Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Hacker był w stanie złamać hasło: mAIQf0REsR3RRP43UHRx – uzyskując dostęp do portfela z kryptowalutą (~$3 000 000).
Akcję opisuje Wired, a krótką relację filmową możesz oglądnąć tutaj. Co się wydarzyło?
Zacznijmy od tego, że przecież tak długie hasło jest abolutnie niełamalne! Zgoda, przy przym błąd podczas jego generacji spowodował, że nie jest ono wcale tak losowe… Portfel został utworzony w 2013 roku, a hasło do niego zostało wygenerowane w managerze haseł RoboForm.
Jak się okazuje, stara wersja RoboForm posiadała pewien błąd, który powodował, że generowane hasła nie były wcale tak losowe jak mogło się wydawać. W szczególności tworzone hasła bazowały na aktualnym czasie 😲 – z momentu ich generowania
Właściciel zabezpieczonych Bitcoinów zgłaszając się do pewnego hackera (wreszcie adekwatne użycie określenia „hacker” :) ze zleceniem złamania hasła, nie pamiętał jednak kiedy dokładnie je wygenerował. Hacker wykonał więc bruteforce (czyli posprawdzał wszystkie możliwe hasła, które mogły być wygenerowane w pewnym przedziale czasu – który wskazał zleceniodawca). Po stosunkowo krótkim czasie udało się odkryć, że hasłem był ciąg mAIQf0REsR3RRP43UHRx
Nota bene: podobna podatność została załatana parę lat temu w managerze haseł od Kaspersky (CVE-2020-27020).
Czy zatem nie należy korzystać z managerów haseł?
✅ Zdecydowanie warto korzystać!
✅ Na obecną chwilę jako godne polecenia polecamy: 1Password, KeePass, Bitwarden; przed wyborem managera haseł warto zrobić małe rozpoznanie odnośnie wcześniejszych jego problemów z bezpieczeństwem (patrz np. LastPass)
✅ Paranoicy mogą ręcznie generować hasła (np. 5+ sklejonych ze sobą, nieoczywistych słów, >= 15 znaków) i zapisywać je w managerze
✅ No i pamiętajcie o unikalnym haśle w każdym serwisie / aplikacji, z której korzystacie
~Michał Sajdak
hmmm czyli najbezpieczniej wylosować jakieś długie hasło w menagerze haseł a później w losowych miejscach dopisać jakieś znaki. Chyba wrócę do tej praktyki, bo jak zaczynałem korzystać z menagera haseł to tak właśnie robiłem, później już w 100% zaufałem programowi :/
Jeszcze parę lat temu byłem zwolennikiem trzech, czterech haseł. Odkąd pojawiły się wycieki, zmieniłem definitywnie swoje podejście. Staram się by każde hasło było inne, zapisane w pliku txt na szyfrowanym pendrive. Oczywiście korzystam z generatora haseł, i zawsze wybieram opcję minimum 20 znaków. Wcześniej zdarzyło mi się paść ofiarą ataków hakerskich, więc się pilnuję, i polecam nie bagatelizować kwestii zabezpieczeń.
Każde wygenerowane hasło jest czymś obciążone bo tak na prawdę nasze komputery nie są w stanie tworzyć liczb prawdziwie losowych. Nawet dedykowane przystawki które używają np losowość w zjawiska atmosferycznych nie są do końca OK bo ktoś mógłby znać np początkowy układ atomów we wszechświecie.
Jeśli ktoś znałby początkowy układ atomów we wszechświecie to prawdopodobnie umiałby też czytać w myślach, więc łamanie wszelkich haseł byłoby dla niego i tak zbyteczne ;)
Nie mógłby. Na stan wiedzy obecnej nauki wszechświat nie jest determistyczny. Zjawiska kwantowe powodują, że dochodzi do losowych zjawisk i nie można wszystkiego przewidzieć.
Oczywiście może to być jeszcze nasze niepełne zrozumienie procesów kwantowych.
https://en.m.wikipedia.org/wiki/Diceware
Ehh, to nie był jakiś tam hacker tylko Joe Grand aka Kingpin.
„Zapisujcie hasła w menedżerze haseł” – przecież w razie shakowania, skompromitowania zabezpieczeń menedżera haseł na naszym urządzeniu, leżymy i kwiczymy na całej linii. W każdym aspekcie naszej działalności cyfrowej.
Ja preferuję jednak odciąć hasła od sieci i zapisu w postaci cyfrowej. Są dostępne jedynie off-line w postaci analogowej w moim tajnym notatniku. Schowane w sejfie. Oczywiście analogowym, bez podpięcia do sieci. I niech teraz jakiś haker z dowolnego bantustanu dorwie się do tak zapisanych haseł. Jest to dosłownie niemożliwe w przeciwieństwie do menedżerów haseł. Gdzie te szanse bardzo realnie istnieją.
I za każdym razem jak chcesz np. kupić coś online w sklepie XYZ to jedziesz do domu, otwierasz sejf, wertujesz kajecik i przepisujesz hasło?
Ma kopię kajecika przy sobie.
Kajecik papierowy może zawierać sztuczki z maskowaniem hasła.
Jeśli kajecik wpadnie w inne łapki to i tak hasła nie będą pasować.
W Twojej logice widzę pewne luki.
Hasła w zaszyfrowanym managerze haseł z backupem są bezpieczniejsze bo przeżyją np pożar, zalanie, inwazję ruskich.
Twoja metoda jest dobra jako drugi backup, ale to też nie na wszystkie hasła a na to jedno, które ma wjazd do innych.
Twoja metoda uwzględnia hackera ale nie żywioły. Nawet jak masz super szczelny kwasoodporny wodoszczelny sejf a hasła na kwasoodpornych notatnikach, to jak przyjdzie co do czego i kamienica runie albo będzie płonęła, to Twoje hasła są tak bardzo offline, że nawet Ty z nich nie skorzystasz.
Ja podczas pożaru mojego mieszkania chciałbym mieć dalej dostęp do wszystkich haseł.
Jak nie zaufasz managerowi haseł i szyfrowaniu dysku, możesz zawsze stworzyć dodatkowo szyfrowany kontener. Ale to wszystko brzmi jak ruchanie w 3 gumach :D Nie odbierz mnie źle, po prostu weź pod uwagę inne zagrożenia niż tylko hacker w internecie.
Jeśli będziesz miał keyloggera to hasła papierowe i tak pofruną przy ich pierwszym użyciu.
Compromised to nie znaczy skompromitowany.
Dlatego manager haseł jest zabezpieczony kluczem sprzętowym. Nawet jak ktoś złamie hasło do managera, to bez klucza nic nie zdziała.
I będziesz do sejfu biegał 10 razy ja dzień by móc popracować przy komputerze 😂 geniusze . nic nie rozumiesz o co chodzi.zreszta jak ktoś chce to ma inne możliwości pozyskiwania już na poziomie warstwy sieciowej ,mowa o” zawodowych instytucjach”.
Rozumiem że wolisz ręcznie wpisywać hasła aby haker np za pomocną keylogera miał możliwość ich pozyskania?
Cyfrowo jesteś bezpieczny :) a analogowo? gdy ktoś „grzecznie” poprosi o Twój notes, bo tam będą niezbędne dla niego dane?
Wiem, wiem odmówisz ;-)
A nie lepiej trzymać w szafce na kluczyk jakis mały notes, gdzie zapisane mamy odręcznie wszystko co powinno być w formie fizycznej zachowane?
Nie ukrywam sam ważniejsze hasła mam wpisane właśnie w formie fizycznej, a mniej ważne wygenerowane z automatu i zapisane w przeglądarce do portali typu pomponik… (jajo sobie robię) mam i na pc i na fonie.
Zawsze jest trade-off między bezpieczeństwem i wygodą. Ale też są hasła i HASŁA. WklepywanieSuperDług1egoHasłaDoMniejIstotnejUsługiMożeByćNiecoPracochłonneIUciążliwe.
A trzymanie wrażliwych haseł w jakichś menadżerach, operach, firefoxach wydaje się raczej mało bezpieczne. OpenSSL, dobry wybór algorytmu, popieprzone i posolone hasło i ja mam poczucie spełnienia. Tylko, że ja nie jestem interesującym obiektem. Trochę jakbym trzymał w bankowym sejfie paczkę chusteczek i rolkę papieru toaletowego.
No Panie,
Przecież teraz kradną zautoryzowane tokeny, czytaj całe sesje i Ci nawet dwuetapowa czy wieloetapowa autentykacja nie pomoże.
Hasło nie było szczególnie silne. Nie zawierało znaków specjalnych, a jedynie alfanumeryczne.
A do banku pin 4 cyfry
W jakim miejscu wpisujesz 4 cyfrowy pin w banku? Mówisz o płatności kartą do max kilkuset zł? Bo większych kwot nie wypłacisz krótkim pinem.
2FA, Google Authenticator – polecam korzystać gdzie się da
Ja chcę do lasu…