Na przeczytanie potrzebujesz 3 minut(y).
Używasz w swojej bankowości haseł maskowanych? A zastanawiałeś się kiedyś, czy w dzisiejszych czasach ma to sens? W jakich przypadkach podawanie losowo wybranych znaków podczas logowania może pomóc? Czy stosowanie takiego mechanizmu może zaszkodzić bezpieczeństwu?
Dyskusja dotycząca haseł maskowanych toczy się, co najmniej, od 10 lat. Myślę, że od czasu do czasu warto odgrzebać i przeanalizować temat mechanizmów bezpieczeństwa wykorzystywanych w serwisach internetowych, aby kolejne osoby mogły zrozumieć sens istnienia, zalety oraz wady wykorzystywanych zabezpieczeń.
Czym jest hasło maskowane?
Dla osób, które nie spotkały się z terminem „hasła maskowanego” wyjaśniam na czym ten mechanizm polega. Podczas logowania do serwisu WWW (np. bankowości internetowej) użytkownik proszony jest o wpisanie jedynie wybranych znaków ze swojego hasła np. z pozycji numer 2, 11, 12, 15 i 18.
W przeszłości głównym celem implementacji tego mechanizmu w serwisach internetowych była chęć ochrony użytkownika przed złośliwym oprogramowaniem, które (jeżeli było zainstalowane na komputerze ofiary) potrafiło “podsłuchać” klawisze naciskane na klawiaturze. Użytkownik serwisu wykorzystującego hasło maskowane, uzyskiwał możliwość utrudnienia przestępcy pozyskania jego całego hasła (zbieranego w ramach wielokrotnych logowań).
Ten mechanizm bezpieczeństwa miał oczywiście na celu pomagać, ale czy mógł szkodzić?
Kiedy hasło maskowanie może zaszkodzić bezpieczeństwu?
Źle zaimplementowany mechanizm hasła maskowanego może obniżyć poziom bezpieczeństwa usług świadczonych przez dany serwis internetowy. Błędy w jego implementacji obejmują m.in.:
- Zmianę maski hasła (odkrytych/zakrytych znaków) przy każdym odświeżeniu strony. Przestępca posiadający jedynie część hasła mógłby odświeżać stronę, aż zostanie poproszony o wartości, które zna.
- Pytanie użytkownika o zbyt małą liczbę znaków (np. 1 lub 2 znaki przy haśle, które łącznie ma 12 znakowów).
- Błędnie skonstruowany sposób przechowywania i zapisywania haseł po stronie serwera.
Bezpieczeństwo hasła maskowanego może zostać obniżone również z powodu beztroski użytkownika, jeżeli ten stosuje we wszystkich serwisach podobny sposób tworzenia haseł np. zawsze używa tego samego ciągu znaków na początku hasła np. !qwerty. W przypadku wycieku hasła użytkownika, z co najmniej dwóch serwisów (jest to scenariusz całkiem prawdopodobny) przestępca mógłby zalogować się do stron internetowych, w których użytkownik posiada hasło maskowane, licząc na to, że zostanie zapytany jedynie o znaki ze stałej części hasła użytkownika.
Istnieje również przekonanie, że mechanizm hasła maskowanego nie jest wspierany przez managery haseł (oprogramowanie służące do przechowywania i zarządzania loginami i hasłami użytkownika). Nie jest to do końca prawda. Można użyć m.in. narzędzia KeePass (dla przykładu w wersji 2.42) i odpowiednio je skonfigurować. W momencie wpisywania poświadczeń na stronie internetowej KeePass poprosi nas o kliknięcie na numery znaków, które powinny zostać wklejone do odpowiednich komórek hasła na stronie.
Kiedy hasło maskowane może być przydatne?
W przypadku konieczności zalogowania się na swoje konto z nieznanego urządzenia lub niezaufanej sieci, korzystanie z mechanizmu hasła maskowanego może zmniejszyć ryzyko pozyskania przez osobę trzecią naszych danych uwierzytelniających. Osoba podsłuchująca nasze akcje (np. z wykorzystaniem keyloggera, czyli oprogramowania zapisującego wciskane na klawiaturze klawisze) uzyska wtedy informacje jedynie o niewielkiej części naszego hasła.
Hasło maskowane może być również przydatne w celu rozpoznania fałszywej strony internetowej stworzonej przez przestępców. Jeżeli jako metodę wpisywania hasła wykorzystujesz mechanizm hasła maskowanego, a strona bankowości internetowej prosi Cię o:
- podanie pełnego hasła,
- podanie wszystkich znaków z pełnej maski,
- dwukrotne podania hasła maskowanego, tak by suma znaków dawała pełne hasło,
- podanie pełnego hasła po zalogowaniu w celu ustawienia nowego hasła,
to z dużym prawdopodobieństwem jesteś na fałszywej stronie bankowości internetowej.
Warto pamiętać, że mechanizm hasła maskowanego nie jest mechanizmem obrony przed złośliwym oprogramowaniem. Złośliwe oprogramowanie, takie jak nowoczesny malware bankowy (tzw. banker), potrafi modyfikować stronę bankowości internetowej w przeglądarce użytkownika w dowolny sposób określony przez przestępcę.
Podsumowanie
- Mechanizm hasła maskowanego nie jest mechanizmem niezawodnym. Jest to jeden z wielu mechanizmów bezpieczeństwa, które można zastosować w celu zwiększenia bezpieczeństwa logowania do serwisów i stron internetowych. Jego błędna implementacja może spowodować więcej szkód, niż pożytku dla użytkownika. Stosowanie hasła maskowanego może być jednak przydatne w konkretnych opisanych w artykule przypadkach.Ważne, żebyś nie ufał ślepo stosowanym zabezpieczeniom i podczas procesu logowania do serwisów internetowych i zwracał uwagę na występujące anomalie.
- Pamiętaj by dla każdego serwisu internetowego posiadać unikalne hasło, które nie jest powiązane w żaden sposób z Twoimi pozostałymi hasłami w innych serwisach internetowych.
- Gdzie to tylko możliwe wykorzystuj wieloskładnikowe uwierzytelnianie (ang. MFA – Multi-factor authentication). W ten sposób, w momencie gdy hasło do Twojego konta zostanie skompromitowane (np. w przypadku wycieku haseł z serwisu) postronna osoba nie będzie mogła zalogować się na Twoje konto bez znajomości dodatkowego sekretu przesyłanego poprzez SMS lub wygenerowanego z wykorzystaniem aplikacji na telefonie. Korzystanie z tego mechanizmu da Ci czas na zmianę upublicznionego hasła.
Jeżeli interesuje Cię to, w jaki sposób kombinacja haseł maskowanych zapisywana jest w bazie danych zapraszam Cię do zapoznania się z artykułem serwisu ZaufanaTrzeciaStrona.pl.
Z zawodu bezpiecznik, szukający dziury w całym. Sympatyk dzielenia się wiedzą, maniak planszówek, miłośnik książek i filmów szpiegowskich. Prywatnie mąż i tata.
Fajny artykuł.
Poruszyliście kwestie posiadania jednego hasła do wielu portali.... znacie / doradzacie jakieś bezpieczne algorytmy, pomysły jak je wszystkie zapamiętać? Zaufania do narzędzi zarządzającymi hasłami dużego nie mam.... wiec pozostaje głowa.
Hasło maskowalne ma jeszcze tę zaletę, że jeśli ktoś uprawia shouldersurfing, to nie zobaczy całego hasła, które wpisujemy na klawiaturze. Co do mechanizmów uwierzytelniania, życzyłbym sobie, żeby API przeglądarek jak i serwisy nadążały za rozwojem MFA, w tym technik biometrycznych, czy analizy behawioralnej. Chociaż może wymagam za wiele. Nie zapominajmy, że najłatwiej jest skroić komuś kasę kradnąc dowód i wypłacając pieniądze z banku, czy zaciągając kredyt. Alternatywnie robiąc zakupy online kartą kredytową bez 3DSecure, a takich nie brakuje.
Czytelniku, jeżeli nie ufasz managerom haseł (zarówno tym przeglądarkowym, jak i osobnym programom) to oprócz głowy pozostaje jeszcze dedykowany fizyczny notes. Oczywiście, jeżeli dostęp do niego masz tylko Ty, a najlepiej jeżeli zapisane w nim hasła są dodatkowo zaszyfrowane Tobie znanym algorytmem (znaki nadmiarowe, przesunięte, ucięte). Można się z tego sposobu śmiać, a jednak wciąż jest on lepszy niż jedno hasło do wszystkich serwisów lub podobne hasła nieznacznie różniące się od siebie.
Adam, słuszna uwaga. Na szczęście już jesienią banki będą wspierały wieloskładnikowe uwierzytelnianie (najczęściej przez zaufaną przeglądarkę, token mobilny, biometria behawioralną), więc wcale dużo nie wymagasz 🙂 odnośnie pozostałych uwag to statystycznie straty z wymienionych przez Ciebie sposobów kradzieży środków klientów są mniejsze niż te dokonywane online.
A dlaczego w bankach są ograniczenia długości hasła do tylko 8, 16, 20 znaków?
Marcin, o który Bank Ci chodzi? Wszystkie banki, z których korzystamy umożliwiają wykorzystania hasła 20+ znaków niezaleńie od tego czy jest to hasło pełne czy maskowane.
Hasła maskowane to zło. Przede wszystkim nie pozwalają na wpisanie hasła z pamięci. Prowadzi to do tego, że użytkownicy albo stosują jak najprostsze i jak najkrótsze hasła, żeby jakoś być w stanie w pamięci ogarnąć który znak w które pole, albo rozpisują sobie hasło na kartce lub w notesie. Wprowadzanie takiego hasła nie jest bezpieczne, za to bardzo niewygodne.
To są podobne problemy jak przy wymuszaniu zmiany hasła do systemu co miesiąc w różnych korpo. Wreszcie zaczyna się od tego odchodzić i mam nadzieję, że i moda na hasła maskowane przeminie.
Millennium - 8 znaków, tylko cyfry
PKO BP - 16 znaków
Pekao - 16 znaków
mBank - 20 znaków
Santander - 20 znaków
ING 32 znaki 😉
Akurat zmieniłem banki, większość odrzucałem przez wymuszanie maskowanego hasła.
Trochę straszne, że cały czas jest stosowane przez wiele banków.
Jeśli to jest dla nich "bezpieczne", nie zaufam im z moimi pieniędzmi.
Właśnie Velobank zmienił stronę startową, wprowadził wyłącznie hasło maskowane i od kilku dni pozbawił nas wspólnie z mężem dostępu do konta. System woła więcej znaków niż mają nasze hasła, konsultant banku jest bezradny a my jak to zwykle bywa czekamy....nie wiem na co, podobno coś robią? A żeby było śmieszniej, to ta ich tzw. sztuczna inteligencja w zapytaniach na piśmie, odpowiada takie bzdury że ręce opadają. "Inteligencja" co innego, konsultant co innego, a klient dalej bez dostępu do pieniędzy.
Niektóre banki stosując hasła maskowane pokazują kratki do wpisania większej liczby znaków niż posiada hasło, ale nie wymagają ich wypełniania. To znaczy, że jeśli bank prosi o podanie 16-go znaku hasła, a nasze hasło ma tylko 15 znaków, to logowanie powinno się powieść pomimo pozostawienia niewypełnionej "kratki".
W przeciwnym razie zostaje chyba tylko wizyta w oddziale. Gorzej, jeśli najbliższy oddział jest wiele kilometrów od domu...