Baza wiedzy

Tytuł tego artykułu jest prawdziwy. Jest bardzo prawdopodobne, że Twoje hasło zostało wykradzione, chociaż nie oznacza to automatycznie, że uda się je wykorzystać. Po przeczytaniu tego artykułu dowiesz się, dlaczego i będziesz mógł sprawdzić, czy Twoje hasło wyciekło. Ponadto dowiesz się jak tworzyć bezpieczne hasła.

 

Prawdopodobnie o tym nie wiesz, ale Twoje hasło nie jest bezpieczne. To pewne. Ale jest wiele sposobów, aby ograniczyć ryzyko, że hasło, które wykorzystujesz do logowania w różnych miejscach w Internecie, nie posłuży przestępcom komputerowym by wykradać Twoje dane.

 

Jak powinny być przechowywane hasła w systemach informatycznych

 

Zacznijmy od tego jak przechowywane są (powinny być!) hasła w systemach informatycznych, do których się logujesz np. w sklepie internetowym. Wpisując hasło do logowania jest ono przekształcane na ciąg znaków i w taki sposób przechowywane na serwerach sklepu. Np. H@s!o.2o19 po przekształceniu (SHA256) będzie miało taka postać: D9D27E80DE8B3E525033012223600016E47BF5ED3222D34A30C347E66B6D9E5F. Jest to tak zwane przekształcenie funkcją jednokierunkową. To znaczy, że przy pomocy formuł matematycznych bardzo prosto przekształcić hasło na ciąg znaków. Ale niesłychanie ciężko odwrócić ciąg znaków i przekształcić je z powrotem w hasło. Upraszczając – czy jesteś w stanie szybko powiedzieć, jakie dwie liczby pomnożyłem, aby otrzymać 278 099 073 620 545? Raczej nie, za to gdybyś wiedział, że trzeba pomnożyć ze sobą 78516985 i 3541897 otrzymałbyś ww. wynik. W bardzo dużym uproszczeniu tak właśnie działają funkcje jednokierunkowe.  I tak właśnie należy tworzyć bezpieczne hasła.

 

Dlaczego stosuje się bezpieczne hasła?

Aby chronić Twoje hasło, gdy dostanie się w ręce przestępców komputerowych. Cyberprzestępcy mogą np. włamać się do sklepu internetowego i wykradną bazę danych haseł. Wówczas, aby poznali Twoje dane logowania musieliby odwracać ciągi znaków by przekształcić je w hasła. Co jak przed chwilą się przekonałeś nie jest proste i przy wykorzystaniu obecnej technologii mogłoby zając kilka milionów lat. Z reguły się tego nie robi, jednak jest wyjątek od tej reguły i zależy wprost, od jakości Twojego hasła. Wszystkie kombinacje hasła składające się od 1 do 6 znaków zostały już przekształcone przy pomocy funkcji jednokierunkowych na ciągi znaków.

Oznacza to, że jeżeli Twoje hasło składa się z 6 znaków i zostało ukradzione, to na pewno jest już zdekodowane. Nie jest wykluczone (moc obliczeniowa systemów informatycznych ciągle rośnie), że niektóre rządy lub grupy przestępcze dysponują ciągami znaków obliczonymi z dłuższych haseł. Stając się posiadaczem bazy danych haseł wystarczy, że porównają ciągi znaków do siebie i na tej podstawie mogą poznać hasło. Wracając do naszego uproszczonego przykładu: przestępca komputerowy wyszukuje w np. skradzionej ze sklepu internetowego bazie danych cyfrę 278 099 073 620 545 (reprezentującą Twoje hasło po przekształceniu). Następnie sprawdza w swojej bazie czy posiada taki sam ciąg znaków wyliczony wcześniej – jeżeli tak to wie, że powstał z pomnożenia 78516985 × 3541897 (Twoje hasło).

 

Aktualnie przyjmuje się, że bezpieczne hasło powinno mieć co najmniej 10 znaków, składać się z małych i WIELKICH liter, posiadać cyfry i znaki specjalne (np. %#!@&). Na końcu artykułu znajdziesz informację jak Tworzyć skomplikowane, lecz łatwe do zapamiętania hasła.

 

Przyjmijmy, że posiadasz bardzo skomplikowane hasło. Czy jest ono bezpieczne? I skoro jego złamanie zajmie przestępcy kilka milionów lat to czy nie musisz go w ogóle zmieniać?

 

Nie ma bezpiecznych haseł, po pierwsze, dlatego że technologia informatyczna ewoluuje i to, co kiedyś było mocnym hasłem, dzisiaj może być marnym zabezpieczeniem. Po drugie, nie zawsze opłaca się łamać hasło, lepiej je od Ciebie wyłudzić? W jaki sposób? Jest ich wiele, np.:

 

  • Włamanie na Twój komputer i zainstalowanie wirusa. Wirus ten będzie wykradać wszystkie uderzenia w klawiaturę i wysłać te ciągi na serwery przestępców. Algorytm sprawdzi np., kiedy wpisujesz login np. adres email, a potem zanotuje ciąg znaków następujący po jego wpisaniu, który najprawdopodobniej będzie Twoim hasłem. Dlatego ważne jest, aby posiadać skuteczny program antywirusowy. Błędnym przekonaniem jest, że rolą programu antywirusowego jest usuwanie wirusów z komputera – jego podstawowym zadaniem jest niedopuszczenie do jego zainfekowania.
  • Phishing, – czyli tak zwany atak socjotechniczny. Np. wysłane do Ciebie e-maila o takiej treści, aby zmusić Cię do logowania na fałszywej stronie internetowej np. banku albo kliknięcia w link, który zainstaluje na Twoim komputerze szkodliwe oprogramowanie.
  • Podsłuchanie hasła. Ile razy dziennie logujesz się w różnych portalach internetowych? Czy logujesz się w pracy, w kawiarni, na lotnisku? Czy rozejrzałeś się kiedyś dookoła i sprawdziłeś, czy nie ma wokół Ciebie kamer monitoringu, czy z okna biurowca obok nie można dostrzec ciągów znaków wpisywanych na klawiaturze komputera?
  • Poza tym nie zawsze hasła przechowywane są w postaci zaszyfrowanej. Niestety takie wpadki zdarzają się nawet gigantom. Wówczas hasła widoczne są nie tylko dla przestępcy, który je wykradnie, ale każdego administratora serwisu, który ma do nich dostęp. Np. w marcu 2019r. mogliśmy przeczytać:

 

 

To są realne sposoby pozyskiwania haseł i nie warto ich lekceważyć. Dlatego właśnie warto budować skomplikowane i bezpieczne hasła, ale także zmieniać je od czasu do czasu.

 

Czy posiadasz jedno hasło do wszystkich systemów informatycznych?

 

Równie dobrze można zapytać, dlaczego nie używasz jednego klucza do otwierania domu, samochodu, garażu i biura? Kradzież hasła z jednego systemu informatycznego można porównać do kradzieży “klucza” wraz z dowodem osobistym z informacją o miejscu Twojego zamieszkania. Czy właśnie tak ryzykujesz?

 

  • Chcesz dowiedzieć się jak tworzyć skomplikowane i bezpieczne hasła przeczytaj artykuł Długość ma znaczenie, czyli o dobrych hasłach.
  • Nie wiesz jak zabezpieczać dane swojej firmy dowiesz się tego z artykułu Jak zabezpieczać dane?
  • Jeśli chciałbyś zamówić szkolenie z podstaw bezpieczeństwa komputera skontaktuj się z nami. Szkolenie nie jest nudne i długie. Po dwóch godzinach Twoi współ/pracownicy będą wiedzieć jak i dlaczego stosować podstawowe techniki zabezpieczenia komputera. Techniki te znacząco poprawią bezpieczeństwo danych Twojej firmy. Szkolenia są personalizowane i możliwe do przeprowadzenia zdalnie, przy pomocy systemu telekonferencyjnego napisz do nas na biuro@securitypartners.pl
  • A tutaj sprawdzisz, czy Twoje hasło nie wyciekło LINK