PrettyPrint

štvrtok 14. marca 2013

heslo123 na Elbia Hostingu


Poslednou dobou je o hackingu počuť viac ako predtým. Túžba prekonať zabezpečenie je zrejme v každom informatikovi. Zabezpečením len ťažko nazvať ak si nastavíte heslo ako "banka123". Slabé heslá sú v korporátnom prostredí skôr raritou. Horšie je to keď prídeme k bežným používateľom.

Otestovali sme našich klientov a ich heslá. Účelom bolo zistiť, koľkí klienti Elbiahostingu majú heslo zhodné s loginom. Do úvahy sme brali aj heslo v tvare "login123". Po odskúšaní všetkých klientov sme zistili, že 10 ľudí má heslo zhodné s loginom, prípadne k nemu pridáva "123". Týmto naším klientom sme poslali upozornenie, aby si heslo zmenili. 

Aké heslo (nie) je dobré?

Ak aj nepoužívate zrovna "heslo123" neznamená to, že máte vyhraté. Keď si zvolíte heslo, jeho obsah sa zahashuje (zašifruje) nejakým algoritmom. Na webe sa často používa algoritmus MD5. Aj v prípade, že by niekto získal dáta o kontách nedozvie sa nič viac ako nezrozumiteľný reťazec. Taká je teória.

Prax je však taká, že pri jednoduchých heslách a dobrom výpočtovom výkone je možné zamaskované hesla odhaliť do niekoľkých minút, alebo hodín. Výpočtový výkon ideálny pre tento druh operácie poskytujú voľne dostupné grafické karty. 

Pre vaše heslo platí:

  • čím viac znakov tým lepšie, minimálne 7-8 znakov
  • kombinujte veľké a malé písmená
  • kombinujte písmená a číslice, ideálne použite aj iné znaky ( # @ . $ & )
  • nepoužívate bežné slová

Riešenie v Elbiahostingu

V Elbii nepoužívame na hashovanie hesiel MD5, ale inú 512 bitovú šifru. Pre porovnanie, heslo "test" vyzerá v MD5 nasledovne:

098f6bcd4621d373cade4e832627b4f6

Pri použití našej šifry (SHA512)  je výsledok na pohľad zložitejší:

ee26b0dd4af7e749aa1a8ee3c10ae9923f618980772e473f8819a5d4940e0db27ac185f8a0e1d5f84f88bc887fd67b143732c304cc5fa9ad8e6f57f50028a8ff

V prípade, že by sa nám stalo niečo podobné ako serverom LinkedIn minulý rok, alebo serverom Evernote tento rok, vaše heslá by boli aj tak v bezpečí. Každopádne budeme veľmi radi, ak naši klienti nebudú používať ako heslo "login123" a podobné zjednodušenia. Vytvorenie prísnych pravidiel pre heslá našich klientov by mohlo byť kontraproduktívne. Pri akýchkoľvek pravidlách je v konečnom dôsledku kvalita hesla aj tak na vás. Priebežnú kontrolu našich klientov určite v budúcnosti zopakujeme.