Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jaka jest najczęstsza zła rada udzielana w kontekście haseł?
Dzisiaj jest ponoć Światowy Dzień Hasła ;-) No wiec niech będzie, kilka ciekawych materiałów od nas.
Przechodząc do tematu zaanonsowanego w tytule – zmienianie czy wymuszanie zmiany hasła „bo tak” (np. raz na miesiąc) jest bez sensu, a nawet zmniejsza bezpieczeństwo haseł. Czy któryś z Waszych banków wymusza zmianę hasła co miesiąc? No właśnie…
O takim podejściu wspomina też Microsoft, OWASP czy NIST. Oczywiście należy zmienić hasło, jeśli podejrzewamy że mogło zostać ono ujawnione lub gdy w danym systemie dojdzie do wycieku.
Po drugie: czy hasła muszą zawierać znaki specjalne, cyfry i takie tam inne? ;-) Niekoniecznie – bardziej liczy się długość hasła. Wspomina choćby o tym FBI:
Zamiast używać krótkiego złożonego hasła, które jest trudne do zapamiętania rozważcie raczej używanie jako hasła dłuższego „zdania” [passphrase]. Wystarczy tylko połączyć kilka słów w jedno duże hasło, które powinno mieć ponad 15 znaków.
Użyjcie jako hasła 4+ nieco mniej typowych słów, tak żeby całość miała więcej niż 15 znaków, np.:
znakispecjalnesąniewielewarte
(tak, warto przy okazji używać polskich liter w haśle :). Takie hasło będzie praktycznie niełamalne (oczywiście nigdzie nie używajcie wprost hasła, które zaproponowałem powyżej czyli: znakispecjalnesąniewielewarte).
Po trzecie – warto używać menadżerów haseł – zerknijcie np. na Bitwardena czy Keepassa. Pamiętacie wtedy jedno hasło, a resztę macie zapisane w menadżerze. Wygodne i bezpieczne.
Po czwarte – gdzie tylko możecie, stosujcie 2FA (tzw. dwuczynnikowe uwierzytelnienie). Wtedy nawet jeśli ktoś pozna Twoje hasło, nie będzie się mógł zalogować na Twoje konto. Jeśli to ostatnie zalecenie jest nieco niejasne, oglądnij poniżej nasze bezpłatne szkolenie o hasłach:
Jeśli jesteś osobą bardziej techniczną, oglądnij to szkolenie (3h!):
Jeśli uważasz, że wiesz wszystko o hasłach, sprawdź się w naszym quizie :-)
–Michał Sajdak
Oglądnij !!!
Litości.
za definicją ze strony PWN
> Oglądnąć, zaglądnąć itp. to formy regionalne, małopolskie
No a kolega jest z zachodniopomorskiego i co teraz?
… i nie rozumie ;]
A ja przeczytałem : obejrzyj. Jestem z Dolnośląskiego
Kiedyś dostałe dobry pomysł na skomplikowane hasło, np takie:
MpBblzkdzi15.
jest wymyślenie sobie zdania:
„Mój pies Burek bardzo lubi zjadać kości dzisiaj zjadł ich 15.”
i wpisywanie pierwszych liter każdego wyrazu ;)
Taki sobie pomysł, musisz zapamiętać bardzo długie zdanie, a wychodzi z tego ledwie kilkuznakowy ciąg. To już lepiej wpisuj jako hasło całe zdanie o Burku :)
Niegdyś powstała strona passwordrandom.com, gdzie był ranking 10000 najgorszych (najczęstszych) haseł. Zajrzałem tam nie raz, bo chciałem zobaczyć, na którym miejscu rankingu znajduje się dane hasło po porównaniu z artykułami dotyczącymi najsłabszych haseł. Oczywiście teraz pewnie się niewiele zmieniło (jeśli cokolwiek), bo dominują takie jak „letmein”, „soccer”, „football”, „chelsea”, „arsenal”, „juventus”, może jeszcze „hockey”. Podobno to są jedne z najgorszych.
Z tymi polskimi znakami w haśle to trochę strzał w kolano. Windows upraszcza znaki a inne aplikacje niekoniecznie. I tak logowanie do AD ok idzie ludek zdalnie i nagle klient VPN firmy 3ciej twierdzi, że hasło złe przy logowaniu z użyciem NPSa.
To należy zmienić klienta VPN firmy 3ciej. Nie wyobrażam sobie w dzisiejszych czasach, żeby aplikacje nie akceptowały specyficznych dla danego języka znaków w haśle. chcę np. znak „≠” czemu nie? Bcrypt, czy inny algorytm nie ma z tym najmniejszego problemu.
„To należy zmienić klienta VPN firmy 3ciej.”
Bądź realistą.
Nie do końca. Wystarczy mieć otwarty w okienku RDP z MS Win bez polskiej klawiatury… i już znikają polskie znaczki. Wynik – nie zalogujesz się praktycznie i nie będziesz wiedział dlaczego (;
Potwierdzam problem ;) , inny przykład to poprawne logowanie do AD oraz OWA ale już desktopowy Outlook pokazuje błąd uwierzytelnienia do Exchange Online jeśli hasło ma polskie znaki
Przy polskich znakach często występują też problemy z logowaniem z systemów które nie mają zainstalowanej polskiej klawiatury. Z doświadczenia wiem że polskich znaków w hasłach lepiej unikać.
Jak wspomina Gal to znaki diakrytyczne są złym pomysłem, jak nie masz pewności jak dany system przetwarza ten ciąg znaków. A wystarczy, że się gdzieś zmieni kodowanie, albo jakaś biblioteka i jesteś w dupie.
Polskich znaków w haśle nie używam od czasu, kiedy musiałem się zalogować do swojego konta z jakiejś kafejki internetowej we Francji (pomijając potencjalne ryzyko takiej operacji).
Nie sama długość hasła się liczy, ale też jego entropia. Lepsze jest hasło krótsze, ale naprawdę złozone od dłuższych, ale słownikowych. Co do polskich liter – w pewnym sensie są one znakami specjalnymi. Wystarczy spojrzeć w tabele kodowania ASCII lub Unicode.
Jest jakieś proste 2FA do Windows10?
Sprzętowy klucz U2F np. Ubikey.
Co prawda dokument NIST mówi że nie należy wymuszać zmiany haseł, ale cytowanie jednego akapitu z kilkuczęściowego dokumentu jest delikatnie mówiąc słabe.
Dokument proponuje analizę ryzyka, zgodnie z którą, w większości przypadków stosowanie samego hasła, czyli np. bez uwierzytelnienia dwuskładnikowego, będzie niewystarczające.
I tylko pod warunkiem, że hasło spełnia inne wymagania dokumentu, można twierdzić, że zgodnie z dokumentem NIST zalecane jest niezmienianie haseł.
Nie jestem ultra specem od tego dokumentu, ale czytamy tam wprost:
NIST 800-63B:
„Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically).
However, verifiers SHALL force a change if there is evidence of compromise of the
authenticator.”
Niespecjalnie widzę tutaj pole do dyskusji. Szczególnie, że w tym zdaniu i okolicach nie ma żadnych „wyłączeń”.
Dla pewności jeszcze:
The terms “SHALL” and “SHALL NOT” indicate requirements to be followed strictly in order
to conform to the publication and from which no deviation is permitted.
Jeszcze inaczej. Piszesz: „I tylko pod warunkiem, że hasło spełnia inne wymagania dokumentu, można twierdzić, że zgodnie z dokumentem NIST zalecane jest niezmienianie haseł.”
zauważ drobny niuans: NIE piszę, że hasła nie należy zmieniać (bo należy, np. jak doszło do wycieku, czy jak się zorientowałem że mam słabe hasło typu dupa123), ale że nie należy wymuszać zmiany hasła bez żadnego istotnego powodu (czyli np. raz na miesiąc, „bo tak”) – i o tym właśnie pisze NIST.
trafiłem na mój stary komentarz, to się wypowiem :)
Cytowany akapit jest oczywiście prawdziwy. Tylko, że z wcześniejszych części dokumentu wynika, że „memorized secrets” niemal zawsze (bo wystarczy przetwarzanie danych osobowych) powinien być stosowany z dodatkowym zabezpieczeniem, np. 2FA.
A co jakiś czas spotykam się z cytowaniem tego akapitu w oderwaniu od reszty dokumentu – rezygnujemy ze zmiany haseł, ale nie dajemy nic w zamian.
Oczywiście ten dokument to nie jedyne wytyczne i inne bywają mniej restrykcyjne. A zawsze możemy przeprowadzić analizę ryzyka z uwzględnieniem specyfiki systemów i pracy w konkretnej organizacji. Ale gdy w trakcie takiej analizy słyszę, że hasło należy zmieniać, gdy doszło do „wycieku”, to zastanawiam się jakie cudowne moce muszą mieć pracownicy wyczuwający, że kątem oka widziałem jakie hasło wpisują ;)
Dlatego zwykle mówię – wymuszajmy okresową zmianę haseł, tam gdzie jest to uzasadnione, np. pracownik pracuje w pociągu, poznanie hasła wiąże się z potencjalną dużą stratą itd. Albo wdróżmy 2FA.
Możecie użyć mojego hasła: trustnoonetrustnoonetrustnoone albo IlOVeDaNaKaThErInEsCuLlY.
Co Wy wiecie o silnych hasłach? :) dupa1234 rulez
Kolego Zbig … z szacunkiem proszę podchodzić do haseł
ma być: Dupa1234
;)
Wielokrotnie w dużych systemach widziałem hasła składające się z nazwy firmy co tworzyła system i 1234.
I faktycznie często pierwsza litera była duża.
Coś w tym jest. :)
debugging under process applications wielokrotnie ratował… IT ;-)
Co do najgorszych praktyk jakie znam z hasłami:
1. ograniczenie hasła do 16 znaków
2. hasła „maskowalne”
3. Wymuszenie zmiany hasła co miesiąc.
Hasła maskowalne to tragedia z punktu widzenia bezpieczeństwa. Żaden mi znany sprzętowy manager haseł sobie z tym nie radzi.
Programowy którego także używam też sobie z tym nie radzi (a ze względów kompatybilności między różnymi środowiskami) nie mam za dużego wyboru. Miało być bezpieczeniej, a jest jak zwykle. :(
2FA w oparciu o komórkę jest bardzo słabym pomysłem w kontekscie wieloletnim:
1. Nie każdy chce aby jego numer telefonu wyciekał razem z hasłem z serwisu.
2. Dużo moich znajomych ze względów wygody posiada (ew. nosi przy sobie) tylko komórkę służbową. W przypadku zmiany pracy efektywnie odcieliby siebie od wszystkich kont.
3. Większość (jak nie wszystkie) 2FA oparte o numer telefonu nie działają z numerami stacjonarnymi. ;)