Bezpieczeństwo

Przed botnetem Pony nie uchroni trudne w zapamiętaniu hasło: sprawdź czy nie byłeś celem ataku

Botnet o wdzięcznej nazwie Pony zbiera swoje żniwo. Według potwierdzonych danych, ostatnio wykradł 2 000 000 haseł użytkowników różnych serwisów.

Logowanie serwisy internetowe

Jakie powinno być hasło, każdy dobrze wie? Tak to nie pomyłka, specjalnie postawiliśmy znak zapytania. Pomimo licznych publikacji w sieci, ciągłych doniesień o wykradanych hasłach, które pokazują, jak banalne blokady stosują internauci, nadal wielu nie dostrzega powagi problemu. Trudne do zapamiętania hasło może okazać się tylko iluzoryczną zasłoną. Dla narzędzi takich jak botnet Pony odgadnięcie hasła, które teoretycznie powstało zgodnie z zasadami tworzenia bezpiecznych haseł, jest znacznie prostsze, niż nam się to wydaje. Tylko w ostatnim okresie, stosując technikę zgadywania, Pony wykradł około 2 milionów haseł.

Taka liczba nie robi takiego wrażenia jak 38 milionów w przypadku bazy Adobe, ale fakt wykradzenia i lokalizacja użytkownika, którego hasło przestało być tajemnicą, może być znacznie trudniejszy do zidentyfikowania. Botnet Pony umieścił swoje centrum kontroli na serwerze, którego IP prowadzi do Holandii. Niestety ta wskazówka kompletnie nic nie daje. Technika odwrotnego proxy skutecznie anonimizuje prawdziwego zleceniodawcę ataków. Na wspomniane dwa miliony haseł składa się:

  • około 1580000 danych logowania do witryn internetowych
  • około 320000 danych logowania do skrzynek e-mail
  • około 41000 haseł do kont FTP
  • około 3000 danych logowania do zdalnych pulpitów
  • około 3000 danych logowania do kont z funkcją bezpiecznego logowania

Namierzone dane logowania najczęściej należą do użytkowników takich serwisów jak Facebook, Google, Yahoo, Twitter czy LinkedIn. Ujawnione kombinacje liter i cyfr pokazują, że nadal najczęściej najczęstsze hasła są ciągami takimi jak 123456 (15820 przypadków), 123456789 (4875 przypadków) czy 1234 (3135 przypadków). Analizy wykradzionych danych dokonały laboratoria Trustwave. Naturalnie wykradzione hasła nie były tylko tak trywialne jak 1234, ale również bardziej skomplikowane.

Stopień skomplikowania wykradzionych haseł

Powyższy diagram ilustruje liczbę wykradzionych haseł jako funkcję ich skomplikowania i długości. Kolorowe słupki oznaczają hasła o określonej liczbie znaków, a kolejne wartości na osi X stopień skomplikowania. Najpierw mamy hasła, w których użyto jeden rodzaj znaków (czyli tylko duże lub małe litery), potem dwa rodzaje i na koniec cztery rodzaje znaków (małe, duże litery, liczby i znaki specjalne). Jak widać, im bardziej skomplikowana kombinacja, tym trudniej odgadnąć hasło. Jednak podobne efekty daje zastosowanie długiej frazy (na przykład zdania z książki), która dla nas będzie łatwa do zapamiętania, a dla komputera prawie niemożliwa do odgadnięcia w rozsądnym czasie.

Hasła bezpieczne, nie bezpieczne
Procent bezpiecznych i tych mniej bezpiecznych haseł na liscie 2 milionów wykradzionych haseł.

Czy ciągle napływające doniesienia o wykradanych hasłach oznaczają, że nie uczymy się na błędach? W pewnym sensie sytuacja ma się znacznie lepiej niż 7 lat temu, kiedy to procentowy udział prostych (o niewielkiej liczbie znaków) haseł w ogólnej ich liczbie był znacznie mniejszy. Niestety od 2006 roku liczba różnego rodzaju kont w sieci wzrosła wielokrotnie, co przekłada się na około 2,5 krotny wzrost udziału prostych w odgadnięciu haseł w ogólnej ich liczbie.

Czy nasze hasło zostało złamane

Nie ma już zatem dla nas nadziei? Nadzieja zawsze jest, a w tym przypadku są nią długie i proste do zapamiętania hasła. Bardzo cenną informacją są też bazy danych, które umożliwiają przynajmniej wstępną ocenę czy nasze konto jest bezpieczne. Na przykład serwis www.haveibeenpwned.com. Gdy otrzymamy ostrzeżenie warto zmienić hasło. I to nie tylko na zagrożonym serwisie, ale i innych, z których korzystamy.

Za pomocne uznaje się również powiadomienia na telefon w przypadku prób nieautoryzowanego (np. z innej maszyny) logowania. Jednak walka o bezpieczeństwo w sieci może napotkać ścianę oporu związaną z naszą, zrozumiałą, chęcią zachowania prywatności. A ta prowadzi do niechętnego podawania zbyt dużej liczby informacji o nas, w tym numerów telefonu.

Źródło: digitaltrends, spiderlabs

Komentarze

12
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Konto usunięte
    7
    Już lece wpisywać mojego maila na tej stronce...
    • avatar
      Konto usunięte
      6
      Redakcja jest chyba niepoważna.
      • avatar
        Irrlicht
        1
        Oh no — pwned on 1 site! Tylko ciekawe jakim cudem pwned na adobe, skoro nie kojarzę, żebym się tam kiedykolwiek rejestrował?
        • avatar
          Konto usunięte
          1
          UWAGA!

          Redakcja powinna dodać ostrzeżenie, że korzystanie z tego serwisu "www.haveibeenpwned.com" i podobnych do niego - jest tak samo debilne, głupie i nieodpowiedzialne, jak ustawianie hasła jako ciągu cyfr "12345".

          • avatar
            Konto usunięte
            0
            Moje hasła to przemielone cd keye od starych windowsów , powodzenia młodzi hakerzy ; )
            • avatar
              Konto usunięte
              0
              I co z tego, że co najmniej połowa serwisów udziela rad typu "wujek dobra rada" jeśli druga połowa nie akceptuje w hasłach nawet zwykłej spacji - o "znakach specjalnych" nawet nie wspominam...
              • avatar
                Konto usunięte
                0
                Do serwisów na których mi zależy moje hasło składa się z długich ciągów znaków i liczb (niekiedy też dochodzą znaki specjalne). ale np: do Adobe miałem bardzo słabe hasło ponieważ aby pobrać chociaż demo to należy zrobić sobie konto. A druga sprawa to że niektóre serwisy ograniczają długość hasła, mój bank ma ograniczenie gdzieś do 20-30 znaków.Wbrew pozorom bardzo łatwo jest zrobić sobie 40 znakowe hasło które się zapamięta.