Kalifornia zakazuje prostych haseł. To problem na całym świecie

Kalifornia zakazuje prostych haseł. To problem na całym świecie08.10.2018 10:45
Źródło zdjęć: © Fotolia | jamdesign

"1234" albo "qwerty" - to najpopularniejsze hasła nie tylko w Polsce, ale i na świecie. Wkrótce taka kombinacja nie przejdzie, bo producenci nie będą mogli używać prostych zabezpieczeń. Zmiana jest ważna, lecz żadne prawo nie pomoże, jeśli popełni się błąd jak Donald Tusk albo Radio Maryja.

Kupując nowy sprzęt, na początku zawsze ustawione jest domyślne hasło. Czy to router, czy podłączony do internetu ekspres do kawy - możemy mieć pewność, że blokada to "admin", "password", "1234" czy "qwerty". Domyślne hasło musi być jak najprostsze, by do sprzętu mógł się dostać nawet ktoś, kto nie dostanie instrukcji. Później jednak oczekuje się, że użytkownik zmieni blokadę na swoją - znacznie trudniejszą do złamania.

Przez router na komisariat

Teoria to jedno, a praktyka - drugie. Bardzo często domyślnie ustawione hasło zostaje, co z chęcią wykorzystują przestępcy. Zagrożone są nie tylko nasze konta w serwisach społecznościowych, ale same urządzenia. To właśnie przez słabe hasło w routerze mieszkaniec Katowic dostał wezwanie na komisariat, celem złożenia wyjaśnień w sprawie fałszywych aukcji na portalu sprzedażowym. Okazało się, że ktoś włamał się do jego routera i zaczął wystawiać fałszywe ogłoszenia w serwisach aukcyjnych. Przedmiotem aukcji były lampy. Jak mogło dojść do włamania?

Przestępcy nie musieli korzystać ze standardowych metod wyłudzania danych, jak phishing. Niepotrzebne były też błędy po stronie producenta, który nie załatał luk - co niestety się zdarza. Do przekrętu wystarczyło słabe hasło w routerze i zalogowanie się do kiepsko zabezpieczonej sieci.

Takie zajęcie ma już nawet swoją własną nazwę. Osoby polujące na bezbronne sieci WLAN (Wireless Local Area Network) to wardriverzy. Korzystając z darmowych programów szukają niezabezpieczonej lub słabo chronionej sieci.

Kalifornia zakazuje prostych haseł

Właśnie przeciwko takim praktykom wojnę wypowiada Kalifornia. To nie lokalna ciekawostka, tylko rzecz, która może wkrótce obowiązywać na całym świecie, bo właśnie w tym stanie powstają sprzęty i oprogramowanie. Tamtejsze władze zakazały wprowadzania uniwersalnych, domyślnych haseł w urządzeniach. Producent od 2020 roku będzie musiał wygenerować unikalną blokadę, jak w przypadku banku i kodów PIN, bądź też wymusić na użytkowniku stworzenie od razu silnego hasła. A to oznacza, że wypowiada się wojnę również złym nawykom. I to pozytywna zmiana, bo nie wszyscy wiedzą, że potrzebują silnego, skomplikowanego hasła.

Statystyki nie kłamią - jesteśmy leniwi. Gdy z polskiego serwisu o tematyce motoryzacyjnej wyciekło ponad 100 tys. haseł, okazało się, że najpopularniejsze hasła w bazie to oczywiście “123456”, “qwerty”, “12345”, “polska”, “samsung” czy “mercedes”. Wyniki nie zmieniają się od lat. To właśnie takie zabezpieczenia królują w naszym kraju, czego dowodem są publikowane co roku zatrważające zestawienia.

Twoje hasło to 123456 albo qwerty? Lepiej je zmień. 10 mln haseł wyciekło do sieci

Ale to nie narodowa cecha - tak jest wszędzie. Z najpopularniejszego hasła na świecie, "czyli 123456", korzysta w sumie 3 proc. wszystkich użytkowników sieci. Jedno z 25 haseł, które znalazły się w zestawieniu najczęściej wykorzystywanych kombinacji, używane jest przez 10 proc. użytkowników internetu.

Chociaż problemem zainteresowały się władze Kalifornii to nie oznacza to, że wcześniej sprawa nikogo nie obchodziła. Wręcz przeciwnie - sami twórcy oprogramowania dbają o to, by wyeliminować proste hasła. Efekty starań widzicie tworząc konta w serwisach: niektóre strony od razu pokazują, że proponowana blokada jest zbyt słaba. Na dodatek wymaga się tworzenia silniejszych kombinacji: z użyciem małych i wielkich liter czy wykorzystując w haśle cyfry.

Generator silnych haseł od Google

Jeszcze dalej poszło w Google. W najnowszej wersji przeglądarki Chrome nie musicie wymyślać hasła, bo zrobi to za was nowy system. Nie tylko sam wygeneruje unikalne, skomplikowane hasło, ale też je zapisze i włączy funkcję automatycznego logowania.

Źródło zdjęć: © WP.PL
Źródło zdjęć: © WP.PL

Jednym ruchem Google wyeliminowało dwie bolączki: niechęć do tworzenia skomplikowanych kombinacji i niechęć do ich zapamiętywania. Naprawdę nikt nie lubi tego robić, nawet ci najbardziej odpowiedzialni na wysokich stanowiskach.

Będąc premierem, Donald Tusk trzymał swoje hasło do laptopa na przylepionej do niego naklejce. Podobny błąd popełniła popularna sportowa stacja czy lotnisko w Modlinie, przypinając karteczkę z zabezpieczeniem do korkowej tablicy. Jeszcze gorzej postąpiło Radio Maryja, które plik z hasłami trzymało na publicznych serwerach. Co z tego, że będzie miało się silne hasło, skoro trzyma się je na widoku i jest dostępne niemal dla każdego?

A takie przechowywanie haseł jest niestety częstą praktyką. 19 procent Polek trzyma kod PIN w portfelu razem z kartą płatniczą. Mężczyźni są nieco bardziej rozważni, ale i tak 12 procent Polaków chowa PIN do portfela - wynika z raportu opublikowanego przez Związek Banków Polskich.

W portfelu kod PIN razem z kartą płatniczą? Co piąta Polka tak robi!

Dlatego nie brakuje osób, które sprzeciwiają się tradycyjnym hasłom. Microsoft już ogłosił koniec ery haseł, zauważając, że inne metody logowania są dziś po prostu lepsze. Gigant wymienił przede wszystkim biometrię,czyli logowanie odciskiem palca lub za pomocą własnej siatkówki oka.

Nowy standard haseł nadchodzi

Standard WebAuthn pozwala logować się do serwisów za pomocą odcisku palca, skanowania twarzy czy specjalnego klucza USB, który podpina się do komputera. Wdrożenie go już zapowiedzieli twórcy Firefoksa, Chrome'a czy Microsoft Edge. Takie logowanie możliwe jest w niektórych mobilnych aplikacjach, niebawem stanie się powszechne także podczas korzystania z internetowej przeglądarki.

Jedno hasło do wszystkiego. "Zanim rząd wdroży pomysł, świat będzie kilka dobrych pomysłów dalej"

I to właśnie biometria ma największe szanse na sukces, bo przyłożenie palca do ekranu jest wygodniejsze, niż noszenie ze sobą klucza USB. Niestety, i ta metoda ma swoje wady. Naukowcom już udało się złamać zabezpieczenia i odblokować urządzenie na podstawie… zdjęć palców, z których wyczytano odciski. Choć jak uspokajał w rozmowie z WP Tech Piotr Kupczyk z Kaspersky Lab, w warunkach laboratoryjnych wszystko jest możliwe, jednak znacznie prostsze jest po prostu złamanie hasła.

Odcisk palca w dowodzie osobistym. Wszyscy będziemy brać przykład z Władimira Putina

Problem haseł jest dziś kluczowy, bo coraz więcej urządzeń podłączamy do sieci. To już nie tylko komputery i telefony, ale też telewizory czy sprzęty AGD. Dla cyberprzestępców to świetna wiadomość, bo wszystko, co ma dostęp do sieci, może być furtką prowadzącą do włamania. Urządzenia da się też wykorzystać w ataku DDoS czy wydobywania kryptowalut. To wszystko jest możliwe, bo świadomość, że ekspres do kawy może być celem dla hakera, jest praktycznie zerowa. Potrzeba więc silnej ochrony ze strony producentów, ale też mocnych haseł, które stworzą użytkownicy.

Działania prawne mogą pomóc, ale trzeba pamiętać, że żadna metoda nie jest w 100 proc. skuteczna.

- Odradzam zabezpieczanie urządzeń wyłącznie jedną metodą – przy użyciu hasła, numeru PIN czy odcisku palca. Najlepiej połączyć hasło z dodatkowym zabezpieczeniem, np. wspomnianą biometrią, która sprawi, że dostęp osób niepowołanych do naszego urządzenia będzie znacznie trudniejszy - mówił w rozmowie z WP Tech Kamil Sadkowski, analityk zagrożeń z firmy ESET.

Zobacz też: Cybersejf. Policja zabiera komputer ofierze cyberataku

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA