Skocz do linków, Skocz do treści

Ukarani za złe hasło

25 stycznia 2006 15:03. Autor: Robert Drózd. Komentarze (13) »

Kilka lat temu (no, trochę wiecej niż kilka) przyszło mi pierwszy raz skorzystać z bankomatu. Przygotowałem się solidnie i wydrukowałem sobie ze stron internetowych banku instrukcję obsługi. Z instrukcji zapamiętałem przede wszystkim ostrzeżenie. Jeśli trzykrotnie źle wpiszę numer PIN, wtedy bankomat zablokuje mi kartę. Ale jak można się pomylić, skoro to zaledwie 4 cyfry?

Stoję więc przed bankomatem, nadszedł Ten Moment, gdy wyświetlacz prosi o podanie pinu. Wpisałem, zatwierdziłem. Ups. Wpisałem po raz drugi, zatwierdziłem. Ups. Panika. Moja pierwsza, nowa, dziewicza karta zaraz pozostanie w czeluściach urządzenia firmy Euronet. Za trzecim razem się udało. Nie wiem, czy wcześniej w zdenerwowaniu wpisywałem inne cyfry, czy przy okazji naciskałem inne klawisze. Ale potwierdziłem na własnych nerwach, że taka sytuacja jest możliwa.

Jak projektanci systemów, do których dostęp chroni hasło traktują błędne jego podanie?

Czy jeśli pomylę się trzy razy, to znaczy, że właśnie dokonuję ataku? Że próbuję zgadnąć hasło metodą słownikową, brute-force, czy jakąkolwiek inną?

Niedawno zostałem ukarany przez fundusz emerytalny ING. Chciałem sprawdzić stan rachunku w ich serwisie. Robię to raz na kilka miesięcy, hasło mam zapisane na dysku. Tyle, że co kilka miesięcy hasło należy zmienić. A ostatniej zmiany na dysku nie zapisałem. Kolejne próby:

  1. Hasło z dysku. Złe hasło.
  2. Hasło, które miałem poprzednio (a nuż je znowu ustawiłem?). Złe hasło.
  3. Hasło, które ostatnio w różnych miejscach podaję. Złe hasło. Ups. Komunikat na czerwono: ?Hasło zostało zablokowane?.

Aby odblokować hasło będę musiał wydrukować odpowiedni formularz i wysłać go listem poleconym do ING. A o co ten krzyk? O hasło do funkcji, która jedynie pokazuje stan rachunku. Wszelkie dyspozycje dotyczące konta emerytalnego i tak muszę składać w formie papierowej.

A jakie spotkały Was kary za brak hasła? ;-)

Podobnie jak w przypadku CATPCHA, uważam takie restrykcyjne blokady za przeniesienie walki z automatami na użytkownika. W czasach, gdy każdy z nas musi zapamiętać dziesiątki haseł, pinów, kodów, numerów identyfikacyjnych, projektanci dają nam prawo do zaledwie dwóch pomyłek.

Co jest oczywistą zachętą do zapisywania haseł i to najczęściej w miejscach, z których łatwo jest zdobyć (przysłowiowa karteczka na klawiaturze).

Nie oznacza to oczywiście, że jestem za dowolną liczbą prób, bo to rzeczywiście zaproszenie dla włamywaczy. Jednak reakcja systemu powinna być zmienna w zależności od sytuacji.

System nie powinien uznawać za kolejną próbę hasła,

  • które jest takie samo jak wpisane poprzednio. Czasami z nerwów wpisujemy to samo hasło parę razy, a dopiero po chwili orientujemy się, ze capslock się włączył.
  • które jest bardzo podobne do poprzednio wpisanego, np. inna kapitalizacja, błąd podobnego kształtu litery.
  • które jest takie jak ważne już kiedyś hasło. W wielu przypadkach komunikat: ?to hasło było ważne, lecz zmieniłeś je na inne? pomoże użytkownikowi, a nie zaszkodzi bezpieczeństwu.

W przypadkach interfejsów webowych liczba możliwych prób może być nieco większa w sytuacji, gdy zarówno IP jak i cookie identyfikuje osobę, która logowała się już wcześniej wiele razy. Choć to można podrobić, więc spece od bezpieczeństwa pewnie się nie zgodzą.

Ciekawy jest też pomysł, w którym każda próba podania hasła wymaga odstępu czasowego. Z każdym kolejnym błędem ten odstęp będzie dłuższy. Po pierwszym błędzie hasło można podać po 4 sekundach, po drugim – po 10 sekundach, następnie po minucie, aż do dziesiątej próby, która może nastąpić dopiero po 24 godzinach. (Nie pamiętam jak się ten system nazywał, ma ktoś linka?)

Kolejne wpisy poświęcone hasłom:

Podobne artykuły:

Być może zainteresują Cię następujące artykuły:

Zapisz się na kanał RSS bloga i dołącz do ponad 1500 czytelników RSS.

Zostań fanem WebAudit na Facebooku.

Komentarze czytelników

Śledź komentarze do tego artykułu: format RSS
  1. Patrys

    Ten ostatni system popularnie nazywa się czasem „Karmą.” Karma rośnie z każdym sukcesem i spada z każdą porażką.

  2. Maciej Łebkowski

    No tak, wszystko oczywiście jest świetnie pomyślane, ale…
    – komu będzie się chciało zapisywać archiwalne hasła?
    – komu bedzie się chciało sprawdzać jakie hasło zostało wpisane poprzednio?
    – kto będzie próbował odgadywać, czy hasło jest podobne?
    Oczywiście maszyna, ale najpierw jakiś leniwy programista musi ją zaprogramować, a po co, skoro i tak mu płacą?
    Z pewnością odczucia użytkownika mogłyby być lepsze podczas interakcji z tego typu serwisami, ale to wymaga sporego zaplecza technicznego, które wcale nie jest popularne – bo przecież działa tak jak jest.

  3. Paweł Tkaczyk

    Bez przesady, korzystanie z komputera wymaga minimum odpowiedzialności i skupienia. Jak wszystko. Czy kierownica w samochodzie też jest przeniesieniem odpowiedzialności z projektanta na użytkownika auta?

    To taki amerykański sposób na zwalenie na innych odpowiedzialności za swoją ignorancję. Nie zachowałeś hasła — sam jesteś sobie winien :)

  4. Bellois

    Czy ktokolwiek będzie próbował zlamać PIN konta metodą brute-force? Liczba prób powinno zostać wydłużona do powiedzmy 10 razy. Bezpieczeństwu tu nie zagrozi, a użytkownikom pomoże.

  5. vuerte

    Ale popatrzmy na to z innej strony. Ostatnimi czasy nawet w TV było głośno o grupach przestępczych, którzy montowali w bankomatach czytnik paska magnetycznego i kamerkę. Dane z karty za pomocą czytnika mają, z PINem jest trochę gorzej. Na takiej kamerce nie widać naciśnięć, ale tylko ruch po klawiaturze jaki wykonuje palec osoby wpisującej PIN. Czyli konfigurację numeru PIN mniej więcej też mają. Bardzo prawdopodobne iż będzie to kwestia błedu jednej-dwuch cyfr. W 10-krotnej próbie mają o wiele większą możliwość odgadnięcia numeru PIN niż przy 3-krotnej.

    Jednak z tego co wiem to w przypadku „wessania” karty do bankomatu wystarczy iść do najbliższego odziału naszego banku. Zwrot karty powinien się odbyć raczej dosyć sprawnie.

  6. Artur Kurasinski

    Nie wiem dlaczego tak bardzo ‚przypiales sie do CAPTCHA..
    Analogia z bankomatem jest o tyle zla, ze CAPTCHA ma chronic formularze i w efekcie serwisy przed atakami robotow sieciowych a nie bledow ludzkich.

    Zgodze sie, ze ma luki, ze jest technologicznie nie dopracowana, wyklucza osoby nie dowidzace – ale jest na razie jedyna sprawdzajaca sie metoda zabezpieczajaca.

  7. Robert Drózd

    Maciej:
    Nie piszę tutaj o jednym programiście, który nie ma czasu na wszystkie fanaberie. Na przykład ING korzysta z systemu Peoplesoft, którego stworzenie pochłonęło, jak sądzę, miliony dolarów. Gdyby użyteczność funkcji logowania była tam jakimś priorytetem, dla budżetu systemu jest to pestka.

    Pawle:
    Analogia z prowadzeniem samochodu nie jest zbyt trafna, bo za kierownicą nie musisz sobie przypominać co chwilę jakiś informacji (za zapamiętanie której jesteś odpowiedzialny). Podawanie haseł mógłbym najwyżej porównać do jazdy autostradą, która co chwilę ma jakieś rozjazdy, jeśli się pomylisz, możesz zawrócić dopiero po 100 km… :)

    Jasne, to moja wina, że nie zapamiętałem dokładnie hasła, czy że w zdenerwowaniu wpisałem zły PIN. Ale czy z punktu widzenia zabezpieczeń *w tym konkretnym przypadku* blokada konta/karty jest konieczna? Podejrzewam tu raczej taki przepis: „sprawdź trzy razy i zablokuj” – który powstał dawno temu i wszyscy projektanci go bezmyślnie kopiują.

  8. PablO

    PwdHash do Firefoxa (niestety w bankomacie nie zainstalujesz ;]) i już tyle haseł pamiętać nie trzeba.

  9. Paweł Tkaczyk

    Robercie, przepis przepisem, ale zabezpieczenia jakieś też trzeba mieć. Jeśli ktoś wymyśli coś lepszego niż „trzy błędne logowania i blokada” (a równie bezpiecznego) i wprowadzi to do użytku, to Klienci, którym blokowanie konta po trzech logowaniach tak bardzo przeszkadza po prostu „zagłosują portfelami” i będą używać czegoś innego. Póki co — nie zauważyłem takiego trendu. Może dlatego, że mi nie zdarzyło się nawet dwa razy pod rząd wpisać błędnego hasła :) No i przychylam się do opinii PablO — są narzędzia, które (jeśli używane świadomie) mogą ten proces usprawnić.

  10. Elsindel

    Pawle, na pewno jest wiele lepszych rozwiązań niż „n błędnych logowań i blokada”, zwłaszcza jeśli n wynosi zaledwie 3. To rozwiązanie jest najprostsze technicznie do wykonania (ot, licznik nieudanych prób) i daje złudzenie jakiegoś wielkiego bezpieczeństwa…

    Z propozycji Roberta znakomita wydaje sie pierwsza, tj. ignorowanie wielokrotnego wpisania tego samego hasła. W żadnym razie nie powoduje to zmniejszenia bezpieczeństwa, a jest naprawdę ukłonem w stronę użytkowników. Proszę, pierwsze świetne ulepszenie do reguły „3 nieudane próby i blokada”.

    Dwie kolejne propozycje są już, niestety, dyskusyjne.

    Dopasowanie przybliżone znacząco ułatwia włamywanie, zwłaszcza w sytuacji, gdy ktoś poznał część hasła (np. 3 z 4 cyfr) lub niedokładnie hasło podejrzał (np. „kola” zamiast „cola”). Z tego powodu najprawdopodobniej nie ma sensu wprowadzenie takiego zabezpieczenia, przynajmniej nie w przypadku krótkich zwykle PIN-ów.

    Porównywanie z historią haseł też nie jest, niestety, całkiem bezpieczne. Jeśli ktoś ma hasło typu „AB”, gdzie A jest stałym elementem, a B zmienia się np. w czasie, przykładowo – „andrzejXlipiec”, „andrzejXwrzesien” albo cos takiego – to ktoś wpisujący stare hasło dowiaduje się informacji o schemacie hasła; ludzie korzystający z wielu kont o takim samym schemacie haseł stają się więc narażeni. Z drugiej strony, liczba historycznych haseł do danego konta użytkownika nie jest pewnie duża, jest ich zapewne co najwyżej kilka na rok, a może 1-2 w ogóle… wiec strzelając też nie bardzo da się w ktoreś z nich trafić. Rozwiązanie to jest do rozważenia, można wprowadzić jakieś ograniczenia lub może w sprytny sposób tak je rozwinąć, aby nie dało się zbyt łatwo wykorzystać go do włamywania.

    Moim zdaniem głównym problemem z hasłami w dzisiejszych zastosowaniach komputerów jest nieuwzględnianie faktu, jak wielu haseł ludzie są zmuszeni używać. Hasła/PIN-y są przecież używane w:
    – kartach bankowych, kredytowych
    – systemach bankowych czy systemach kont emerytalnych online
    – kontach e-mail (zazwyczaj więcej niż jedno konto)
    – kontach użytkowników przeróżnych witryn internetowych (co najmniej kilka regularnie używanych serwisów na hasło, np. Allegro, sklep internetowy)
    – kontach użytkowników systemu operacyjnego (dom, praca, uczelnia)
    – systemach bibliotecznych i podobnych (np. biblioteka mojego uniwersytetu)

    Lista na pewno nie wyczerpuje popularnych w Polsce usług, zwłaszcza wśród młodych ludzi. Część z nich związana jest z przeglądarką, co pozwala na łatwiejsze korzystanie z takiego oprogramowania, generalnie jednak brakuje moim zdaniem dobrego urządzenia pozwalającego na bezpieczne i wygodne gromadzenie i korzystanie z tak dużej liczby haseł.

  11. Andrzej A.

    Witam serdecznie,
    tematyka bezpieczeństwa haseł jest teraz na tyle „pociągająca”, że projektanci takich systemów bardziej sie skupiają przed zabezpieczeniem użytkowników przed… nimi samymi… To brzmi dosc groteskowo, ale przykładów ludzkiej głupoty jest wiele i aż zdziwić się można co ludzie wyprawiają z hasłami.
    Moim skromnym zdaniem 3 próby to dobry pomysł- użytkownik godzi się na zasady wprowadzania hasła do systemu. Jest w pełni świadomy swoich czynów.
    Reszta to tak, jak napisał Paweł Tkaczyk- amerykańskie lenistwo i sposób myślenia („po skończeniu prasowania odłącz żelazko od prądu”).

    I jeszcze jedno: analogia do prowadzenia jest najbardziej trafna: trzeba pamietać co oznacza ten cholerny „kopnięty” trójkąt. O ile jest to dosc proste (bo jest to tak samo proste jak zapamiętanie hasła, z którego korzystamy 10 razy dziennie) to skojarzenie co oznacza kółeczko z czerwoną obdódką a w środku elipsa pod którą jest niebieska fala jest trudniejsze (bo żadziej korzystamy- tak jak z nowego hasła).
    Pozdrawiam.

  12. organmusic

    Miałem konto internetowe w ING… z jakiegoś względu rzadko z niego korzystałem. W pewnym momencie zostało mi tam jakieś 7 złotych. I nagle pech zechciał, że zapomniałem hasła. Tzn., miałem nawał innych haseł, innych kont, profili itp., więc za dużo było opcji haseł, a żadna nie chciała pasować.
    No i sobie odpuściłem… dla siedmiu złotych nie będę się fatygował. Po prostu przestałem być klientem ING – wykreśliłem ów bank ze świadomości. Niech mają moje 7 zł, ale nie mają już mnie.

Komentarze z innych blogów

  1. Użyteczność serwisów transakcyjnych a lojalność klientów : WebAudit Blog

    […] dostęp wymaga podpisywania umów, załatwiania różnych formalności. Wpienia mnie to, że aby odzyskać moje hasło w ING muszę wypełniać i wysyłać papierowy formularz, ale… zrobię to, bo nie widzę sensu […]

Zostaw komentarz

W komentarzu można (choć nie trzeba) używać podstawowych znaczników XHTML. Komentarze zawierające w podpisie słowa kluczowe mogą zostać potraktowane jako spam i usunięte.