CLOUDY podcast | #2 123456 alebo password ako heslo je smutná pravda
Dozvedel som sa, že až 85 % ľudí má jedno heslo na viacero služieb. Napríklad k mailu, či Facebooku. A viac ako 75 % ľudí má slabé heslo. Čo znamená, že mám slabé heslo?
Možno najskôr k tomu, prečo tí ľudia majú jedno a to isté heslo, príapdne len s malými variáciami.. treba si uvedomiť, že nie je úplne pre nás ľudí prirodzené si pamätať sekvencie znakov a ešte navyše tieto sekvencie by mali mať dobrú entropiu, teda mali by byť náhodné. Dnes je bežné, že mladí ľudia majú dvadsať, tridsať účtov na sociálnych sieťach, či bankových aplikáciách, atď. A mať takto 30 sekvencií znakov uložených v hlave, nie je úplne triviálna záležitosť. Nemôžeme sa teda užívateľom čudovať, že si to zjednodušujú.
Je pravda, že ešte stále ľudia využívajú heslá ako 123456?
To je smutná pravda. Každý rok vychádza zoznam najbežnejších hesiel a pravidelne vedie 123456, druhé miesto je myslím password, atď. Útočníci zneužívajú takýto zoznam 10 000 najpoužívanejších hesiel a tie prvé priečky sa skoro nemenia. Toto je pre nich nultý krok, tento zoznam si stiahnuť a heslá porovnať.
Robia to ručne alebo je na to nejaký nástroj?
Určite to nerobia ručne. Na to sú presne automatizované nástroje. Sú vlastne dve metódy ale najčastejšie je, že ja vezmem to heslo a jedno po druhom to budem skúšať v určitej službe, ale to je tá menej sofistikovaná metóda.
Tá sofistikovanejšia je, že si stiahnem tú databázu hesiel a skúšam jedno po druhom offline na nejakom výkonnom stroji, poprípade v cloude.
Ako sa vie hacker dostať k heslu? Už som kedysi dávno počul, že aj podľa odtlačkov ako máš odtlačené písmenká, respektíve čísla na klávesnici to je možné, čítal som aj dokonca, že AI to dokáže urobiť podľa zvuku kláves.
Keby si dnes vzal mikrofóny, ktoré sú už pri webkamerách alebo v tých kvalitných notebookoch, tak sú veľmi citlivé a podľa toho ako rýchlo a ako vlastne znejú tie klávesnice, tak na to, ten model AI viem natrénovať. S veľmi veľkou pravdepodobnosťou bude vedieť len zo zvuku potom vyčítať, že aké heslo vlastne užívateľ ťukal.
To už je sofistikovaná metóda. Predsa len aj tí útočníci chcú za minimum úsilia mať čo najviac „muziky. Je to otázka motivácie. Je oveľa jednoduchšie vyskúšať prelomiť tie slabé heslá, ako hackovať niekomu počítač a mikrofón a mať vytrénovaný AI model.
Pri tvorbe hesiel už často napíše, že to heslo je slabé. Čo teda naozaj znamená, že je heslo slabé?
Odpoveď na túto otázku, že čo je silné a slabé heslo je paradoxne celkom jednoduchá. My máme tú entropiu v hesle, ktorú vieme celkom dobre merať a vieme vyrátať ako rýchlo heslo zlomíme hrubou silou.
Keď chcem, aby bolo to heslo nezlomiteľné alebo teda veľmi ťažko zlomiteľné (lebo zlomenia hesla je vždy len otázkou času a námahy), tak vieme, že musí mať aspoň dvanásť a viac znakov s dobrou entropiou, nejaké kombinácie malých veľkých písmen a tak ďalej.
Heslo, ktoré má 12 znakov s malými a veľkými písmenami, číslami, má špeciálne znaky je pomerne komplexné heslo. Ale ak do hesla dám po sebe 6“ Áčok“, jedno „Béčko“ a na koniec zavináč (@), tak tiež to bude ľahko uhádnuteľné heslo.
Práve prvok tej entropie je veľmi dôležitý, tzn. ako náhodne tie znaky tam sú vygenerované.
Majú aj heslá nejaké trendy, že nejakým spôsobom to napreduje?
Na jednej strane tu máme zoznam hesiel, ktorý sa rok čo rok nemení, potom sú tu aj špecifiká daného roku: aká pesnička je hitom, kto vyhral aký pohár, atď. ktoré užívatelia zakomponujú do tvorby hesla.
Nie je ani tak dôležitá tá znaková sada, ktorú sa použije, ale dĺžka hesla. Radšej mať dlhšie heslo napr. šestnásť znakové a upustím od špeciálnych znakov. Môže to byť nejaká veta alebo dve nesúvislé slová, pri ktorých striedam malé a veľké písmená.
Je bezpečné ukladať heslá do prehliadača? Ako si ich mám zapamätať keď ich mám viac?
Je to určite bezpečnejšie ako mať ich v nejakom textovom súbore kde sú nešifrované, alebo mať jedno heslo všade. Ale heslo od bankového účtu by som tam nedával.
Existujú tzv. password manažéri, čiže správcovia hesiel, ktorí sa za nás pamätajú tieto heslá. Fungujú aj online, napr. mám nejaký plugin do prehliadača alebo počítačovú aplikáciu, poprípade aj v mobile ich môžem mať. Tu sa netreba báť lebo databáza je šifrovaná našim „master“ heslom. Je to ako trezor od ktorého mám hlavný kľúč ja sám a stačí mi jedno silné heslo alebo biometria.
A čo multifaktorové overovanie?
Je to ďalší dodatočný prvok k bezpečnosti. Väčšinou sa používajú 3 faktory. Buď použijem niečo čo som, niečo čo viem alebo niečo čo mám.
Niečo čo som, to je klasická biometria – tvár, odtlačok prsta atď. Niečo čo mám môže byť hardvérový token, kedysi to boli GRID kartičky. A niečo čo viem je heslo. Je potrebné použiť dva z týchto troch faktorov. Čiže napríklad heslo a biometria.
Na čo treba myslieť je, že tie prvky musia byť nezávislé. Nemôžem mať heslo a zároveň hardvérový token zapamätaný v správcovi hesiel.Článok bol vytvorený na základe podcastu.
Celý podcast si môžete vypočuť na SPOTIFY alebo pozrieť na YouTube.