Uwaga na hasła!

Większość osób używa wszędzie jednego i tego samego hasła. Dlaczego? Otóż w dzisiejszych czasach każdy aktywny użytkownik internetu korzysta z nawet kilkuset różnych usług (konta w portalach społecznościowych, konta mailowe, różne panele administracyjne do stron WWW, hasła do baz danych na różnych serwerach, hasła do paneli administracyjnych programów partnerskich, fora internetowe, hasła do banków internetowych…) Można by tak wymieniać w nieskończoność. Pojawia się jednak pewien problem: jak spamiętać te wszystkie hasła?

Najprościej jest używać wszędzie tego samego hasła. Wtedy odpada problem z pamiętaniem gdzie jakie jest hasło. Jednak pojawia się wtedy problem: jeśli ktoś pozna nasze hasło np. do serwisu społecznościowego, to będzie mógł czytać naszą pocztę. Mając dostęp do cudzej poczty można używać funkcji przypominania hasła (przecież na konto e-mail przyjdzie np. link do zresetowania hasła do innego serwisu społecznościowego).

Skoro użytkownicy są niezbyt mądrzy, to administratorzy powinni wykazać się zdwojoną czujnością. Wszystkie hasła w bazach danych powinny być zakodowane!! Pomyślmy sobie co by się stało, gdyby ktoś się włamał na jakiś serwer i ukradł bazę danych. Mamy tam wszystkie dane na tacy (login użytkownika, jego konto e-mail i niezakodowane hasło). Spory odsetek osób używa wszędzie tego samego hasła, więc o tragedię nietrudno.

Tego typu wpadki już miały miejsce. Np. na blogu DotLab opisano wpadkę serwisu NameDrive. Ktoś ukradł około 1% informacji o kontach użytkowników (ciekawe, czy rzeczywiście ukradł tylko 1% bazy danych czy NameDrive walnęło ściemę). O NameDrive już wcześniej pisałem. W skrócie: jest to parking domen gdzie oprócz parkowania domen można również te lepsze wystawić na aukcję. Na pewnym forum internetowym wyczytałem jak rozgoryczony użytkownik płakał, bo u swojego rejestratora domen miał takie samo hasło jak w NameDrive i ktoś mu ukradł bardzo atrakcyjną domenę.

Co ciekawe nie tylko NameDrive nie koduje haseł. Innym przykładem jest Program Partnerski wydawnictwa Helion (dowód).

A teraz najciekawsze: wcale nie trzeba wykraść komuś bazy danych, aby stało się coś złego. Jaką masz pewność że np. na moim forum hasła w bazie danych są kodowane? Może są niekodowane a ja z nudów po nocach włamuję się ludziom na skrzynki pocztowe, sprawdzając, czy używają tego samego hasła do poczty co na forum?? Jaką masz pewność, że wszyscy dookoła są uczciwi??

Podsumowując mój wpis na blogu. Chcę przekazać dwie cenne porady:

  • Dla użytkowników – używaj wielu różnych haseł, najlepiej wszędzie innego
  • Dla administratorów – koduj w bazie danych hasła użytkowników (najlepiej funkcją haszującą md5). Administratorom mogę polecić ciekawą książkę wydaną przez wydawnictwo Helion: PHP. Bezpieczne programowanie. Osobiście uważam, że administrator, który nie koduje haseł użytkowników powinien wylecieć z roboty na zbity pysk z dożywotnim zakazem wykonywania bardziej odpowiedzialnych czynności niż sprzedawanie buraków na targu

4 komentarze to “Uwaga na hasła!”

  1. Mimic napisał(a):

    Absolutnie się zgadzam, czytałem ostatnio „Sztuka Podstępu” Mittnicka i rzeczywiście, stosowanie wszędzie tego samego błędu to bardzo częsty, a zarazem poważny błąd. Sam zacząłem proces utrudniania haseł 😉

  2. SirZooro napisał(a):

    MD5 nie jest już zbyt bezpieczne (kolizje dla hasha da się znaleźć dość szybko), lepiej użyć SHA256 🙂

  3. Damian Daszkiewicz napisał(a):

    Ale MD5 jest o wiele bezpieczniejsze od plain-text 🙂

  4. laniol napisał(a):

    No coz, moze mam prosta metode, ale zawsze to lepsze niz nic – haslo sklada sie ze stalego czlonu ( powiedzmy 6-8 liter) – jakies proste slowo do zapamietania + jakies 6 kolejnych znakow pochodzacych z nazwy serwisu, zapamietanych/zakodowanych w pamieci najlepiej jakas mnemotechnika.

    np.w najprostszej wersji zawsze bierzemy slowo „fantastycznie” + 1,3,7 litera z nazwy serwisu

    oczywiscie mozna to do woli rozbudowywac, dodawac krzaczkow, haszowac itp. albo po prosstu przejsc na OpenID 🙂

    pozdro