Jak wielką uwagę przykładacie do waszego hasła? Jeśli brzmi ono „JestemBogiem”, „Jadzia1” lub „qwer1234”, nie od rzeczy byłoby wymyślenie czegoś bardziej skomplikowanego. Jednak nie mniej ważna jest częsta zmiana haseł. Doniesienia z zakończonej właśnie konferencji Passwords^12 w Oslo wskazują, że zdobycie dostępu do prywatnych danych jest coraz prostsze.
Z pomocą złośliwym „specjalistom” przyszły same portale społecznościowe i inne strony, które do zabezpieczania haseł swoich użytkowników używają niewyspecjalizowanego algorytmu. Egzekwując ciąg działań matematycznych, taki algorytm jest w stanie zamienić słowa i zdania na ciąg pozornie losowych znaków. Na przykład hasło „JestemBogiem” przepuszczone przez popularny kombajn SHA-1 zostanie zapisane jako „1ba0eb83bdda6832796e7aea6b8e75d1a2077ba0”. Taka procedura nazywana jest haszowaniem.
Dla pojedynczego człowieka jest to bariera nie do przeskoczenia - za to dla zdolnego, znudzonego człowieka z potężnym komputerem… Wystarczy przytoczyć incydent z cenionego przez pracodawców portalu LinkedIn: w czerwcu z bazy danych serwisu wyciekło 6,5 mln. zahaszowanych haseł. Ponieważ, mimo dużej ilości poufnych danych, serwis wykorzystał jeden prosty algorytm do zabezpieczenia danych użytkowników, specjalista od bezpieczeństwa Jeremi Gosney złamał 90 procent z nich w… sześć dni.
Na zorganizowanej w stolicy Norwegii konferencji dotyczącej cyfrowych zabezpieczeń okazało się, że mógł zaoszczędzić nawet piątą część tego czasu. Kolejne innowacje pozwalają ominąć szereg powtarzających się kroków i wydatnie skrócić czas przedzierania się do hasła. Oczywiście istnieją bezpieczniejsze algorytmy – odwrócenie których zajęłoby lata, a nawet setki lat – ale z jakiegoś powodu wiele portali posługuje się przewidywalnymi, prostymi działaniami.
Co można zrobić, żeby nie znaleźć swojego hasła na pierwszych stronach gazet? Przede wszystkim upewnić się co do kodowania hasła zanim wstukamy nasze dane – może istnieją inne serwisy, które lepiej się o nas zatroszczą. Natomiast rzeczą zupełnie podstawową jest częsta zmiana hasła. Nikt nie lubi tego robić, jednak nawet dodanie pojedynczej cyfry od czasu do czasu zmieni zupełnie zahaszowany ciąg znaków. Sześć dni to bardzo niewiele czasu, ale dość, by się zabezpieczyć. Grunt w tym, żeby nowego hasła nie zapomnieć!
{jumi [*7]}
