przekroczeniu witryna blokuje się i odblokowuje po upływie kilku minut lub potwierdzeniu przez internautę. Niektóre serwisy oferują tę funkcję, jednak trzeba ją włączyć samodzielnie w ustawieniach.

Wzór bezpieczeństwa. Jakość hasła, czyli liczba możliwych kombinacji (N), zależy od jego długości (D), a także od wielkości zestawu użytych znaków (Z). Wzorem N = Z D szybko obliczysz poziom bezpieczeństwa swojego hasła. Cały zestaw ASCII składa się ze 128 znaków (Z = 128). Jednak, jeśli hasło nie zawiera znaków specjalnych ani cyfr lub wręcz nie rozróżnia między małymi i wielkimi literami, zmienna Z jest znacznie mniejsza.

Nieograniczone możliwości. Tabela pokazuje, ile prób trzeba dokonać maksymalnie, aby złamać hasło o określonej długości i pewnym spektrum znaków. Trudno powiedzieć, jak długo będzie trwało odgadnięcie hasła przez dany komputer. Zależy to od wydajności procesora i od możliwości programu deszyfrującego. W ramach testów próbowaliśmy ustalić hasła swoich własnych plików za pomocą aplikacji Elcomsoft (http://www.elcomsoft.com ) - uzyskiwała średnią wydajność rzędu 25 milionów prób na sekundę. Na pierwszy rzut oka ten wynik robi ogromne wrażenie. Jednak gdy podzielić przez niego liczbę możliwych kombinacji, to już znacznie mniejsze.

Odgadnięcie czteroznakowego hasła, które może składać się z dowolnych znaków ASCII, trwało zaledwie 11 sekund. Za to dziesięcioznakowe hasło złożone tylko z wielkich liter zajęłoby program na ok. 66 dni. A dziesięcioznakowy klucz z całego zestawu ASCII jest praktycznie nie do złamania atakiem siłowym.

Bezpieczeństwo jest względne. Wypowiedź, że hasło jest nie do złamania, obowiązuje tylko na chwilę obecną. Według prawa Moore'a wydajność komputerów podwaja się co 18 miesięcy. Hasło, które dziś uchodzi za bezpieczne, za kilka lat będzie można zdeszyfrować przy użyciu domowego peceta. A zgrupowane komputery w sieci wspólnymi siłami znacznie szybciej złamią hasło niż pojedyncza maszyna.