Ciekawy tekst: Changing Passwords. Przyznam się, że ja nie zmieniam swoich haseł. No, przynajmniej nie wszystkie. Uważam, że w większości przypadków zysk z takiej praktyki nie uzasadnia jej uciążliwości. Tu nawet nie chodzi o pamiętanie zmienionego hasła, pamiętać nie muszę bo korzystam z KeePass. Zmiana kilkudziesięciu haseł trwa.
O zmienianiu hasła
Okresowa zmiana hasła ma jednak trochę zalet. Tak, skraca czas przez jaki atakujący może korzystać z poznanego hasła, ogranicza również "sensowny czas" łamania hasła. Jeśli w danym systemie hasło musi być zmieniane co 30 dni, a symulacje/szacowania wskazują, że czas łamania typowego hasła jest dużo, dużo większy, wówczas bruteforce jest mało skuteczną/sensowną metodą ataku. Po prostu oczekiwany czas łamania hasła (hasha hasła) jest większy, niż czas jego życia.
Problem w tym, że teoria rozmija się z praktyką. Niestety, bardzo często nie jest tak, że hasło n+1 nie jest związane z hasłem n. Jeśli znajdujemy hasło Misiaczek1, to z dużą szansą na sukces można próbować Misiaczek2, Misiaczek3, (...). W efekcie system może i spełnia jakieś wymagania czy dobre praktyki, zysk z ich stosowania jest jednak mały... Trochę lepiej sytuacja mogłaby się przedstawiać, gdyby poza sprawdzeniem, czy hasło spełnia odpowiednie polityki co do złożoności hasła, oraz czy jest inne niż n ostatnich haseł sprawdzać jeszcze, czy różni się od nich, przynajmniej od ostatniego, w sposób wystarczający. Do takiego sprawdzenia można wykorzystać nawet edit distance.
Wymaganie okresowej zmiany hasła może dać jeszcze jeden pozytywny "efekt uboczny". Może spowodować, że hasła w różnych serwisach będą różne. Jeśli przy zmianie hasła sprawdzane będzie "podobieństwo" do poprzedniego, jest szansa, że hasła w różnych serwisach będą z czasem różne. Choć równie dobrze może wystąpić taka sekwencja zmiany hasła: Misiaczek1 -> AdminJestGupi1 -> Misiaczek2. I wracamy do punktu wyjścia. Niestety, ciężko jest uchronić użytkownika przed strzeleniem sobie z łuku w kolano jeśli on bardzo tego chce...
Oczywiście są takie sytuacje, w których hasło po prostu trzeba zmienić. Zacytuję Schneiera:
So in general: you don't need to regularly change the password to your computer or online financial accounts (including the accounts at retail sites); definitely not for low-security accounts. You should change your corporate login password occasionally, and you need to take a good hard look at your friends, relatives, and paparazzi before deciding how often to change your Facebook password. But if you break up with someone you've shared a computer with, change them all.
Oczywiście hasło/hasła trzeba zmienić również wtedy, gdy pojawią się informacje, że hasła wyciekły.
Zastanawiam się też nad jedną rzeczą. Skoro użytkownicy mają taki problem z wymyślaniem unikanych, mocnych haseł, może dobrym pomysłem jest robienie tego za nich? Są algorytmy służące do generowania (stosunkowo) łatwych do zapamiętania haseł. W procesie rejestracji konta i przy zmianie hasła użytkownik mógłby otrzymać kilka(dziesiąt) haseł do wyboru, z których wybrałby jedną sugestię. Ciekawy jestem z jakim przyjęciem użytkowników spotkałby się taki system. Dla ilu użytkowników brak możliwości ustawienia swojego Misiaczka1 byłby krańcowo traumatycznym przeżyciem.
Hasło powinno zawierać co najmniej jedną dużą literę, hasło powinno zawierać co najmniej dwie cyfry, hasło powinno zawierać co najmniej jedną małą literę, hasło powinno posiadać co najmniej 8 znaków - przyprawia ludzi o zawał serca, a przecież:
Misiaczek12 spełnia tę wymagania doskonale ... a i zaskoczenie ludzi jest bezcenne
To ja przypomnę coś o czym kiedyś tam dyskutowaliśmy z gospodarzem mailowo
Powyższe stwierdzenie opiera się poniekąd na założeniu, że atakujący dowie się, że zmieniliśmy hasło i zacznie szukać od nowa - ale przecież tak nie jest.
Załóżmy, że w ciągu miesiąca atakujący przeszukuje 1% przestrzeni haseł. Jesli po tym miesiącu zmienimy hasło - to mamy prawdopodobieństwo 99% że nowe hasło trafi do jeszcze nie przeszukanego obszaru, po kolejnym miesiącu - 98% itd. Oczywicie zysk pewien jest - mamy pewną (policzenie zostawiamy czytelnikowi jako ćwiczenie w domu szansę, że w którymś momencie "przeskoczymy" z nowym hasłem do już sprawdzonej części przestrzeni haseł - ale jest ona względnie mała, dużo prościej jest po prostu zwiększyć przestrzeń haseł.
A tak na marginesie pomyślałem sobie, że biorąc pod uwagę automaty łamiące hasła - to sensowne wydaje się umieszczenie na początku i końcu hasła ciągów "zazaza" no bo automat zapewne sprawdza hasła po kolei (od aaaa aaab, ewentualnie od końca od zzzz zzzy, ewentualnie dzieląc przestrzeń w/g literek na węzły dla systemów równoległych - co się sprowadza do powyższego przypadku bez kawałka początkowego/końcowego)...
Jadac rano do pracy wybierzmy pierwsza litere z nazw ulic ktore mijamy jednoczesnie zapamietujac numer na damym budynku. Haslo bedzie oryginalne i zawsze mozemy sobie je przypomniec jadac znowu ta sama droga.
Mam nadzieje ze napisalem zrozumiale....
Pozdrawiam.
Ps. Dobry blog
"Mrok wieczorny babcia siwa przy kominku głową kiwa. Nos jak haczyk, okulary coś tam ględzi babsztyl stary"
=
mw85pk6knjh0c7685
Ta metoda ma jeszcze jeden +. Można błyskać w towarzystwie znajomością wszelakiej poezji ;D
Z tą metodą widzę pewien problem - co przy zmianie hasła? Trzeba zmienić drogę do pracy czy może samo miejsce zatrudnienia?
P.S.
Dzięki
Zawsze jakis pozytek, mozna poznac nowych ludzi itp.
Pozdrawiam wymyslaczy chasel