Password advocacy - jak przekonać do wybierania mocnych haseł?

[Mad_Dud]

Pojawił się kolejny wykop zahaczający o bezpieczeństwo IT. Tym razem tematem jest wybór haseł poparty statystykami po kompromitacji kilku serwisów.

Reakcja części wykopowiczów nie jest zaskakująca - ignorowanie bezpieczeństwa i niepoważne podchodzenie do ochrony danych jest niestety standardem.

Jednak jeden z komentujących kompletnie mnie zaskoczył:

Nie wiem o co bicie tej piany ? Hasło jak to hasło a założę się że prawie każdy z wykopu jest na tyle nędzną jednostką, że nikt nie będzie chciał znać twojego hasła i włamywać się na pocztę, bo poco spam sobie poczytać taki jaki jak jest wszędzie indziej?

Zaskoczył mnie, ponieważ nie mogłem podać więcej niż dwóch uzasadnień dla mocnych haseł.

W firmie sprawa jest prosta: Zwierzchnik dostaje informacje, że słabe hasła przyniosą firmie straty materiale i problemy prawne (wymagania giodo). Pisze się politykę bezpieczeństwa i nakłada kary na pracowników, którzy nie przestrzegają zaleceń.

W przypadku kont prywatnych sprawa się komplikuje. Internauta nie czuje się zobowiązany chronić swoich kont. Wygoda (krótkie hasła) jest dla niego najważniejsza.

Zaproponujcie swoje argumenty aby zmotywować usera do doboru odpowiedniego hasła.
Edit: Zależy mi na odpowiedziach na pytanie "Po co mieć mocne hasła?". Odbiorcą odpowiedzi jest osoba niewykwalifikowana, więc argumentacje techniczne są uznane za chybione.

Oto lista zebranych materiałów z tego wątku:

1. straty finansowe Pana Kowalskiego nie sa problemem banku, jesli ten wyslal pieniadze logujac sie z poprawnym haslem - sorry misiu, trzeba bylo pilnowac (TQM)
2. jesli ktos zbierze wystarczajaco informacji o Tobie i podszyje sie pod Ciebie, narobi problemow... czy dasz rade wykazac przed sadem (gdy oskarzenie ma dowody wskazujace na Ciebie), ze to nie ty?! W wirtualnym swiecie to nie jest takie proste (TQM)
3. Na internaucie leży odpowiedzialność ochrony danych, które: (Mad_Dud)
   
   • on rozpowszechnia jako poufne (jest tylko jeden, lub kilku odbiorców materiału),
   • otrzymuje od korespondentów (logi IM, korespondencja handlowa i firmowa, pliki itd),
4. Koszty przywrócenia konta poczty, serwisu społecznościowego itd są większe, niż się wydaje. Utrata ta wiąże się z założeniem nowego i rozesłaniem informacji do wszystkich korespondentów powiązanych z tym kontem, co może potrwać od kilku do kilkunastu dni. (Mad_Dud)

[rafal44]

Nie wiem jak to ładnie ubrać w słowa, ale...

Większość użytkowników ma kilka haseł na kontach internetowych. Zdobywając jedno z nich może dostać się na inne. Np, odczytując maile dotyczące rejestracji na forach (niektóre odsyłają hasło plain). Jak widać, user miał na myśli tylko czytanie spamu, jednak jak wiadomo w śmieciach można znaleźć sporo informacji.

Zdobywając kolejne konta, np na NK, można wysyłać do znajomych kilka wiadomości i również zainfekować komputer, przechwycić hasła. Tutaj wcale nie chodzi o poczytanie wiadomości, czy oglądanie zdjęć.

Zdobycie, zmiana hasła na koncie mailowym, jest proste poprzez pytania pomocnicze. NIe wiem czemu to służy, ja nigdy nie zapomniałem swoich haseł.

[paurin]

Użytkownicy-sklerotycy tworzą hasła typu dupa12345. Jest to spowodowane głównie prostotą w zapamiętaniu. Przychodzi to o wiele łatwiej niż w przypadku: ACDafgW842A.

Należy pamiętać, że im dłuższe hasło tym trudniejsze to złamania. Np.:

• - BruteForce dla 50 znaków:
  
  • - przy 5 literach jest to ok. 15.890.700 kombinacji
  • - przy 6 literach jest to już 99.884.400 kombinacji
  • - a już w przypadku 10 liter - które przecież można sobie zapisać na karteczce - jest to 10.272.278.170 kombinacji
• - Metoda słownikowa w ogóle odpada ze względu na losowe litery

Jeżeli ktoś ustawia łatwe hasło to poza lenistwem pokazuje też brak szacunku do osób z którymi koresponduje. Ciekawe czy one chcialy by, aby ktoś inny czytał ich listy ?

[TQM]

Mad_dud:
- jedno haslo jest najczesciej uzywane w innych miejscach... poczta, nk, bank...
- straty finansowe Pana Kowalskiego nie sa problemem banku, jesli ten wyslal pieniadze logujac sie z poprawnym haslem - sorry misiu, trzeba bylo pilnowac
- jesli ktos zbierze wystarczajaco informacji o Tobie i podszyje sie pod Ciebie, narobi problemow... czy dasz rade wykazac przed sadem (gdy oskarzenie ma dowody wskazujace na Ciebie), ze to nie ty?! W wirtualnym swiecie to nie jest takie proste!
- bezpieczniejsze hasla wcale nie jest trudniej zapamietac - kto mowi inaczej ten wierzy w bajki...

Co do ostatniego punku - hasla sa martwe od paru lat. Nie powinno sie uzywac w ogole hasel (password) ale 'hasel frazowych' (passphrases - sorry za kiepskie tlumaczenie ale nie da sie tego chyba logicznie przetlumaczyc).

Ja uzywam tylu hasel ze mam problemy ze spamietaniem ich (mowimy o kilkudziesieciu roznych haslach od 10-50 znakow dlugosci). Co ciekawe prosciej mi zapamietac te dlugie hasla skladajace sie z calej frazy. Nie podam oczywiscie tutaj prawdziwych hasel :-) ale przyklady ktore z przykladowymi miejscami gdzie je stosuje.

konto admina - 41 znakow: WithGreatPower:ComesGreatResponsibility!
malo istotne konto - 18 znakow: look@screen&laugh
lipne konto pocztowe (antyspam itp) - 28 znakow: Haha!TuNieMaNicCiekaweg00

Takie hasla jest dosc prosto zapamietac, ukladasz sobie takie do kontekstu i jak widac nie sa to jakies potwory ktore ciezko zapamietac typu Eiw6eipha4io czy tez V30nPjhy99 - powodzenia z zapamietaniem tych dwoch

[tom]

W firmie sprawa jest prosta: Zwierzchnik dostaje informacje, że słabe hasła przyniosą firmie straty materiale i problemy prawne (wymagania giodo). Pisze się politykę bezpieczeństwa i nakłada kary na pracowników, którzy nie przestrzegają zaleceń.

to mozna miedzy bajki wlozyc bo nikogo nie rusza, a malo kto bedzie karal np. dobrego handlowca ktory przynosi zyski

Jedyna sluszna metoda i dzialajaca to admin musi miec wmiare dobre stosunki z pracownikami + lekki terror ale co by cie nadal lubieli. Reszta to technologia wymuszajaca zmiane hasla co okreslony czas i odpowiednie wymuszenie sily hasla przez oprogramowanie.

A wszelkie pisanie zasad to mozna sobie tak jak mowilem miedzy bajki wlozyc, albo zatrudnic niezla grupe ludzi ktorzy nic innego nie beda robic poza kontrola czy pracownik cos nie kombinuje.

To oczywiscie jak zalezy faktycznie na bezpieczenstwie, a nie na fikcji bo wrazie "ale" to pracownik dostanie - wiec masz to w czterech literach.

A co do hasel to ja wlasnie mam takie V30nPjhy99 hi hi i nawet udaje sie zapamietywac choc czasem fakt zastanawiam sie kurde ktore tutaj haslo bylo...

[wbart]

1. Okradli Cie kiedyś?Słabe hasła do kont ułatwiają przestępcą znacznie życie. Umożliwiając wykorzystanie "legalnych kont" z historią do zamaskowania oszustw i uwierzytelnienia przekrętów. Sami tracimy "tylko konto" ale dla kogoś może to oznaczać kłopoty i straty których się nie da odzyskać.

2. Hasła słabe są często trudniejsze do zapamiętania niż wyrażeniowe i zdecydowanie bardziej odstraszające od komputera. (czasami wystarczy pokazać jakieś zabawne skojarzenie np hasło na NK Naszaklasanaobsasach!,Zośkamiałafajnybiust00tak na pocztę Azorekpogryzłlistonosza? itp itd)

3.Ze słabymi hasłami jest jak przechodzeniem na czerwonym świetle , może akurat jakieś dziecko patrzy. A nie chcemy aby dzieci miały przez nas potem kłopoty. Dzieci uczą się przez przykład.

4.Słabe hasła to dobrowolna zgoda na inwigilację,zły nawyk i wstyd gdy się wyda.

[TQM]

#4 mi sie szczegolnie podoba :P

[wbart]

TQM ;-) np z zf05

We hacked Dan's assets first through finding bugs and writing 0day, and
then through abusing him giving away passwords and his silly password
scheme. Check out just some of his passes:

fuck.hackers, 0hn0z (root account on his mail box), fuck.omg, fuck.vps,
ohhai

Five character root password? Niiiiiiice.

From .mysql_history:
SET PASSWORD FOR 'root'@'localhost' = PASSWORD('fuck.mysql');

See the pattern?

[TQM]

Hehe czytalem czytalem Po prostu rewelka hehehe