Aby zalogować się do skrzynki mailowej, wpisujesz imię i rok urodzenia, liczby: „1234”, albo „11111”? A może postawiłeś na „większy stopień skomplikowania” i wybrałeś „hasło123” bądź kolejne litery na klawiaturze: „qwerty”, „zaq12wsx”? Jednak łatwe do zapamiętania wcale nie oznacza bezpieczne. Taką kombinację złamać może nawet amator. I zabierze mu to znaczniej mniej czasu, niż przeczytanie tego artykułu.
Najważniejszy w ustalaniu trudnego do złamania kodu dostępu jest stopień jego złożoności. – Im więcej znaków i pól wykorzystanych do budowy hasła, tym większa jest jego „siła” – przekonuje dr Bartłomiej Kowalski, wykładowca w WSPiA Rzeszowskiej Szkole Wyższej i Naczelnik Wydziału do Walki z Przestępczością Gospodarczą Komendy Wojewódzkiej Policji w Rzeszowie. Tymczasem, jak mówi, nawet połowę stosowanych haseł stanowią przykłady powyżej oraz im podobne.
Ile czasu potrzebuje haker, żeby dobrać się do naszego komputera albo poczty? -Wszystko zależy od długości i użytych liter, cyfr, znaków specjalnych. Dane z witryny Security.org pokazują, że dodanie nawet jednej wielkiej litery do hasła może radykalnie zmienić jego potencjał. Ośmioznakowe hasła z jedną dużą literą można teraz złamać w 22 minuty, natomiast hasło składające się z ośmiu małych liter komputer łamie praktycznie od razu, w ciągu jednej sekundy. Jak widać, dodanie jednej dużej litery wydłuża ten czas o ponad 1000 procent – zauważa ekspert.
Jeśli jednak pozostaniemy na łatwych do zapamiętania kolejnych cyfrach, imieniu, nazwisku, albo roczniku, może je odgadnąć nawet osoba nie mająca szczególnych kwalifikacji w tym zakresie. – Pamiętam np. sprawę, gdzie hasło serwera jednej z firm zostało odgadnięte przez sprawcę, który wpisał jako jedną z pierwszych kombinacji: „hasło123” – podaje Naczelnik Wydziału do Walki z Przestępczością Gospodarczą KWP w Rzeszowie. I podkreśla: – Znaczna liczba włamywaczy internetowych to tzw. script kiddie, czyli osoby nie mające zbyt dużej wiedzy na temat zabezpieczeń, posiadające za to narzędzia stworzone przez innych. A oprogramowanie tego typu jest łatwe do znalezienia w Internecie.
Od ataku do wyłudzenia
Żeby zrozumieć, jak działają przestępcy, trzeba poznać ich metody. – Można je podzielić na dwie grupy. Pierwszą, stanowią programy przeprowadzające tzw. atak słownikowy. Polega on na generowaniu haseł na podstawie wyrazów z dołączonego słownika i ich kombinacji – łączenia, dodawania liczb na początku i na końcu wyrazów, itp. Drugą grupą są programy wykorzystujące metodę siłową (brute force). Ta wiąże się ze sprawdzeniem wszystkich możliwych kombinacji znaków – tłumaczy dr Kowalski. – Częstym sposobem na pozyskanie haseł jest wyłudzenie danych osobowych i informacji poufnych za pomocą sfałszowanych stron internetowych oraz wiadomości e-mail, które do złudzenia, przypominają strony należące do bankowości elektronicznej, poczty internetowej, albo portalu społecznościowego – dodaje.
Opowiada, jak to wygląda w praktyce. – Rozpoczyna się od odebrania e-maila, który wydaje się pochodzić od osoby lub instytucji której ufamy, takiej jak bank czy sklep internetowy. Zazwyczaj wiadomość zachęca do podjęcia działania, na przykład kliknięcia w link, otwarcia załącznika albo wysłania odpowiedzi na wiadomość. Chodzi o zmanipulowanie użytkownika komputera tak, by kliknął na link, który zabierze go na stronę pytającą o login i hasło – tłumaczy dr Kowalski. A ta bliźniaczo przypomina np. witrynę banku. Kłopot w tym, że wpisywane przez nas dane potrzebne do uzyskania dostępu do konta bankowego trafiają wprost do przestępcy.
Zdarza się, że kliknięcie w link doprowadza do zainfekowania komputera. – W takim przypadku zostaje się przekierowanym na stronę, która w tle przeprowadza atak na przeglądarkę internetową i kiedy atak ten się powiedzie, przestępca uzyskuje kontrolę na komputerem – wyjaśnia ekspert. Jej przejęcie możliwe jest też poprzez „złośliwe załączniki” zawarte w zainfekowanych plikach PDF lub dokumentach.
Czym może się skończyć włamanie do naszego maila?
– Po pierwsze nasz wizerunek może zostać skopiowany, a później bezprawnie wykorzystany do celów komercyjnych albo prywatnych przez obce nam osoby. Problem dotyczy także upowszechniania twórczości własnej, mogą to być pliki grafiki, profesjonalne zdjęcia oraz muzyka. Poza tym, dane uzyskane w tym jednym miejscu mogą zostać wykorzystane do pozyskania kolejnych np. haseł do innych kont, danych potrzebnych do zalogowania się do bankowości elektronicznej itd. Z kolei włamanie na portal społecznościowy może np. posłużyć do stalkingu, czyli uporczywego nękania, prześladowania osoby – wylicza dr Bartłomiej Kowalski. – Przejętą pocztę, konto na portalu społecznościowym można wykorzystać do wielu różnych czynów przestępczych, np.: podszyć się pod kogoś, stosować groźby karalne, podżegać do popełnienia przestępstwa, wyłudzić pieniądze itd.
Pozyskane dane hasła lub skradzione tożsamości stanowią też cenny towar w Dark Necie, czyli tzw. ukrytym Internecie. – Kilka lat temu w Wydziale dw. z Przestępczością Gospodarczą KWP w Rzeszowie prowadzono projekt w zakresie przeszukiwania zasobów sieci Internet pod kątem ujawnienia informacji dotyczących lokalizacji danych, dot. skradzionych tożsamości, w tym numerów kart kredytowych. W jego efekcie ujawniono setki „skompromitowanych tożsamości”, które były przedmiotem handlu, były to np. dane dotyczące kart kredytowych takie jak: numer karty, data ważności, kod CVV, CID lub CVC, dzięki którym przestępcy mogli z nich korzystać – opowiada dr Kowalski.
Gdy podejrzewamy, że ktoś wie, jakim hasłem się logujemy, możemy zrobić tylko jedno
– natychmiast je zmienić. Jeśli atak na nas jest powiązany z atakiem na innych internautów z konkretnego serwisu internetowego, to koniecznie trzeba zastosować wszystkie porady, które wystosował do użytkowników tego serwisu jego właściciel – zaleca wykładowca WSPiA. – Bardzo ważnym jest bezzwłoczny kontakt z bankiem, aby zapobiec utracie środków, zablokować rachunek. A w przypadku włamania na konto, należy złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa do najbliższej jednostki Policji.
Wioletta Kruk
Przestępcy włamujący się do sieci będą na początku próbować
najpopularniejszych haseł, pisanych poprawną polszczyzną, dlatego
dr Bartłomiej Kowalski radzi, by:
– łączyć i przeplatać znaki dwóch słów, stosując przy tym duże i małe litery,
np. niebieski samochód = NiEbIeSkIsAmOcHóD,
– przeplatać litery dowolnego wyrazu z cyframi np. niebieski 78231478 = n7i
8e2b3i1e4s7k8i,
– łączyć ze sobą słowa, używając jako łącznika dowolnego symbolu np.
NiE bIeSkI&sAmOcHóD,
– tworzyć hasła z błędną pisownią np. przepiórka – pszepiurka,
– stosować duże litery w niekonwencjonalnych miejscach np. rZesZów,
– tworzyć hasła jako zlepek pierwszych liter wyrazów, tworzących dłuższą
frazę np. Rjswpo s1999 (Rzeszów jest stolicą województwa
podkarpackiego od stycznia 1999),
– zastępować litery cyframi, znakami specjalnymi np. – @=a, #=h, i=1, g=7
itd. np. #@ck1n7 (hacking),
Przede wszystkim nie należy wykorzystywać tego samego hasła
do zabezpieczania kilku serwisów lub komputerów.
Haker może złamać hasło w… sekundę! added by Redaktorka on
View all posts by Redaktorka →
2 Responses to "Haker może złamać hasło w… sekundę!"