Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Ilość znaków w haśle...

Ile wielkich i małych liter powinno zawierać hasło? Abstrahując od anachronizmu zapisów w rozporządzeniu i zapowiedzi jego zmiany, warto żeby było to jednoznaczne.

Czasami zdanie "składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery" bywało tłumaczone w ten sposób, że hasło musi zawierać co najmniej 2 wielkie i co najmniej 2 małe litery. Traktowałem to jako środowiskowy dowcip. Ale ostatnio przeżyłem małe zdziwienie, gdy informacja taka pojawiła się w jednym z poradników dla ABI.

Wydaje mi się, że nikt z doświadczeniem informatycznym nie powiedziałby czegoś takiego. Wygląda to dla mnie jak przypisywanie wielkim literom jakiejś magicznej mocy zwiększania siły hasła. Tymczasem powinno tu chodzić o ilość dopuszczalnych kombinacji – a wymuszając stosowanie większej ilości wielkich lub małych znaków, zmniejszamy ilość dopuszczalnych kombinacji...
Można na to spojrzeć jednak z drugiej strony. W praktyce wielka litera będzie zwykle pierwszą literą hasła – więc, być może jednak, wymuszając stosowanie co najmniej dwóch wielkich liter – zwiększamy ilość kombinacji stosowanych w praktyce...

"składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery"- nie jestem przekonany jak to czytać, ale:
"oraz cyfry lub znaki specjalne"- już wydaje się wymagać większej ilości cyfr lub znaków specjalnych (a jedna cyfra i jeden znak specjalny będzie OK? :))

Dodam tylko, że na eduGIODO, wymagania są "normalne" - co najmniej jedna duża, co najmniej jedna mała, co najmniej jedna cyfra lub znak specjalny.

A Wy jak podchodzicie do ilości znaków w haśle?Jarosław Żabówka edytował(a) ten post dnia 22.02.12 o godzinie 03:36
Filip Turyk

Filip Turyk właściciel, Idcon
ochrona danych
osobowych

Temat: Ilość znaków w haśle...

Moim zdaniem wymóg złożoności hasła jest precyzyjnie określony.
Po pierwsze 8 znaków - to jest jasne
Po drugie zawiera duże i małe litery - a więc wśród tych 8 znaków jakieś muszą być duże a jakieś małe :-)
Po trzecie hasło zawiera cyfry lub znaki specjalne - częsty błąd z jakim się spotkam to przeświadczenie, że muszą być i cyfry i znaki specjalne. A definicja mówi wyraźnie "lub".

A tak podchodząc zdrowo rozsądkowo - w gruncie rzeczy chodzi o zabezpieczenie przed atakiem słownikowym czyli automatycznej próbie porównania wszystkich słów ze słownika programu jako hasła. Bardziej zaawansowane programy łamiące hasła stosują kombinacje takich słów. Jeśłi w haśle będą również znaki specjalne czy też cyfry słownik może tego nie przełknąć:-) Albo zajmie mu to nie współmiernie dużo czasu.

Dlatego też abstrachując od złożoności - konto powinno się też zawieszać po na przykład 3 nieudanych próbach logowania. Zetknąłem się z bardzo fajnym rozwiązaniem - zawieszenia na kilka minut. Próby włamania się poprzez złamanie hasła trzeba co trzy próby zawiesić na kilka minut. Zanim włamywacz znajdzie właściwą kombunację do logowania, użytkownik już sobie zmieni hasło, bo minęło
30 dni :-)
Karol K.

Karol K. Pełnomocnik ds.
Ochrony Informacji
Niejawnych,
Specjalist...

Temat: Ilość znaków w haśle...

Rozporządzenie rozporządzeniem, ale wydaje mi się, że do tematu hasła należy podejść zdroworozsądkowo. Hasło powinno być na tyle skomplikowane by dawało poczucie bezpieczeństwa, a nie spełniało tylko wymagania zawarte w przepisach. To co jest w przepisach traktuje jako pewne minimum, które należy spełnić. Polecam przeczytać ciekawy artykuł (http://www.lockdown.co.uk/?pg=combi), mówiący o tym ile czasu potrzeba do złamania hasła o danej złożoności. Karol Kij edytował(a) ten post dnia 22.02.12 o godzinie 07:51
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Ilość znaków w haśle...

Filip Turyk:
Po trzecie hasło zawiera cyfry lub znaki specjalne - częsty błąd z jakim się spotkam to przeświadczenie, że muszą być i cyfry i znaki specjalne. A definicja mówi wyraźnie "lub".
Ze wszystkim się zgadzam.
Niektórzy jednak uważają, że skoro jest napisane "cyfry", to powinno być ich więcej niż jedna, bo wówczas byłoby napisane "cyfra". Ja wiem, że takie czytanie prowadzi to do absurdu, w którym musimy użyć co najmniej dwóch cyfr lub dwóch znaków specjalnych, a jedna cyfra i jeden znak nie będzie spełniało wymagania rozporządzenia - chociaż tutaj akurat autorzy poradnika są innego zdania :))
Cytując za poradnikiem: "Analiza tego zapisu prowadzi do następujących wniosków. Po pierwsze, znaki literowe są opisane w liczbie mnogiej. Powoduje to obowiązek posiadania w haśle przynajmniej dwóch małych i przynajmniej dwóch dużych liter"
Karol K.

Karol K. Pełnomocnik ds.
Ochrony Informacji
Niejawnych,
Specjalist...

Temat: Ilość znaków w haśle...

Ciekawa sytuacja. Jeśli chodzi o mnie nigdy tego aż tak nie analizowałem. Z ciekawości aż sprawdziłem jakie są zapisy w zaleceniach ABW co do ststemów niejawnych. Tam też jest zapis w liczbie mnogiej:

"* Hasło nie może zawierać nazwy albo części nazwy konta. Minimalna długość hasła -
osiem/dwanaście znaków. Hasło musi zawierać znaki z minimum trzech następujących
kategorii: polskie wielkie litery (od A do Z), polskie małe litery (od a do z), cyfry (od 0 do
9), znaki alfanumeryczne (np.!, $, #,%). "


ABW nigdy mi nie sprawdzał ile jest jakich znaków, tylko czy w ogóle występują, a przygotowywałem kilka systemów do akredytacji.Karol Kij edytował(a) ten post dnia 22.02.12 o godzinie 10:19
Filip Turyk

Filip Turyk właściciel, Idcon
ochrona danych
osobowych

Temat: Ilość znaków w haśle...

Jarosław Żabówka:

Cytując za poradnikiem: "Analiza tego zapisu prowadzi do następujących wniosków. Po pierwsze, znaki literowe są opisane w liczbie mnogiej. Powoduje to obowiązek posiadania w haśle przynajmniej dwóch małych i przynajmniej dwóch dużych liter"

Faktycznie dość ciekawa interpretacja. W gruncie rzeczy cokolwiek bez sensu byłoby zapisać:

"Hasło 8-znakowe składające się z dużej i małej litery" :-))
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Ilość znaków w haśle...

Panowie,

Przepraszam ale duwagujemy nad czymś co jest czystą matematyką i da się wyliczyć.

Zacznę od liczby znaków. Dla uproszczenia na tym etapie przyjmijmy, że hasło zawiera wyłącznie małe litery. W alfabecie łacińskim (to jest istotne) mamy 26 liter co nam daje:

przy haśle 7 znakowym mamy 8031810176
przy haśle 8 znakowym 208827064576

możliwych do wygenerowania haseł.

Czyli zwiększając długość o jeden znak otrzymujemy o 200795254400 kombinacji więcej.

Jeżeli dodamy do tego małe litery to liczba mozliwych do uzycia znaków zwiększa się z 26 do 52. Czyli (pozostajac przy haśle 8 znakowym) otrzymujemy 53459728531456.

Dalej dodając do tego zbioru cyfry mamy już 62 znaki a to jest 218340105584896.

Oczywiście jeżeli powiekszymy ilość możliwych do użycia znaków o znaki narodowe i specjalne to ta liczba się automatycznie zwiększa.

Są dwa cele wprowadzania do haseł dużych liter, cyfr i znaków specjalnych. Pierwszy to zwiększenie liczby możliwych do użycia słów haseł ponieważ im większy zbiór możliwych do użycia znaków tym większa liczba możliwych do stworzenia haseł i jest to postęp geometryczny. Druga to utrudnienie właśnie ataków słownikowych. Proszę jednak nie zapominać, że narzędzia do łamania haseł metodą słownikową urzywają nie tylko słów z języka naturalnego.

Wprowadzenie do zasady generowania hasła wymogu wprowadzenia dużych liter i cyfr w określonej ilości zwiększa po prostu siłę hasła i czas potrzebny do jego złamania. Jeżeli wprowadzimy choć jedną dużą literę i jedną cyfrę to włąmywacz musi użyć już innych narzędzi i automatycznie wydłuża sie czas potencjalnie potrzebny do jego złamania

Załączony przez Pana Karola artykuł bardzo dobrze to obrazuje. Prosze zauważyć, przyjmując hasło zalecane przez GIODO czas jego złamania przez najszybszy system (Class F) to 83 dni. W przypadku hasła o jeden znak krótszego czas ten skraca się do 20 godzin. Jeden znak a jaka różnica.

A co do ABW to jest to proste zwiększenie siły hasła. Dodanie polskich liter powoduje po pierwsze wydłużenie czasu potrzebnego do jego złamania, nie wspominając już o konieczności posiadania specjalnych słowników. Po drugie zwiększa liczbę możliwych haseł poprzez dodanie do tablicy możliwych do użycia znaków aż 14 znaków. Czyli zamiast 96 znaków z alfabetu łacińskiego + cyfry + naki specjalne mamy do dyspozycji 110 znaków. Przy wzroście geometryczny jest to już znaczna różnica.

A co do sprawdzania hasła. Nie ma sensu sprawdzać co zawiera hasło. Trzeba dać jedynie możliwość użycia odpowiednich znaków. To znaczy prawidłowo działający system nie dopuści do użycia krótszgo hasła i nie zamieni np. dużych liter na małe. Proszę również nie zapominać że spacja, mimo że jej nie widać jest również znakiem i hasło składające się z samych spacji jest dla systemu komputerowego poprawnym hasłem. Choć dla większści z nas wydaje się błędem i jest nie logiczne. Ponadto hasło oprucz odporności na złamanie musi być możliwe do zapamiętania przez jego użytkowniak. Jeżeli będzi inaczej to je po prostu zapisze i tutatj pradoksalnie zamiast zwiększyć bezpieczeństo zmniejszymy je.
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Ilość znaków w haśle...

Prawdę mówiąc, mniej się tu przejmuję, tym ile powinno być znaków w haśle, a bardziej tym, że po kilku latach obowiązywania rozporządzenia, ciągle można się zastanawiać nad kwestiami jak najbardziej elementarnymi.

Chyba warto na to zwrócić uwagę, w okresie, gdy tworzone jest nowe prawo ochrony danych. Uważam, że tego typu problemy, potwierdzają moje twierdzenie, że im mniej prawa i im bardziej ogólne prawo, tym lepiej.
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Ilość znaków w haśle...

Dlatego najlepsze do zapamiętania sa hasła długie. Łatwiej zapamiętać hasło UrlopZa100Dni! albo Lubisz2Leklerki? niz jakies pokrętne kombinacje w stylu T0m@l#$. Poza tym wszystkie wymogi co do siły haseł przestają mieć aż takie znaczenie, jeśli system może spowolnić atak słownikowy np. poprzez blokowanie konta po kilku próbach na określony czas.

PS. Czysta matematyka jest tylko w kombinacjach. Ale jeśli chodzi o techniki łamania, to ta matematyka nie na wiele się zdaje. Np. można trafić na słownik najpopularniejszych haseł i stosując atak słownikowy łatwo złamać i takie hasła. Mamy pewne nawyki - np. często informatycy używają kolejnych ciągów z klawiatury (i co ciekawe - najczęściej z lewej jej części). Gdzieś widziałem np. takie hasła - pozornie sa one mocne :)
- zaq1XSW@
- qwe!@#123
- Qwerty123!@#Leszek K. edytował(a) ten post dnia 23.02.12 o godzinie 16:34
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Ilość znaków w haśle...

Co do zastanawiania się nad kwestiami elementarnymi to niestety ale rozwiązania techniczne które rozwiążą wszystkie wątpliwości (czytaj wymuszą stosowanie hasła zgodnie z wymogami przepisów) są nie dość, że kosztowne to nie zawsze technicznie możliwe i krótkotrwałe.

Jeszcze kilka lat temu złamanie hasła 8 znakowego nawet z złożonego tylko z małych liter było naprawdę trudną pracą. Po prostu systemu miały zbyt małą wydajność. Obecnie złamanie 8 znakowego hasła złożonego z małych i dużych liter, cyfr i znaków specjalnych zajmuje 83 dni. Ale za 2 - 3 lata może to być tylko 10 dni. Niestety jest to cena szybkiego postępu technologicznego w zakresie przetwarzania danych i tego nie da sie zatrzymać. Proszę również nie zapominać, że uodo i inne przepisy były aktualne na dzień ich towrzenia i uwzględniały stan i wydajność systemów informatycznych w tym momencie.

A co do łamania to metoda słownikowa używa nie słów naturalnych lecz zbioru słów, które najczęścicej mogą być użyte i mogą się składać nie koniecznie wyłącznie ze znaków alfanumerycznych. Ponado przy łamaniu haseł stosuje się głównie metody matematyczne oparte na statystyce ale również pewne techniki wywądzące się z psychologii, kultury, etnografii czy językoznawstwa. Jednak długość i złożoność hasła determinuje czas jego łamania i zastosowane techniki.

Co do blokowania to wszystko fajnie i jest to żeczywiście bardzo dobra metoda szczególnie przy zastosowaniu losowego czasu blokowania profilu. Tylko że nie zawsze i nie do wszystkiego. Jeżeli któryś z Panów używał Lotus Notes i zdażyło się wam błędnie wprowadzić hasło i zblokowąć profil to wiecie jak to potrafi być bolesne gdy coś trzeba zrobi natychmiast.

A tak a propo podanych przez pana Leszka przykładów. Wystarczy zmienić standardową klawiaturę na polską i zamiast zaq1XWS bedziemy mieli qaz1XWS@. Taki mały trick a problemów co nie miara.

A tak całkiem poważnie na dobrego hackera tak jak na dobrego złodzieja nie ma zabezpieczenia. Dowolne hasło skutecznie odstraszy amatora, a spełniające minimalne zalecenia większość partaczy.

konto usunięte

Temat: Ilość znaków w haśle...

Chciałbym podzielić się jednym spostrzeżeniem dotyczącym tzw. haseł maskowanych, które są bardzo popularne szczególnie w bankowości internetowej. Dla wyjaśnienia chodzi o hasła, które nie wpisujemy w całości, tylko kilka wybranych znaków hasła żądanych przez system informatyczny.

Zauważyłem, że niektórzy użytkownicy mają tendencje do mówienia hasła na głos w momencie, gdy w myślach muszą przeliczyć odpowiednie znaki w haśle. Taki odruch bezwarunkowy i nie zdają sobie z tego sprawy. Po prostu siedząc obok takiej osoby można usłyszeć jak po cichu literuje całe hasło, akcentując te znaki, które będzie wpisywać. A ponieważ użytkownicy nie kwapią się do specjalnego komplikowania haseł, więc czasami usłyszeć można coś długiego w stylu „wa”K”acj”E”nad”M”orzem123$”.

Ciekaw jestem czy mieliście podobne spostrzeżenia?
Grzegorz M.

Grzegorz M. IT Security Officer
at Orbis S.A. /
CISSP

Temat: Ilość znaków w haśle...

Grzegorz Łojek:
Chciałbym podzielić się jednym spostrzeżeniem dotyczącym tzw. haseł maskowanych, które są bardzo popularne szczególnie w bankowości internetowej. Dla wyjaśnienia chodzi o hasła, które nie wpisujemy w całości, tylko kilka wybranych znaków hasła żądanych przez system informatyczny.

Zauważyłem, że niektórzy użytkownicy mają tendencje do mówienia hasła na głos w momencie, gdy w myślach muszą przeliczyć odpowiednie znaki w haśle. Taki odruch bezwarunkowy i nie zdają sobie z tego sprawy. Po prostu siedząc obok takiej osoby można usłyszeć jak po cichu literuje całe hasło, akcentując te znaki, które będzie wpisywać. A ponieważ użytkownicy nie kwapią się do specjalnego komplikowania haseł, więc czasami usłyszeć można coś długiego w stylu „wa”K”acj”E”nad”M”orzem123$”.

Ciekaw jestem czy mieliście podobne spostrzeżenia?

Wg mnie to już kwestia uświadomienia (wyszkolenia) personelu w danej jednostce organizacyjnej. Na szczęście nawyki da się zmienić. Podczas dedykowanych szkoleń należy zwracać uwagę na podobne zachowania i wpajać wiedzę jak się tego wystrzegać, bo - jak wiadomo - to człowiek jest 'najsłabszym ogniwem' całego systemu ochrony informacji.
Tym samym wchodzimy w zakres socjotechniki - a to już lekki offtopic ;).

konto usunięte

Temat: Ilość znaków w haśle...


Wg mnie to już kwestia uświadomienia (wyszkolenia) personelu w danej jednostce organizacyjnej. Na szczęście nawyki da się zmienić. Podczas dedykowanych szkoleń należy zwracać uwagę na podobne zachowania i wpajać wiedzę jak się tego wystrzegać, bo - jak wiadomo - to człowiek jest 'najsłabszym ogniwem' całego systemu ochrony informacji.
Tym samym wchodzimy w zakres socjotechniki - a to już lekki offtopic ;).

Dlatego wydaje się, że skoro najsłabszym ogniwem jest człowiek, to w niektórych przypadkach ilość znaków w haśle nie ma kompletnie większego znaczenia.



Wyślij zaproszenie do