Hasła w komputerze

Niedawne odkrycie dość poważnej luki w przeglądarce Firefox i dyskusja jaka wywiązała się w związku z tym, skłoniła mnie do napisania kilku słów o hasłach, które w Internecie są najpopularniejszą metodą uwierzytelniania użytkownika.

Luka w Firefoksie (jak się okazało później w IE także) umożliwia odkrycie loginu i hasła zapisanego w przeglądarce. Pominę tutaj szczegóły jak to się dzieje i w jakich okolicznościach a skupie się na tym jak powinno się używać haseł.

Istnieją dwa najczęściej popełniane błędy przez użytkowników sieci. Stosowanie jednego hasła wszędzie i zapisywanie haseł. Nie jest ważne gdzie się je zapisuje. Czy jest to papier, czy menadżer haseł w przeglądarce, nie ma to najmniejszego znaczenia. Jeżeli coś jest zapisane to ktoś nieuprawniony może to odczytać - tą prostą zasadę trzeba pamiętać zanim zapiszemy swoje hasło na kartce, czy klikniemy “zapamiętaj” w przeglądarce. Nie ma idealnego programu i systemu zabezpieczeń, elementem każdego systemu zabezpieczeń jest człowiek - tak było, jest i będzie. Programy komputerowe mają błędy i zawsze będą je miały. To użytkownik musi być świadomy co robi i na co się naraża w przypadku odkrycia hasła. Wiele osób nie zdaje sobie sprawy ze swoich poczynań. Jeżeli są to sprawy prywatne, użytkownik szkodzi sobie sam, jeżeli zabezpieczenia dotyczą spraw służbowych, skutki mogą być już dużo poważniejsze.

Jak się ustrzec komplikacji związanych z używaniem haseł? To bardzo proste - należy utworzyć sobie trzy (lub więcej) poziomy ważności haseł. Pierwszy - hasła, których nie zapisujemy nigdzie. Drugi - hasła, które zapisujemy w miejscu z którego wydobycie ich jest utrudnione (ale nie niemożliwe) - np kwallet z KDE (plik z hasłami jest szyfrowany silnym algorytmem i zabezpieczony jednym hasłem). Trzeci - hasła, które są narażone na odkrycie np. z powodu luk w oprogramowaniu podłączonym do sieci (przeglądarki). Mając takie trzy poziomy, łatwo już zdecydować co jest dla nas najważniejsze, ważne i mało ważne. To samo tyczy się konsekwencji w przypadku odkrycia hasła. Dodatkowym elementem na który należy zwrócić uwagę jest to, że hasła z pierwszego poziomu powinny być wykorzystywane tylko przez szyfrowane kanały komunikacji (SSH, SSL, TLS) i jeżeli nie jesteśmy pewni komputera z którego korzystamy, należy je wpisywać za pomocą klawiatury ekranowej - jest to program w którym znaki wybiera się myszką (dostępny standardowo w Windows XP). Takie postępowanie ustrzeże nas przed ryzykiem związanym z oprogramowaniem (lub sprzętem) logującym naciskane klawisze.

Teoretycy bezpieczeństwa pewnie więcej mogliby powiedzieć na temat haseł i ich używania. Ja skupiłem się tylko na najważniejszych, praktycznych aspektach. Pominąłem zupełnie ważną kwestię tworzenia silnych, czyli trudnych do odkrycia np. metodą słownikową, haseł. Ponieważ w pracy zawodowej mam do czynienia z ludźmi i hasłami, wiem, że poziom świadomości jest dość niski.