HARD CORE SECURITY LAB

Uwierzytelnianie, czyli weryfikowanie zadeklarowanej tożsamości użytkowników rozmaitych usług oraz systemów informatycznych, od zarania cyfrowych dziejów odbywa się z wykorzystaniem nieśmiertelnych haseł dostępowych. Od wielu lat rozmaite polityki bezpieczeństwa informatycznego niezmiennie wymagają zaś wdrożenia mechanizmów wymuszających okresowe (np. comiesięczne) zmiany wszystkich haseł dostępowych. Słuszność takiego podejścia od dawna budzi spore wątpliwości, brakowało jednak solidnych dowodów na całkowite podważenie sensu częstego wymuszania zmiany poświadczeń.

Oczywiście użytkownicy systemów informatycznych wymuszających częste zmiany haseł już od dawna mają w tej sprawie wyrobione własne zdanie. Ich zdaniem tego typu mechanizmy są pozbawione jakiegokolwiek sensu i tylko utrudniają pracę. Z pewnością hasło, które wyekspirowało w momencie, w którym dany system był najbardziej potrzebny, może doprowadzić użytkownika do szewskiej pasji. Nie jest również tajemnicą, że sami administratorzy systemów informatycznych czasem również wątpią w sens częstego wymuszania zmiany haseł.

Hasło znów wygasło w najmniej odpowiednim momencie?

Wymuszanie częstej zmiany haseł na pewno może w jakimś stopniu zmniejszyć produktywność pracowników. Ile czasu miesięcznie zajmuje przeciętnemu użytkownikowi skuteczna zmiana 5 haseł broniących dostępu do 5 różnych wykorzystywanych przez niego na co dzień systemów i programów? Z moich obserwacji wynika, że wdrożenie systemu zarządzania tożsamością (w skrócie pozwalającego na zalogowanie się do każdego systemu za pomocą tych samych poświadczeń) nie zawsze w pełni rozwiązuje ten problem, gdyż często po zmianie hasła występuje efekt oczekiwania na skuteczne rozpropagowanie się nowych poświadczeń pośród wszystkich systemów IT. Ile czasu taki użytkownik poświęca również na kontakty z działem wsparcia informatycznego, niezbędne w przypadkach zapominania niedawno zmienionych haseł? Do tej pory brakowało jednak wyraźnych dowodów na to, że częste wymuszanie zmiany haseł poza powyższymi przypadłościami, nie wpływa również wcale pozytywnie na bezpieczeństwo.

Trzej badacze, a mianowicie Yinqian Zhang, Fabian Monrose oraz Michael K. Reiter, przeprowadzili jednak pierwsze zakrojone na dużą skalę badania nad bezpieczeństwem współczesnych mechanizmów wymuszania zmiany haseł i trzeba przyznać, że opublikowane wyniki są bardzo interesujące i niepokojące zarazem. Okazało się przykładowo, że stosunkowo prosty algorytm pozwala na odgadnięcie bieżących haseł typowego użytkownika na podstawie znajomości jego poprzednich haseł nawet w 90% przypadków! 41% haseł udawało się w taki sposób złamać w czasie krótszym niż 3 sekundy...

Cóż się więc okazuje? Otóż mechanizm czasowej ważności haseł zazwyczaj w ogóle nie spełnia swego zadania (nie powstrzyma intruza od dalszego uzyskiwania dostępu do danego konta po kolejnej zmianie hasła), gdyż użytkownicy zmieniając hasła na kolejne, stosują zazwyczaj frazy niewiele różniące się od poprzednich (np. zmiana hasła jan.kowalski01 na jan.kowalski02. Zagadka: jakiego hasła Jan Kowalski używa w czerwcu?) i przez to bardzo proste do ponownego odgadnięcia.

Wygląda więc na to, że okresowe wymuszanie zmiany haseł, tak powszechnie dziś stosowane jako jeden z elementów polityki bezpieczeństwa wielu firm i organizacji, jedynie zmniejsza produktywność użytkowników, zwiększa poziom ich frustracji oraz praktycznie w ogóle nie zwiększa bezpieczeństwa systemów informatycznych! Ponownie okazuje się więc, że faktyczna skuteczność automatycznych mechanizmów mających wymuszać określone zachowania użytkowników jest niewielka.

Znacznie lepsze efekty przyniosłoby prawdopodobnie odpowiednie wytłumaczenie użytkownikom prawdziwego sensu okresowej zmiany haseł. Być może wtedy zrozumieliby, że zastępowanie hasła jan.kowalski01 frazą jan.kowalski02 podważa sens całej operacji. Być może również przedstawienie oraz zaproponowanie użytkownikom naszych systemów alternatywnych metod generowania silnych i unikalnych haseł pozwoliłoby na całkowite wyeliminowanie haseł typu jan.kowalski01? Wreszcie warto się również zastanowić nad tym, czy uwierzytelnianie oparte o tradycyjne hasła nie powinno już przypadkiem być jedynie reliktem XX wieku?

[źródło]