HARD CORE SECURITY LAB

Na oficjalnym blogu serwisu Wykop.pl, Tomasz Drożdżyński (Dyrektor Generalny, Wykop Sp. z o.o.) zamieścił wczoraj wpis o niepokojącym tytule „Włamanie na testowy serwer Wykopu”. Czytamy w nim, że serwis kilka tygodni temu odnotował włamanie na jeden z serwerów testowych, oraz że włamywaczom udało się pobrać kopię bazy danych użytkowników (zarejestrowanych do 31 marca 2009 roku), zawierającą również hasła do poszczególnych kont. Ponoć każde z haseł ze względów bezpieczeństwa, było zahashowane, więc nie można go po prostu odczytać. Jedyny sposób, to metoda prób i błędów zwana "brute force".

Przede wszystkim dziwi mnie, że serwis tak długo ukrywał fakt zaistnienia tego zdarzenia. Przez cały czas, jaki upłynął od tego zdarzenia, crackerzy mogli bezkarnie wykorzystywać skradzione tożsamości. Po drugie nieprawdą jest, że jedyna możliwa metoda ataku na zahashowane hasła to brute force. Od jakiegoś czasu istnieje nowatorska metoda łamania zahashowanych haseł, wykorzystującą tzw. tęczowe tablice (ang. rainbow tables). Metoda ta polega na wcześniejszym wyliczeniu bazy skrótów odpowiadających wszystkim potencjalnym hasłom. Specjalne funkcje redukujące pozwalają na zapisywanie tylko niektórych haszy przy zachowaniu niemal pełnego pokrycia wszystkich możliwości haseł. Próbując złamać hasło, odczytuje się więc jego hasz, następnie odszukuje identyczny hasz we własnej bazie i odczytuje odpowiadające mu hasło. Proste i genialne. Więcej o tej metodzie oraz o przykładzie jej praktycznego zastosowania napisałem tutaj.

Jako, że serwis HCSL nie ogranicza się tylko do powielania newsów, chciałbym się podzielić z Wami kilkoma pomysłami na to, jak można zabezpieczyć się na wypadek zaistnienia tego rodzaju sytuacji. Oczywiście pierwszym krokiem po upublicznieniu tego rodzaju wiadomości musi być zmiana własnego hasła do skompromitowanego serwisu... Nie jest tajemnicą, że wielu użytkowników używa tej samej tożsamości (loginu oraz hasła) przy dostępie do wielu różnych usług (kont bankowych, poczty elektronicznej, serwisów społecznościowych, itd.). Jednak w przypadku, gdy crackerom uda się wykraść hasła z jednego z serwisów, tak jak to miało miejsce w przypadku Wykop.pl, automatycznie będą oni w stanie uzyskać dostęp do naszych innych kont… W celu zabezpieczenia się przed tego typu sytuacją, każdy użytkownik wielu usług powinien sobie wypracować pewną politykę zarządzania własnymi hasłami. Oczywiście stosowanie jednego hasła do wszystkich usług jest niedopuszczalne!

Najbezpieczniejsze byłoby stosowanie za każdym razem innego hasła, jednak z powodu tego, że liczba kont, które obecnie posiada przeciętny użytkownik Internetu stale rośnie, nie jest to wygodne, a wręcz grozi częstym zapominaniem poszczególnych haseł w natłoku wymaganych do zapamiętania informacji. Rozsądne wydaje się więc zastosowanie jednego hasła do danego rodzaju usługi. Przykładowo, stosujmy to samo (oczywiście mocne) hasło do wszystkich naszych internetowych kont bankowych, inne hasło do wszystkich kont poczty elektronicznej, jeszcze inne hasło do wszystkich stron internetowych wymagających logowania, itd. W ten oto sposób, użytkownik korzystający z 4 kont pocztowych, 3 kont bankowych, oraz 7 portali wymagających logowania, będzie musiał zapamiętać tylko 3 hasła, w stosunku do 14 haseł, które musiałby zapamiętać, w przypadku tworzenia zawsze unikalnych haseł. Tego rodzaju funkcjonalny podział haseł nie tylko odciąży naszą pamięć, ale też zwiększy nasze bezpieczeństwo. W przypadku gdy, używane przez nas hasło do poczty internetowej zostanie przechwycoen, intruz będzie dysponował co najwyżej dostępem do wszystkich naszych kont pocztowych, ale już nie do kont bankowych, czy też innych ważnych usług.

Jeszcze lepszą metodą może okazać się stosowanie tego samego (silnego) hasła do każdej używanej przez nas usługi, jednak za każdym razem z jakąś stałą modyfikacją. Przykładowo można przyjąć zasadę, że do każdej z usług będziemy stosować następujące hasło: nasze_silne_hasło_nazwa_serwisu!. W takim przypadku, w serwisie Allegro.pl zastosowalibyśmy hasło: nasze_silne_hasło_allegro!. zaś w serwisie Wykop.pl hasło miałoby postać: nasze_silne_hasło_wykop!. Tego rodzaju hasła są łatwe do zapamiętania, gdyż tak naprawdę musimy tylko zapamiętać jedno hasło – stały człon. Natomiast znacznie zwiększamy własne bezpieczeństwo – dostęp do każdej z naszych usług odbywa się za pośrednictwem innego hasła. W takim wypadku, gdy crackerom znowu uda się wykraść hasła z jakiegoś serwisu, nie będziemy się musieli martwić, że uzyskają dostęp do naszych kont w pozostałych serwisach!