Przeskocz do treści

Czy używanie haseł maskowanych ma sens?

hasło na komputerzeUżywasz w swojej bankowości haseł maskowanych? A zastanawiałeś się kiedyś, czy w dzisiejszych czasach ma to sens? W jakich przypadkach podawanie losowo wybranych znaków podczas logowania może pomóc? Czy stosowanie takiego mechanizmu może zaszkodzić bezpieczeństwu?

Dyskusja dotycząca haseł maskowanych toczy się, co najmniej, od 10 lat. Myślę, że od czasu do czasu warto odgrzebać i przeanalizować temat mechanizmów bezpieczeństwa wykorzystywanych w serwisach internetowych, aby kolejne osoby mogły zrozumieć sens istnienia, zalety oraz wady wykorzystywanych zabezpieczeń.

Czym jest hasło maskowane?

Dla osób, które nie spotkały się z terminem „hasła maskowanego” wyjaśniam na czym ten mechanizm polega. Podczas logowania do serwisu WWW (np. bankowości internetowej) użytkownik proszony jest o wpisanie jedynie wybranych znaków ze swojego hasła np. z pozycji numer 2, 11, 12, 15 i 18.

W przeszłości głównym celem implementacji tego mechanizmu w serwisach internetowych była chęć ochrony użytkownika przed złośliwym oprogramowaniem, które (jeżeli było zainstalowane na komputerze ofiary) potrafiło “podsłuchać” klawisze naciskane na klawiaturze. Użytkownik serwisu wykorzystującego hasło maskowane, uzyskiwał możliwość utrudnienia przestępcy pozyskania jego całego hasła (zbieranego w ramach wielokrotnych logowań).

Ten mechanizm bezpieczeństwa miał oczywiście na celu pomagać, ale czy mógł szkodzić?

Kiedy hasło maskowanie może zaszkodzić bezpieczeństwu?

Źle zaimplementowany mechanizm hasła maskowanego może obniżyć poziom bezpieczeństwa usług świadczonych przez dany serwis internetowy. Błędy w jego implementacji obejmują m.in.:

  • Zmianę maski hasła (odkrytych/zakrytych znaków) przy każdym odświeżeniu strony. Przestępca posiadający jedynie część hasła mógłby odświeżać stronę, aż zostanie poproszony o wartości, które zna.
  • Pytanie użytkownika o zbyt małą liczbę znaków (np. 1 lub 2 znaki przy haśle, które łącznie ma 12 znakowów).
  • Błędnie skonstruowany sposób przechowywania i zapisywania haseł po stronie serwera.

Bezpieczeństwo hasła maskowanego może zostać obniżone również z powodu beztroski użytkownika, jeżeli ten stosuje we wszystkich serwisach podobny sposób tworzenia haseł np. zawsze używa tego samego ciągu znaków na początku hasła np. !qwerty. W przypadku wycieku hasła użytkownika, z co najmniej dwóch serwisów (jest to scenariusz całkiem prawdopodobny) przestępca mógłby zalogować się do stron internetowych, w których użytkownik posiada hasło maskowane, licząc na to, że zostanie zapytany jedynie o znaki ze stałej części hasła użytkownika.

Istnieje również przekonanie, że mechanizm hasła maskowanego nie jest wspierany przez managery haseł (oprogramowanie służące do przechowywania i zarządzania loginami i hasłami użytkownika). Nie jest to do końca prawda. Można użyć m.in. narzędzia KeePass (dla przykładu w wersji 2.42) i odpowiednio je skonfigurować. W momencie wpisywania poświadczeń na stronie internetowej KeePass poprosi nas o kliknięcie na numery znaków, które powinny zostać wklejone do odpowiednich komórek hasła na stronie.

keepass pickcharacters

Kiedy hasło maskowane może być przydatne?

W przypadku konieczności zalogowania się na swoje konto z nieznanego urządzenia lub niezaufanej sieci, korzystanie z mechanizmu hasła maskowanego może zmniejszyć ryzyko pozyskania przez osobę trzecią naszych danych uwierzytelniających. Osoba podsłuchująca nasze akcje (np. z wykorzystaniem keyloggera, czyli oprogramowania zapisującego wciskane na klawiaturze klawisze) uzyska wtedy informacje jedynie o niewielkiej części naszego hasła.

Hasło maskowane może być również przydatne w celu rozpoznania fałszywej strony internetowej stworzonej przez przestępców. Jeżeli jako metodę wpisywania hasła wykorzystujesz mechanizm hasła maskowanego, a strona bankowości internetowej prosi Cię o:

  • podanie pełnego hasła,
  • podanie wszystkich znaków z pełnej maski,
  • dwukrotne podania hasła maskowanego, tak by suma znaków dawała pełne hasło,
  • podanie pełnego hasła po zalogowaniu w celu ustawienia nowego hasła,

to z dużym prawdopodobieństwem jesteś na fałszywej stronie bankowości internetowej.

Warto pamiętać, że mechanizm hasła maskowanego nie jest mechanizmem obrony przed złośliwym oprogramowaniem. Złośliwe oprogramowanie, takie jak nowoczesny malware bankowy (tzw. banker), potrafi modyfikować stronę bankowości internetowej w przeglądarce użytkownika w dowolny sposób określony przez przestępcę.

Podsumowanie

  1. Mechanizm hasła maskowanego nie jest mechanizmem niezawodnym. Jest to jeden z wielu mechanizmów bezpieczeństwa, które można zastosować w celu zwiększenia bezpieczeństwa logowania do serwisów i stron internetowych. Jego błędna implementacja może spowodować więcej szkód, niż pożytku dla użytkownika. Stosowanie hasła maskowanego może być jednak przydatne w konkretnych opisanych w artykule przypadkach.Ważne, żebyś nie ufał ślepo stosowanym zabezpieczeniom i podczas procesu logowania do serwisów internetowych i zwracał uwagę na występujące anomalie.
  2. Pamiętaj by dla każdego serwisu internetowego posiadać unikalne hasło, które nie jest powiązane w żaden sposób z Twoimi pozostałymi hasłami w innych serwisach internetowych.
  3. Gdzie to tylko możliwe wykorzystuj wieloskładnikowe uwierzytelnianie (ang. MFA – Multi-factor authentication). W ten sposób, w momencie gdy hasło do Twojego konta zostanie skompromitowane (np. w przypadku wycieku haseł z serwisu) postronna osoba nie będzie mogła zalogować się na Twoje konto bez znajomości dodatkowego sekretu przesyłanego poprzez SMS lub wygenerowanego z wykorzystaniem aplikacji na telefonie. Korzystanie z tego mechanizmu da Ci czas na zmianę upublicznionego hasła.

Jeżeli interesuje Cię to, w jaki sposób kombinacja haseł maskowanych zapisywana jest w bazie danych zapraszam Cię do zapoznania się z artykułem serwisu ZaufanaTrzeciaStrona.pl.

Jest nam niezwykle miło, że dotarłeś aż tutaj! Jeżeli uważasz, że powyższy tekst jest wartościowy, będziemy wdzięczni za udostępnienie go dalej, bo być może dzięki temu trafi do innej osoby, która również potrzebuje go przeczytać.

Wiktor

Wiktor

Z zawodu bezpiecznik, szukający dziury w całym. Sympatyk dzielenia się wiedzą, maniak planszówek, miłośnik książek i filmów szpiegowskich. Prywatnie mąż i tata.

4 myśli na “Czy używanie haseł maskowanych ma sens?

  1. Avatarczytelnik

    Fajny artykuł.
    Poruszyliście kwestie posiadania jednego hasła do wielu portali.... znacie / doradzacie jakieś bezpieczne algorytmy, pomysły jak je wszystkie zapamiętać? Zaufania do narzędzi zarządzającymi hasłami dużego nie mam.... wiec pozostaje głowa.

    Odpowiedz
  2. AvatarAdam Nowak

    Hasło maskowalne ma jeszcze tę zaletę, że jeśli ktoś uprawia shouldersurfing, to nie zobaczy całego hasła, które wpisujemy na klawiaturze. Co do mechanizmów uwierzytelniania, życzyłbym sobie, żeby API przeglądarek jak i serwisy nadążały za rozwojem MFA, w tym technik biometrycznych, czy analizy behawioralnej. Chociaż może wymagam za wiele. Nie zapominajmy, że najłatwiej jest skroić komuś kasę kradnąc dowód i wypłacając pieniądze z banku, czy zaciągając kredyt. Alternatywnie robiąc zakupy online kartą kredytową bez 3DSecure, a takich nie brakuje.

    Odpowiedz
  3. WiktorWiktor

    Czytelniku, jeżeli nie ufasz managerom haseł (zarówno tym przeglądarkowym, jak i osobnym programom) to oprócz głowy pozostaje jeszcze dedykowany fizyczny notes. Oczywiście, jeżeli dostęp do niego masz tylko Ty, a najlepiej jeżeli zapisane w nim hasła są dodatkowo zaszyfrowane Tobie znanym algorytmem (znaki nadmiarowe, przesunięte, ucięte). Można się z tego sposobu śmiać, a jednak wciąż jest on lepszy niż jedno hasło do wszystkich serwisów lub podobne hasła nieznacznie różniące się od siebie.

    Odpowiedz
  4. WiktorWiktor

    Adam, słuszna uwaga. Na szczęście już jesienią banki będą wspierały wieloskładnikowe uwierzytelnianie (najczęściej przez zaufaną przeglądarkę, token mobilny, biometria behawioralną), więc wcale dużo nie wymagasz 🙂 odnośnie pozostałych uwag to statystycznie straty z wymienionych przez Ciebie sposobów kradzieży środków klientów są mniejsze niż te dokonywane online.

    Odpowiedz

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *