Kalifornia zakazuje prostych haseł. To problem na całym świecie
"1234" albo "qwerty" - to najpopularniejsze hasła nie tylko w Polsce, ale i na świecie. Wkrótce taka kombinacja nie przejdzie, bo producenci nie będą mogli używać prostych zabezpieczeń. Zmiana jest ważna, lecz żadne prawo nie pomoże, jeśli popełni się błąd jak Donald Tusk albo Radio Maryja.
Kupując nowy sprzęt, na początku zawsze ustawione jest domyślne hasło. Czy to router, czy podłączony do internetu ekspres do kawy - możemy mieć pewność, że blokada to "admin", "password", "1234" czy "qwerty". Domyślne hasło musi być jak najprostsze, by do sprzętu mógł się dostać nawet ktoś, kto nie dostanie instrukcji. Później jednak oczekuje się, że użytkownik zmieni blokadę na swoją - znacznie trudniejszą do złamania.
Przez router na komisariat
Teoria to jedno, a praktyka - drugie. Bardzo często domyślnie ustawione hasło zostaje, co z chęcią wykorzystują przestępcy. Zagrożone są nie tylko nasze konta w serwisach społecznościowych, ale same urządzenia. To właśnie przez słabe hasło w routerze mieszkaniec Katowic dostał wezwanie na komisariat, celem złożenia wyjaśnień w sprawie fałszywych aukcji na portalu sprzedażowym. Okazało się, że ktoś włamał się do jego routera i zaczął wystawiać fałszywe ogłoszenia w serwisach aukcyjnych. Przedmiotem aukcji były lampy. Jak mogło dojść do włamania?
Przestępcy nie musieli korzystać ze standardowych metod wyłudzania danych, jak phishing. Niepotrzebne były też błędy po stronie producenta, który nie załatał luk - co niestety się zdarza. Do przekrętu wystarczyło słabe hasło w routerze i zalogowanie się do kiepsko zabezpieczonej sieci.
Takie zajęcie ma już nawet swoją własną nazwę. Osoby polujące na bezbronne sieci WLAN (Wireless Local Area Network) to wardriverzy. Korzystając z darmowych programów szukają niezabezpieczonej lub słabo chronionej sieci.
Kalifornia zakazuje prostych haseł
Właśnie przeciwko takim praktykom wojnę wypowiada Kalifornia. To nie lokalna ciekawostka, tylko rzecz, która może wkrótce obowiązywać na całym świecie, bo właśnie w tym stanie powstają sprzęty i oprogramowanie. Tamtejsze władze zakazały wprowadzania uniwersalnych, domyślnych haseł w urządzeniach. Producent od 2020 roku będzie musiał wygenerować unikalną blokadę, jak w przypadku banku i kodów PIN, bądź też wymusić na użytkowniku stworzenie od razu silnego hasła. A to oznacza, że wypowiada się wojnę również złym nawykom. I to pozytywna zmiana, bo nie wszyscy wiedzą, że potrzebują silnego, skomplikowanego hasła.
Statystyki nie kłamią - jesteśmy leniwi. Gdy z polskiego serwisu o tematyce motoryzacyjnej wyciekło ponad 100 tys. haseł, okazało się, że najpopularniejsze hasła w bazie to oczywiście “123456”, “qwerty”, “12345”, “polska”, “samsung” czy “mercedes”. Wyniki nie zmieniają się od lat. To właśnie takie zabezpieczenia królują w naszym kraju, czego dowodem są publikowane co roku zatrważające zestawienia.
Ale to nie narodowa cecha - tak jest wszędzie. Z najpopularniejszego hasła na świecie, "czyli 123456", korzysta w sumie 3 proc. wszystkich użytkowników sieci. Jedno z 25 haseł, które znalazły się w zestawieniu najczęściej wykorzystywanych kombinacji, używane jest przez 10 proc. użytkowników internetu.
Chociaż problemem zainteresowały się władze Kalifornii to nie oznacza to, że wcześniej sprawa nikogo nie obchodziła. Wręcz przeciwnie - sami twórcy oprogramowania dbają o to, by wyeliminować proste hasła. Efekty starań widzicie tworząc konta w serwisach: niektóre strony od razu pokazują, że proponowana blokada jest zbyt słaba. Na dodatek wymaga się tworzenia silniejszych kombinacji: z użyciem małych i wielkich liter czy wykorzystując w haśle cyfry.
Generator silnych haseł od Google
Jeszcze dalej poszło w Google. W najnowszej wersji przeglądarki Chrome nie musicie wymyślać hasła, bo zrobi to za was nowy system. Nie tylko sam wygeneruje unikalne, skomplikowane hasło, ale też je zapisze i włączy funkcję automatycznego logowania.
Jednym ruchem Google wyeliminowało dwie bolączki: niechęć do tworzenia skomplikowanych kombinacji i niechęć do ich zapamiętywania. Naprawdę nikt nie lubi tego robić, nawet ci najbardziej odpowiedzialni na wysokich stanowiskach.
Będąc premierem, Donald Tusk trzymał swoje hasło do laptopa na przylepionej do niego naklejce. Podobny błąd popełniła popularna sportowa stacja czy lotnisko w Modlinie, przypinając karteczkę z zabezpieczeniem do korkowej tablicy. Jeszcze gorzej postąpiło Radio Maryja, które plik z hasłami trzymało na publicznych serwerach. Co z tego, że będzie miało się silne hasło, skoro trzyma się je na widoku i jest dostępne niemal dla każdego?
A takie przechowywanie haseł jest niestety częstą praktyką. 19 procent Polek trzyma kod PIN w portfelu razem z kartą płatniczą. Mężczyźni są nieco bardziej rozważni, ale i tak 12 procent Polaków chowa PIN do portfela - wynika z raportu opublikowanego przez Związek Banków Polskich.
Dlatego nie brakuje osób, które sprzeciwiają się tradycyjnym hasłom. Microsoft już ogłosił koniec ery haseł, zauważając, że inne metody logowania są dziś po prostu lepsze. Gigant wymienił przede wszystkim biometrię,czyli logowanie odciskiem palca lub za pomocą własnej siatkówki oka.
Nowy standard haseł nadchodzi
Standard WebAuthn pozwala logować się do serwisów za pomocą odcisku palca, skanowania twarzy czy specjalnego klucza USB, który podpina się do komputera. Wdrożenie go już zapowiedzieli twórcy Firefoksa, Chrome'a czy Microsoft Edge. Takie logowanie możliwe jest w niektórych mobilnych aplikacjach, niebawem stanie się powszechne także podczas korzystania z internetowej przeglądarki.
I to właśnie biometria ma największe szanse na sukces, bo przyłożenie palca do ekranu jest wygodniejsze, niż noszenie ze sobą klucza USB. Niestety, i ta metoda ma swoje wady. Naukowcom już udało się złamać zabezpieczenia i odblokować urządzenie na podstawie… zdjęć palców, z których wyczytano odciski. Choć jak uspokajał w rozmowie z WP Tech Piotr Kupczyk z Kaspersky Lab, w warunkach laboratoryjnych wszystko jest możliwe, jednak znacznie prostsze jest po prostu złamanie hasła.
Problem haseł jest dziś kluczowy, bo coraz więcej urządzeń podłączamy do sieci. To już nie tylko komputery i telefony, ale też telewizory czy sprzęty AGD. Dla cyberprzestępców to świetna wiadomość, bo wszystko, co ma dostęp do sieci, może być furtką prowadzącą do włamania. Urządzenia da się też wykorzystać w ataku DDoS czy wydobywania kryptowalut. To wszystko jest możliwe, bo świadomość, że ekspres do kawy może być celem dla hakera, jest praktycznie zerowa. Potrzeba więc silnej ochrony ze strony producentów, ale też mocnych haseł, które stworzą użytkownicy.
Działania prawne mogą pomóc, ale trzeba pamiętać, że żadna metoda nie jest w 100 proc. skuteczna.
- Odradzam zabezpieczanie urządzeń wyłącznie jedną metodą – przy użyciu hasła, numeru PIN czy odcisku palca. Najlepiej połączyć hasło z dodatkowym zabezpieczeniem, np. wspomnianą biometrią, która sprawi, że dostęp osób niepowołanych do naszego urządzenia będzie znacznie trudniejszy - mówił w rozmowie z WP Tech Kamil Sadkowski, analityk zagrożeń z firmy ESET.