Czy używanie haseł maskowanych ma sens?

Na przeczytanie potrzebujesz 3 minut(y).

Używasz w swojej bankowości haseł maskowanych? A zastanawiałeś się kiedyś, czy w dzisiejszych czasach ma to sens? W jakich przypadkach podawanie losowo wybranych znaków podczas logowania może pomóc? Czy stosowanie takiego mechanizmu może zaszkodzić bezpieczeństwu?

Dyskusja dotycząca haseł maskowanych toczy się, co najmniej, od 10 lat. Myślę, że od czasu do czasu warto odgrzebać i przeanalizować temat mechanizmów bezpieczeństwa wykorzystywanych w serwisach internetowych, aby kolejne osoby mogły zrozumieć sens istnienia, zalety oraz wady wykorzystywanych zabezpieczeń.

Czym jest hasło maskowane?

Dla osób, które nie spotkały się z terminem „hasła maskowanego” wyjaśniam na czym ten mechanizm polega. Podczas logowania do serwisu WWW (np. bankowości internetowej) użytkownik proszony jest o wpisanie jedynie wybranych znaków ze swojego hasła np. z pozycji numer 2, 11, 12, 15 i 18.

W przeszłości głównym celem implementacji tego mechanizmu w serwisach internetowych była chęć ochrony użytkownika przed złośliwym oprogramowaniem, które (jeżeli było zainstalowane na komputerze ofiary) potrafiło “podsłuchać” klawisze naciskane na klawiaturze. Użytkownik serwisu wykorzystującego hasło maskowane, uzyskiwał możliwość utrudnienia przestępcy pozyskania jego całego hasła (zbieranego w ramach wielokrotnych logowań).

Ten mechanizm bezpieczeństwa miał oczywiście na celu pomagać, ale czy mógł szkodzić?

Kiedy hasło maskowanie może zaszkodzić bezpieczeństwu?

Źle zaimplementowany mechanizm hasła maskowanego może obniżyć poziom bezpieczeństwa usług świadczonych przez dany serwis internetowy. Błędy w jego implementacji obejmują m.in.:

• Zmianę maski hasła (odkrytych/zakrytych znaków) przy każdym odświeżeniu strony. Przestępca posiadający jedynie część hasła mógłby odświeżać stronę, aż zostanie poproszony o wartości, które zna.
• Pytanie użytkownika o zbyt małą liczbę znaków (np. 1 lub 2 znaki przy haśle, które łącznie ma 12 znakowów).
• Błędnie skonstruowany sposób przechowywania i zapisywania haseł po stronie serwera.

Bezpieczeństwo hasła maskowanego może zostać obniżone również z powodu beztroski użytkownika, jeżeli ten stosuje we wszystkich serwisach podobny sposób tworzenia haseł np. zawsze używa tego samego ciągu znaków na początku hasła np. !qwerty. W przypadku wycieku hasła użytkownika, z co najmniej dwóch serwisów (jest to scenariusz całkiem prawdopodobny) przestępca mógłby zalogować się do stron internetowych, w których użytkownik posiada hasło maskowane, licząc na to, że zostanie zapytany jedynie o znaki ze stałej części hasła użytkownika.

Istnieje również przekonanie, że mechanizm hasła maskowanego nie jest wspierany przez managery haseł (oprogramowanie służące do przechowywania i zarządzania loginami i hasłami użytkownika). Nie jest to do końca prawda. Można użyć m.in. narzędzia KeePass (dla przykładu w wersji 2.42) i odpowiednio je skonfigurować. W momencie wpisywania poświadczeń na stronie internetowej KeePass poprosi nas o kliknięcie na numery znaków, które powinny zostać wklejone do odpowiednich komórek hasła na stronie.

Kiedy hasło maskowane może być przydatne?

W przypadku konieczności zalogowania się na swoje konto z nieznanego urządzenia lub niezaufanej sieci, korzystanie z mechanizmu hasła maskowanego może zmniejszyć ryzyko pozyskania przez osobę trzecią naszych danych uwierzytelniających. Osoba podsłuchująca nasze akcje (np. z wykorzystaniem keyloggera, czyli oprogramowania zapisującego wciskane na klawiaturze klawisze) uzyska wtedy informacje jedynie o niewielkiej części naszego hasła.

Hasło maskowane może być również przydatne w celu rozpoznania fałszywej strony internetowej stworzonej przez przestępców. Jeżeli jako metodę wpisywania hasła wykorzystujesz mechanizm hasła maskowanego, a strona bankowości internetowej prosi Cię o:

• podanie pełnego hasła,
• podanie wszystkich znaków z pełnej maski,
• dwukrotne podania hasła maskowanego, tak by suma znaków dawała pełne hasło,
• podanie pełnego hasła po zalogowaniu w celu ustawienia nowego hasła,

to z dużym prawdopodobieństwem jesteś na fałszywej stronie bankowości internetowej.

Warto pamiętać, że mechanizm hasła maskowanego nie jest mechanizmem obrony przed złośliwym oprogramowaniem. Złośliwe oprogramowanie, takie jak nowoczesny malware bankowy (tzw. banker), potrafi modyfikować stronę bankowości internetowej w przeglądarce użytkownika w dowolny sposób określony przez przestępcę.

Podsumowanie

1. Mechanizm hasła maskowanego nie jest mechanizmem niezawodnym. Jest to jeden z wielu mechanizmów bezpieczeństwa, które można zastosować w celu zwiększenia bezpieczeństwa logowania do serwisów i stron internetowych. Jego błędna implementacja może spowodować więcej szkód, niż pożytku dla użytkownika. Stosowanie hasła maskowanego może być jednak przydatne w konkretnych opisanych w artykule przypadkach.Ważne, żebyś nie ufał ślepo stosowanym zabezpieczeniom i podczas procesu logowania do serwisów internetowych i zwracał uwagę na występujące anomalie.
2. Pamiętaj by dla każdego serwisu internetowego posiadać unikalne hasło, które nie jest powiązane w żaden sposób z Twoimi pozostałymi hasłami w innych serwisach internetowych.
3. Gdzie to tylko możliwe wykorzystuj wieloskładnikowe uwierzytelnianie (ang. MFA – Multi-factor authentication). W ten sposób, w momencie gdy hasło do Twojego konta zostanie skompromitowane (np. w przypadku wycieku haseł z serwisu) postronna osoba nie będzie mogła zalogować się na Twoje konto bez znajomości dodatkowego sekretu przesyłanego poprzez SMS lub wygenerowanego z wykorzystaniem aplikacji na telefonie. Korzystanie z tego mechanizmu da Ci czas na zmianę upublicznionego hasła.

Jeżeli interesuje Cię to, w jaki sposób kombinacja haseł maskowanych zapisywana jest w bazie danych zapraszam Cię do zapoznania się z artykułem serwisu ZaufanaTrzeciaStrona.pl.