Przed botnetem Pony nie uchroni trudne w zapamiętaniu hasło: sprawdź czy nie byłeś celem ataku

Jakie powinno być hasło, każdy dobrze wie? Tak to nie pomyłka, specjalnie postawiliśmy znak zapytania. Pomimo licznych publikacji w sieci, ciągłych doniesień o wykradanych hasłach, które pokazują, jak banalne blokady stosują internauci, nadal wielu nie dostrzega powagi problemu. Trudne do zapamiętania hasło może okazać się tylko iluzoryczną zasłoną. Dla narzędzi takich jak botnet Pony odgadnięcie hasła, które teoretycznie powstało zgodnie z zasadami tworzenia bezpiecznych haseł, jest znacznie prostsze, niż nam się to wydaje. Tylko w ostatnim okresie, stosując technikę zgadywania, Pony wykradł około 2 milionów haseł.

Taka liczba nie robi takiego wrażenia jak 38 milionów w przypadku bazy Adobe, ale fakt wykradzenia i lokalizacja użytkownika, którego hasło przestało być tajemnicą, może być znacznie trudniejszy do zidentyfikowania. Botnet Pony umieścił swoje centrum kontroli na serwerze, którego IP prowadzi do Holandii. Niestety ta wskazówka kompletnie nic nie daje. Technika odwrotnego proxy skutecznie anonimizuje prawdziwego zleceniodawcę ataków. Na wspomniane dwa miliony haseł składa się:

• około 1580000 danych logowania do witryn internetowych
• około 320000 danych logowania do skrzynek e-mail
• około 41000 haseł do kont FTP
• około 3000 danych logowania do zdalnych pulpitów
• około 3000 danych logowania do kont z funkcją bezpiecznego logowania

Namierzone dane logowania najczęściej należą do użytkowników takich serwisów jak Facebook, Google, Yahoo, Twitter czy LinkedIn. Ujawnione kombinacje liter i cyfr pokazują, że nadal najczęściej najczęstsze hasła są ciągami takimi jak 123456 (15820 przypadków), 123456789 (4875 przypadków) czy 1234 (3135 przypadków). Analizy wykradzionych danych dokonały laboratoria Trustwave. Naturalnie wykradzione hasła nie były tylko tak trywialne jak 1234, ale również bardziej skomplikowane.

Powyższy diagram ilustruje liczbę wykradzionych haseł jako funkcję ich skomplikowania i długości. Kolorowe słupki oznaczają hasła o określonej liczbie znaków, a kolejne wartości na osi X stopień skomplikowania. Najpierw mamy hasła, w których użyto jeden rodzaj znaków (czyli tylko duże lub małe litery), potem dwa rodzaje i na koniec cztery rodzaje znaków (małe, duże litery, liczby i znaki specjalne). Jak widać, im bardziej skomplikowana kombinacja, tym trudniej odgadnąć hasło. Jednak podobne efekty daje zastosowanie długiej frazy (na przykład zdania z książki), która dla nas będzie łatwa do zapamiętania, a dla komputera prawie niemożliwa do odgadnięcia w rozsądnym czasie.

Procent bezpiecznych i tych mniej bezpiecznych haseł na liscie 2 milionów wykradzionych haseł.

Czy ciągle napływające doniesienia o wykradanych hasłach oznaczają, że nie uczymy się na błędach? W pewnym sensie sytuacja ma się znacznie lepiej niż 7 lat temu, kiedy to procentowy udział prostych (o niewielkiej liczbie znaków) haseł w ogólnej ich liczbie był znacznie mniejszy. Niestety od 2006 roku liczba różnego rodzaju kont w sieci wzrosła wielokrotnie, co przekłada się na około 2,5 krotny wzrost udziału prostych w odgadnięciu haseł w ogólnej ich liczbie.

Nie ma już zatem dla nas nadziei? Nadzieja zawsze jest, a w tym przypadku są nią długie i proste do zapamiętania hasła. Bardzo cenną informacją są też bazy danych, które umożliwiają przynajmniej wstępną ocenę czy nasze konto jest bezpieczne. Na przykład serwis www.haveibeenpwned.com. Gdy otrzymamy ostrzeżenie warto zmienić hasło. I to nie tylko na zagrożonym serwisie, ale i innych, z których korzystamy.

Za pomocne uznaje się również powiadomienia na telefon w przypadku prób nieautoryzowanego (np. z innej maszyny) logowania. Jednak walka o bezpieczeństwo w sieci może napotkać ścianę oporu związaną z naszą, zrozumiałą, chęcią zachowania prywatności. A ta prowadzi do niechętnego podawania zbyt dużej liczby informacji o nas, w tym numerów telefonu.

Źródło: digitaltrends, spiderlabs