BLACKHOLE.sk

Je vseobecne zname, ze clovek je tvor lenivy. Tato vlastnost sa da aplikovat aj na hesla, ktore si musia pouzivatelia pamatat. Ked si ma clovek zvolit heslo, ktore bude pouzivat, vacsinou si vyberie jemu co najlahsie zapamatatelne.

Tuto teoriu som si nedavno overil na istej nemenovanej univerzite, kde sa mi podarilo trosku poprechadzat po skolskych serveroch. Mozno by bolo pre mnohych zaujimave, ako sa da dostat do skolskeho informacneho systemu, pozriet si znamky inych studentov, ci trosku si prilepsit tie svoje. Pripadne premazat univerzitny vyukovy server, pretvorit obsah webu a podobne vtakoviny :). Mimochodom, co si myslite o osobnych udajoch na verejne dostupnej sieti, ako je internet (priestor na vyjadrenie davam v diskusii pod blogom)?
Mna osobne zaujala tvorba a vyber hesiel, ktore si vyberaju jednotlivy useri. V databazach som nasiel nekryptovane, ale aj hashovane hesla (niekolko tisic). Ludia, co koduju soft, si casto myslia, ze na autentifikaciu uzivatela staci heslo zahashovat a je pokoj. Ciastocne maju pravdu (pretoze zlozitost hesla prenechavaju na userovi a dufaju, ze do ich databazy moze nakuknut len program a clovek povolany a im aspon odpadne robota navyse), ale urcite stoji za namahu pridat pri volbe hesla aj vynutenie nejakeho specialneho znaku(ov), minimalnej dlzky hesla a podobne.
Preco? Ucite mnohi vedia, ze existuju tzv hash crackery (databazy) volne dostupne na internete (napr. http://bokehman.com/cracker/, http://gdataonline.com). Tu netreba zieden silny vypoctovy vykon a cas na prelomenie hesla. Staci vlozit hash a pri troche stastia bude v databaze ulozeny aj s cracknutym heslom. Staci si ho uz len precitat a pouzit.
Takymto sposobom som "crackol" az 57% hashov z nahodne vybratej vzorky (Pri takom velkom mnozstve hashov, ako som mal k dispozicii, sa da vybrat nejaka ta reprezentativna vzorka a urobit mensia statistika).

A akeze to studenti pouzivaju hesla?

hesla skladajuce sa iba z cislic - 20%
hesla skladajuce sa iba z pismen abecedy - 68%
hesla kombinovane z cislic a pismen - 12%

(Len 3 hesla z nekryptovanych boli v kombinacii so specialnymi znakmi a z toho 2 boli datumy narodenia :))

Hesla podla poctu znakov:

4 znakove - 4%
5 znakove - 38%
6 znakove - 37%
7 znakove - 12%
8 znakove - 8%
10 a viac znakove - 1%

Najviac sa ako hesla vyskytovali jednoducho zapamatatelne slova o velkosti 5 a 6 znakov, ktore sa bezne vyskytuju v slovniku. Mozno by stalo za zvazenie vygenerovat md5 hashe z narodneho (SK/CZ) slovnika a pouzit to ako databazu pri neskorsom crackovani hashov :).

Na koniec som si urobil este taky malicky prehlad o tom, ci sa so zistenymi heslami da trafit aj na ine pouzivatelove konta (v tomto pripade islo o emailove konta na free mail hostingoch). 50% hesiel sa zhodovalo s heslami na mailovych kontach! Z toho vyplyva, ze kazdy druhy clovek najradsej pouziva jedno heslo pre viac pristupov, aby si toho nahodou nemusel vela pamatat.

Zaverom snad mozno iba odporucit vyvojarom, aby sa pri implementacii ochrany nespoliehali len na ukladanie kryptovanych hesiel v databaze, ale treba vzdy navrhnut system tak, aby bol user nuteny pouzit nejaky specialny znak, potrebnu minimalnu dlzku znakov a v celkosti netrivialne heslo.
A co sa tyka obycajnych uzivatelov? Nikdy sa nespoliehat na system, zvolit heslo zlozitejsie, s pouzitim specialnych znakov (.,+-* atd) a o potrebnej dlzke (aspon 8-10 znakov). Hlavne nikdy nedavat rovnake hesla pre rozne systemy (priklad s emailovymi kontami)! Ale aj tak bude vsetka snaha marna, pokial budu hesla v databaze ulozene v plain texte :).

p.s.: Clovek z dotknutej univerzity bol o probleme informovany a dufam, ze v tuto chvilu je uz vsetko v poriadku.