FBI: skomplikowane hasła to przeżytek. Jako hasła lepiej używajcie kilku słów

22 lutego 2020, 22:52 | W biegu | komentarzy 35
Tagi: ,
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Pamiętacie takie zalecenia: co najmniej 8 znaków, małe i duże litery, minimum jeden znak specjalny i minimum jedna cyfra? To od dłuższego czasu przeżytek, czego kolejnym przykładem są rekomendacje FBI:

Zamiast używać krótkiego złożonego hasła, które jest trudne do zapamiętania rozważcie raczej używanie jako hasła dłuższego „zdania” [passphrase]. Wystarczy tylko połączyć kilka słów w jedno duże hasło, które powinno mieć ponad 15 znaków. Odpowiednia długość spowoduje, że ciężej będzie je złamać, a jednocześnie będzie wam je łatwo zapamiętać

Instead of using a short, complex password that is hard to remember, consider using a longer passphrase. This involves combining multiple words into a long string of at least 15 characters. The extra length of a passphrase makes it harder to crack while also making it easier for you to remember.

Przykłady?

SekurakTworzy997SilneHasla, mdlimnienamyslozmianiehasla

For example, a phrase such as „VoicesProtected2020WeAre” is a strong passphrase. Even better is a passphrase that combines multiple unrelated words, such as “DirectorMonthLearnTruck.”

Podobne informacje znajdziemy w OWASP-owym standardzie ASVS4 – system, który ma być z nim zgodny wręcz nie może wymagać w hasłach znaków specjalnych, cyfr, małych czy dużych liter. Zatem nasze przykładowe hasła powyżej muszą być akceptowane (choć nie zawierają np. znaku specjalnego).

Przy okazji warto pamiętać, że od dłuższego czasu NIST nie rekomenduje wymuszania okresowej zmiany haseł (np. co miesiąc). Wg badań takie działania obniżają tylko bezpieczeństwo.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Gdzie link do correcthirsebatterystaple

    Odpowiedz
  2. M.

    Do PL te zalecenia dotrą za jakieś 15-18 lat. Na razie nadal wymuszana jest zmiana haseł co 4 tygodnie.

    Odpowiedz
    • Paweł

      Zupełnie nie rozumiem skąd ten wniosek.

      Aplikacje tworzone w oparciu o OWASP ASVS v4 czy NIST już dziś będę miały (mają) takie podejście do haseł, co widzę współpracując z wieloma zespołami deweloperskimi.

      W pozostałych zmieni się to wraz z wprowadzaniem większych zmian (mały feature upgrade nie pociągnie za sobą zmiany logiki działania mechanizmów bezpieczeństwa).

      Ostatnio nawet zaproponowałem integrację z API od Troya Hunta do blokowania zakładania prostych/znanych haseł (https://haveibeenpwned.com/API/v3) – deweloperzy i biznes chcą być „trendy” jeśli idzie o bezpieczeństwo :)

      Jest jeszcze parę „drewnianych” standardów, jak CIS i PCI-DSS, które muszą się zmienić, ale to kwestia kilku miesięcy.

      Odpowiedz
  3. Irinka22c

    Metoda zdaniowa: imie, przedmiot, kolor, liczba, znak interpunkcyjny. Zmieniamy tylko liczbe i kolor. Co wiecej login lub nazwa pliku moze podpowiadac haslo. I tak:
    Jolanta.ma.cztery.czerwone.rowery => login: j4cz
    Jolanta.ma.dwa.biale.rowery => login: j2bi
    Latwe do zapamietania, hasla bardzo dlugie.

    Odpowiedz
    • Dawid

      Każdy tego typu system ma ten problem że po poznaniu hasła /2ch bardzo łatwo odgadnąć wszystkie inne.

      Odpowiedz
  4. Tomáš Thiemel
    Odpowiedz
  5. Tomasz21

    Witam; Jest jeszcze jeden aspekt takiej sprawy; „Silne hasło”. Takie hasło jest również twoim „PODPISEM” – ( identyfikacyjnym ). Trudno w takim przypadku pomylić osoby, które tego hasła użyły?
    Ten kij, ma dwa końce. Trudniej jest złamać, a jednocześnie mamy gwarancję, z kim Mamy kontakt. ( chodzi o służby ).
    Jeden koniec Kija; Bardzo Dobrze. A drugi koniec, To już nie koniecznie.
    Pozdrawiam.

    Odpowiedz
    • dsdad

      coś w tym jest… :/

      Odpowiedz
  6. ech

    Straszne te rady :) Takie hasło będzie miało ze 3 lub 4 słowa, gdzie mając z wycieków statystyki najczęściej używanych słów i sposobów ich łączenia będziemy mieli w praktyce podobną lub mniejszą ilość możliwych kombinacji niż przy hasłach 8 znakowych. Dodatkowo będzie sobie można pomóc poprzez analizę dostępnych wypowiedzi autora hasła i np wyeliminować słowa, których nie używa czy też sprawdzić cytaty z ulubionych filmów i piosenek.
    Polecanie tego przez FBI ma chyba bardziej im pomóc w łamaniu haseł, niż użytkownikom w zabezpieczaniu kont. Nie bez znaczenia jest też że dzięki CLOUD Act będą mieli dostęp do całej masy próbek rozmów autora hasła, więc będą dokładnie znali sposób w jaki tworzy zdania(hasła) i jakich słów do tego używa.
    W tej perspektywie ciekawa może być tez przyszłość maskowania hasła przy logowaniu.
    Na „zdolnego” użytkownika chyba nic nic pomoże, ale nie rezygnował bym z wymogów odnoście dużych i małych liter czy znaków specjalnych. Nawet jeśli najleniwsi użytkownicy będą dzięki temu tylko zaczynać swoje zdania z dużej litery i kończyć kropką, to i tak to wzmocni siłę ich haseł. Polecanie zlepku kilku słów ze słownika pisanych małymi litrami, to jednak obniżanie bezpieczeństwa dla prawie wszystkich, tylko po to by najleniwsi użytkownicy, mieli niby trochę bezpieczniejsze hasła.

    Odpowiedz
    • Pewnie lepsze jest hasło minimum 30 znakowe, zupełnie losowe, przy założeniu że wszyscy w sposób bezpieczny korzystają z managerów haseł. Tylko to ostatnie to na razie utopia :) Stąd takie rekomendacje kierowane do tzw. standardowego usera, którzy w większości sajtów obecnie ma hasło klasy: Magda2020! na które swoją drogą większość mierników siły hasła (vide https://sekurak.pl/jak-nie-budowac-generatorow-hasel-na-przykladzie-serwisu-wp-pl/) reaguje: ‚bardzo silne’ ;p

      Odpowiedz
      • gosc

        Na YouTube kiedyś widziałem fajny poradnik.
        Tworzysz haslo z jakiegos zdania / rymowanki / czegos latwego do zapamietania typu „Zona wyslala mnie po maslo chleb i pomidory”
        Doklejasz jakas stala (moze byc takze np. stala rosnaca lub malejaca w logicznej kolejnosci) sekwencje znakow specjalnych miedzy wyrazami „9=”
        i otrzymujesz „Zona9=wyslala9=mnie9=po9=maslo9=chleb9=i9=pomidory”
        i wyszlo okolo 51 znakow.
        Mozna je troche skrocic do 25 znakow, bo wpisywanie hasla zajmuje troche czasu.
        Problem w tym ze
        1. Sposobow lamania hasel jest kilka.
        Jedna z nich jest metoda slownikowa, a druga to teczowa ktore moga ulatwic lamanie hasla.
        2. Jesli uzywamy stalego algorytmu budowania, to wyciek kilku hasel moze ulatwic lamanie hasla np. jesli do kazdego hasla „9=” zmienie tylko numer.
        3. Jesli chodzi o czas waznosci.
        Slyszalem ostatnio wyklad cos w stylu ze statystycznie to bez roznicy czy zmieniamy haslo.
        Problemow jest kilka jesli nie wiecej o ktorych wspomniano takze w innych wykladach.

        Jesli pracuje w domu
        A) to ja decyduje kiedy jestem gotow na zmiane hasla,
        B) Poziom skomplikowania hasla sam dopasowuje do wlasnych mozliwosci
        W pracy raczej nie mamy na to wplywu, albo to idzie tak jak zauwazyli i wypowiadaja sie na szkoleniach na YouTube.
        Ze im czesciej musisz zmieniac haslo tym krutsze i mniej skomplikowane tworzysz.
        Nie zaprzecze ze to prawda :D
        C) Czas zycia hasla.
        I podobno owe statystyki mowia ze zbyt czeste zmienianie hasel nic nie daje. Wydaje mnie sie to prawdziwe, ale ja proponowalbym raz na rok jednak zmnienic haslo. Moze chociaz da nam kiedys info z ktorego roku nastapil wyciek hasla. Oraz bynajmniej dla mnie wydaje sie to optymalny czas do zlamania hasla w sposob nie zauwazony. (przy zalozeniu ze nikt nie liczy prob logowania i jaki adres najczesciej probuje logowac sie na kilka kont)

        Odpowiedz
        • Ajm

          „bynajmniej” dla Ciebie piszesz…

          Odpowiedz
          • To ja

            I „krutsze”…

          • gosc

            Jeśli chodzi chodzi Ci o gramatykę …
            ” Użycia bynajmniej w znaczeniu ‚przynajmniej, w każdym razie’ są obecne w polszczyźnie potocznej z cechami gwarowymi (przykład 5) i w wypowiedziach w założeniu eleganckich i poprawnych

            Wiele osób razi używanie słowa bynajmniej w sposób niekonwencjonalny, w znaczeniu ‚przynajmniej’. ”

            Widać są różne zasady o których nie zawsze zdajemy sobie sprawę i nie mam na to wpływu.

      • 0xDEADBEEF

        Tyle że teraz to zamiast Magda2020! będzie bezpiecznehasłomagdy albo haslomagdydofirmy, które przez swą długość ponoć będzie trudne do złamania, w co pani Magda będzie mocno wierzyć bo stworzy hasło zgodnie z wytycznymi i które przez swą długość jest kilka razy mocniejsze od poprzedniego ;)

        Z czasów pracy dla pewnej dziwnej firmy trzymającej miliony haseł w plaintextcie pamiętam użytkownika z hasłem „zach##niezgadniecie” (tyle że bez cenzury), gdzie to to jedno to z dwóch haseł użytkowników jakie pamiętam(drugie to nazwa firmy, jaką miało z 10% użytkowników :D). Co lepsze nawet nie było mowy byśmy wymusili stosowanie silnych haseł, „bo były by za trudne dla użytkowników i przestali by kupować”… a teraz podobne podejscie niestety widzę tu. Naprawdę nie wydaje mi się to dobre podejście. Rozumiem potrzebę zmian, ale aż takie upraszczanie nie przyniesie nic dobrego, poza potrzebą zebrania nowych statystyk i zaktualizowania tablic tęczowych.

        Odpowiedz
    • dsdad

      Moja kreatywność jest na tyle rozwinięta, że potrafię sypać zdupnymi hasłami na 5 słów jak z rękawa.

      Odpowiedz
    • sin

      w końcu głos rozsądku. Szkoda, że na tym portalu nie da się dać plusa czy łapki w górę. Łapaj „ech” ++.

      Odpowiedz
    • Wojciech

      Dokładnie tak. Dlatego takie zestawienie trzech albo czterech wyrazów ma tylko wtedy sens, gdy używamy słów które w zdaniach prawie nigdy razem ze sobą nie występują i w ogóle są bardzo rzadko używane. Jeśli w takim ciągu znaków zamienimy kilka liter na wielkie znaki i wstawimy kilka znaków specjalnych, to hasło które ma 16+ znaków będzie praktycznie nie do złamania ani brute force ani metodą słownikową.

      Odpowiedz
  7. Luke

    Czyżby odkryli „correct horse battery staple”?… :)

    Odpowiedz
  8. Helmut

    Bezsensu później toczy się jałowe spory bo jedni mówią minimum 14 drudzy mówią wolimy 12.
    Jedni mówią zmieniać inni mówią nie zmieniać.
    No ale FBI mówi to ja już zmieniam

    Odpowiedz
  9. Chyba w języku angielskim jest to bardziej rozróżnialne, przynajmniej jeśli chodzi o źródłosłów. Mają i słowo „password”, gdzie przepustką jest pojedyncze słowo, jak i „passphrase”, gdzie przepustką jest wyrażenie. W języku polskim nie kojarzę takiego rozróżnienia, niestety.

    Odpowiedz
  10. Andy

    Hasło budowane wg jakiegoś prostego klucza słownikowego zazwyczaj będzie prostrze do odkrycia aniżeli losowe ze znakami specjalnymi. Szczególnie przy wykorzystaniu sztucznej inteligencji, która przeanalizuje nasz sposób komunikacji w sieci. Te rady są po to aby zwykłemu userowi było prościej oraz przy okazji służbom też.

    Odpowiedz
  11. tao

    Kiedy ja takie krótkie hasła używałem… Dawno temu teraz to minimalny rozmiar moich haseł ma od 32 do 512 znaków xd

    Odpowiedz
    • Dawid

      No tak, przerwa na herbatę jak KeePass wpisuje hasło do banku ;D

      Odpowiedz
  12. dzek

    gdyby tylko zadziwiająca ilość serwisów nie limitowała maksymalnej długości hasła do 16 znaków…

    chyba nawet Allegro nadal to robi, a jak już nie to robiło ze 3 lata temu jak ostatnio zmieniałem hasło po jakimś włamie czy co tam było

    ja zazwyczaj wymyślam hasła typu:

    naSekurakuRzadzaK0gutyy!444 – po to, żeby:
    – były długie
    – nie dały się prostemu atakowi słownikiem i klejeniu słów (w praktyce nikt nawet nie będzie próbować, wiem)
    – od biedy dało się to zapamiętać
    – dało się to łatwo przepisać, gdy nie mogę skorzystać z menedżera haseł na urządzeniu, z którego się gdzieś loguję — to wbrew pozorom też jest ważne

    No ale w efekcie takich rozwklekłych haseł widzę ile serwisów ma durne limity długości, tam zostają mi hasła losowo generowane z liter, cyfr i znaków specjalnych na max długości

    Odpowiedz
  13. Lubię hasła

    Erm… nice try, fbi. Udajmy, ze ataki słownikowe nie istnieją.

    Chociaż tak teraz czytam ten artykuł od FBI, i na samym dole jest wzmianka o tym, że jednak menadżery haseł są dobre… Generalnie te zalecenia są wystosowane, wydaje się, do organizacji, nie przeciętnych użytkowników i ich kont prywatnych w usługach przeróżnych.

    Odnoszę też wrażenie, ze chcecie powiedzieć, że ta konkretna dyrektywa ASVS4 mówi, ze hasła złożone z kilku słów są lepsze niż randomowy ciąg symboli, co – niestety – prawdą nie jest.

    Odpowiedz
  14. Zdzich

    Tu jest dość realistyczny miernik siły hasła:
    https://password.kaspersky.com
    np. dla hasła 1qaz@WSX pokazuje że zostanie ono złamane na przeciętnym komputerze domowym w przybliżeniu w 2 godziny.

    Odpowiedz
    • Hasło: Genowefa997 pokazuje 33 lat łamania… ;-) ale ciężko jest zrobić dobry miernik haseł.

      Odpowiedz
      • gosc

        A może by własny miernik haseł zrobić?
        Problem z większości miernikami jest taki ze uwzględniona jest tylko metoda „brute force”. Można by podać kilka wyników w zależności od metody i skomplikowania hasła.

        Odpowiedz
    • Uwazny_czytelnik

      Oooooo… KOSZMAR
      https://password.kaspersky.com – witamy u kolegów Putina.
      Naprawdę karmicie rosyjskie słowniki swoimi hasłami???
      A sekurak nie wyłapuje takich kwiatków, nie przestrzega, a pewnie jeszcze dołożył swoje hasełka…
      A M A T O R S Z C Z Y Z N A

      Odpowiedz
      • Monter

        Czas zatem postawić własny serwis tego typu. Może Sekurak…? ;o)

        Odpowiedz
      • amatorszczyzna

        Haslo
        A M A T O R S Z C Z Y Z N A
        Kasperski ocenil na „10000+centuries” ;-).

        Odpowiedz
      • l0l3k

        Przecież napisał Kaspersky jak wół „Kaspersky is not storing or collecting your passwords.” :D

        Odpowiedz
        • Uwazny_czytelnik

          Da, konieczno!
          S rewolucionnym priwietom, towariszczi!

          Odpowiedz
  15. Piotr

    A czy nie jest tak, że główny problem polega na wykorzystywaniu tego samego hasła do wielu logowań?

    Odpowiedz

Odpowiedz