Hasło to słowo lub szereg znaków używanych jako środek uwierzytelniania dowieść swojej tożsamości, gdy chce się uzyskać dostęp do bezpiecznego miejsca, a konto komputera , a komputerowy , oprogramowanie lub usługi, których dostęp jest ograniczony i chroniony.
Hasło musi być utrzymywane w tajemnicy, aby uniemożliwić nieupoważnionej osobie trzeciej dostęp do zasobu lub usługi. Jest to między innymi jedna z metod weryfikacji, czy dana osoba odpowiada deklarowanej tożsamości. Jest to dowód, że posiadamy i komunikujemy się z usługą odpowiedzialną za autoryzację dostępu.
W opowieści Ali Baba i czterdziestu złodziei z tysiąca i jednej nocy pojawia się jedno z najsłynniejszych haseł: „Otwórz sezam! "
Termin „hasło” ma pochodzenie wojskowe. „Słowa polecenia” obejmują „słowo wezwania” (tj. uzgodnione pytanie) i „hasło” (tj. odpowiednią odpowiedź). Są to znaki słowne, które pozwalają rozpoznać się dwóm jednostkom lub dwóm żołnierzom, np. podczas nocnego patrolu, w delikatnym momencie powrotu do przyjaznego urządzenia. W takim przypadku hasło jest zatem udostępniane grupie zaufanych osób. Jeśli chodzi o kod osobisty, lepiej jest użyć wyrażenia „kod poufny”, aby podkreślić tajemnicę kodu i uczynić odpowiedzialnym jego posiadacza.
Poprzez nadużywanie języka utożsamiamy „słabe” uwierzytelnianie z uwierzytelnianiem za pomocą nazwy użytkownika i hasła, ponieważ historycznie, w Internecie, nazwy użytkowników i hasła były przesyłane do serwerów w postaci jawnej (niezaszyfrowanej) . Brak szyfrowania wynikał z faktu, że protokoły komunikacyjne ( HTTP , FTP itp.) oraz Internet jako całość nie zostały zaprojektowane z myślą o bezpieczeństwie. Ponadto moc wymagana do szyfrowania danych może być w tym czasie zaporowa.
W 2009 roku aktywacja protokołu SSL/TLS ( w przeglądarkach internetowych symbolizowanego generalnie kłódką ) umożliwiła szyfrowanie komunikacji, a w szczególności nazwy użytkownika i hasła. Przechwytywanie komunikacji (zawierającej nazwę użytkownika i hasło) jest zawsze możliwe. Ale ta komunikacja jest teoretycznie niezrozumiała dla osoby trzeciej.
SSL umożliwia uwierzytelnianie serwera i klienta . Ale generalnie tylko serwer uwierzytelnia się za pomocą klucza publicznego i certyfikatu. Użytkownik identyfikuje się za pomocą swojej nazwy użytkownika i hasła, ale zazwyczaj nie przedstawia certyfikatu serwerowi. Dlatego zawsze mówimy o słabym uwierzytelnianiu.
Silniejsze uwierzytelnianie oznaczałoby wdrożenie bardziej rozbudowanych mechanizmów po stronie klienta: użycie klucza zamiast hasła oraz certyfikatu jego klucza publicznego. SSL nie wzmacnia zatem uwierzytelniania klienta, ale zapewnia poufność wymiany za pomocą szyfrowania.
Hasło również odgrywa tutaj rolę: klucz, który posiada klient, jest zwykle przechowywany w postaci zaszyfrowanej, na określonym nośniku fizycznym. Hasło jest następnie używane do szyfrowania/odszyfrowywania klucza. Zapewnia to jego ochronę, ponieważ złamanie klucza oznacza złamanie jakiejkolwiek komunikacji zaszyfrowanej przy użyciu tego klucza. Dlatego szyfrujemy sam klucz, aby go zachować.
We Francji i Szwajcarii istnieje prawny limit bezpieczeństwa hasła: jeśli zaszyfrowane dane zostaną przejęte przez sądy, ustawa o codziennym bezpieczeństwie wymaga od użytkownika podania metody szyfrowania i kluczy lub słów.
Używanie haseł to kompromis między bezpieczeństwem a wygodą. Wraz z rosnącą liczbą sytuacji, w których konieczne jest posiadanie hasła, każdy z nas ma coraz więcej haseł. Chociaż używanie tego samego hasła jest uzasadnione we wszystkich sytuacjach, w których nie jest to bardzo ważne, nadal istnieje wiele przypadków, w których należy użyć dobrego hasła . To hasło nie może być wszędzie takie samo, z jednej strony, aby zapobiec jego złamaniu prowadzącemu do niefortunnych sytuacji, z drugiej strony, ponieważ niektóre witryny i oprogramowanie wymagają regularnej zmiany hasła i ograniczenia ich ponownego użycia. Ponieważ pamięć użytkownika jest wtedy niewystarczająca do zapamiętania wszystkich tych haseł, istnieje wielka pokusa, aby je wymienić. Istotne jest, aby tak utworzona lista haseł była jeszcze lepiej chroniona. Jest to następnie określane jako „bezpieczne hasło”.
Hasło jest „jasne”, jeśli nie zostało przekształcone za pomocą funkcji skrótu . Istnieje kilka sytuacji, w których hasło można znaleźć w postaci jasnej:
Niektóre programy umożliwiają uwidocznienie haseł formularzy. Znaki są „ukryte” w kółkach lub gwiazdkach, które mają uniemożliwić komuś za Tobą czytanie tego, co piszesz. W programie w tej chwili hasło jest obecne i nadal nie jest zaszyfrowane, dzięki czemu widoczne jest po prostu zmiana opcji wyświetlania.
W przypadku przechwycenia zaszyfrowanego hasła nie można go bezpośrednio użyć: złośliwa osoba (atakujący) musi odkryć odpowiednie hasło, odszyfrowując je, jeśli to możliwe, lub za pomocą innych technik. Mówi się, że atakujący złamał lub „złamał” hasło. Istnieją dwa główne przypadki: hasło jest częścią komunikacji lub przechwytywane jest tylko zaszyfrowane hasło.
Cała komunikacja jest szyfrowanaW takim przypadku musisz znaleźć sposób na rozszyfrowanie całej komunikacji, aby znaleźć hasło. Musimy zatem znaleźć błąd w algorytmie szyfrowania lub w jednej z jego implementacji. Jeśli szyfrowanie zostanie złamane, bez względu na rozmiar hasła zostanie ono znalezione w odszyfrowanym tekście.
Przechwytywane jest tylko zaszyfrowane hasłoZwykle jest to skrót (lub skrót ) przechwyconego hasła, czyli wynik działania nieodwracalnego algorytmu. To dobra praktyka, stosowana w wielu przypadkach: strony internetowe, konta użytkowników systemu operacyjnego itp. Jeśli ten algorytm nie jest tak naprawdę nieodwracalny (z powodu błędów projektowych lub implementacyjnych), możliwe jest znalezienie jasnego odpowiadającego hashowi. Na przykład zarządzanie hasłami w celu ochrony plików Office 97 Excel i Word ma wady, które ułatwiają znalezienie używanych haseł.
Ale generalnie do rozbicia kondensatu używa się innych technik. Znając funkcję skrótu, możemy sobie wyobrazić różne ataki:
Jakość i długość hasła to kluczowe elementy bezpieczeństwa. Hasło, które jest zbyt krótkie lub pochodzi ze słownika, można zaatakować , przeszukując tabelę zawierającą listę haseł. Bardziej systematycznie, atak brute force próbuje wszystkich możliwości i przy odpowiednim czasie teoretycznie możliwe jest odzyskanie hasła. Kompromisem jest tęczowy stół , ulepszenie zasady kompromisu pamięci czasu .
Siła hasła zależy od kilku kryteriów:
Ponadto wybór hasła musi być dokonany zgodnie z krytycznością tego ostatniego (na przykład hasło umożliwiające dostęp do interfejsu administracyjnego aplikacji lub urządzenia będzie uważane za bardzo krytyczne).
Badanie 32 milionów haseł do witryny RockYou.com, uzyskane w 2009 r. po ataku na witrynę, wykazało, że 30% tych haseł składało się z sześciu znaków lub mniej, a najczęstszym (niecałym jednym na sto) jest „123456 ”.
Co roku dostawca rozwiązań bezpieczeństwa SplashData publikuje również listę najczęściej używanych haseł, które określa się mianem „najgorszych haseł, których nie należy używać” . Pięć haseł najczęściej używanych przez użytkowników na całym świecie w 2015 roku to:
Niektóre firmy monitorujące używają dwóch haseł: normalnego hasła i wymuszonego hasła. W przypadku wyzwolenia alarmu firma monitorująca dzwoni do klienta i prosi o podanie hasła w celu zapewnienia jego tożsamości, jeśli ten poda hasło pod przymusem, to agent monitorujący wie, że osoba, która tak mówi, jest zagrożona i rozpoczyna interwencję.
W 2021 r. Microsoft planuje usunąć hasło na rzecz odcisku palca (uważane za prostsze i bezpieczniejsze), ponieważ hasła zagrażają życiu firm, użytkowników, a także są źródłem stresu (zbyt trudne do uchwycenia, Nie pamiętam hasła).