facebook
Straciłeś hasło? Nie ma problemu!
22 kwietnia 2016

Jak sprawdzić, czy twoje hasła są bezpieczne? Co począć, gdy zdarzy ci się zapomnieć jedno z nich? To tylko dwa z wielu pytań, na które odpowiada nasz poradnik z zakresu haseł i kont w serwisach internetowych.

Tytułem wstępu należy nadmienić, że wskazówki zamieszczone w poniższym materiale nie służą do tropienia ani przechwytywania haseł, aby za ich pomocą dostawać się do cudzych danych. Chcemy ci tylko podpowiedzieć, jak odzyskać dostęp do swoich danych zgromadzonych w zaszyfrowanych urządzeniach i kontach serwisów internetowych, gdy zdarzy ci się zapomnieć hasło.

Jak się okazuje, nie jest to wcale takie mało prawdopodobne. Podobno nie jeden użytkownik miał problemy z zalogowaniem się w systemie Windows po powrocie z dwutygodniowego urlopu. Nie mówiąc o rozpakowaniu zaszyfrowanych przed laty archiwów ZIP lub wchodzeniu na konta internetowe, których nazbierało się tak wiele z biegiem czasu. Nic dziwnego, że użytkownicy, którzy nie używają tego samego hasła do wszystkich zabezpieczeń (zdecydowanie odradzamy stosowania tej praktyki), potrzebują od czasu do czasu pomocy w przywracaniu bądź resetowaniu haseł.

Hasła – stopień bezpieczeństwa, ryzyko złamania i szczypta teorii

Bezpieczeństwo, które zapewniają hasła, i związane z nim ryzyko złamania kodów dostępu to niezwykle skomplikowane zagadnienia. Teoria teorią, a ogromny rozwój technologiczny w ostatnich latach bardzo znacząco wpłynął na prawdopodobieństwo przechytrzania zabezpieczeń hasłowych w celu przechwytywania wrażliwych danych, kont w sklepach internetowych lub cyfrowych tożsamości użytkowników. Długie i złożone hasło zapewnia tylko pozorne bezpieczeństwo – w dalszej części materiału objaśnimy, dlaczego.

Z jednej strony moc obliczeniowa stosunkowo niewielkiego klastra komputerowego (grupy połączonych ze sobą komputerów w celu uzyskania wysokiej wydajności), który dysponuje zaledwie dwoma tuzinami kart graficznych, jest tak duża, że potrafi on w ciągu kilku godzin złamać hasło składające się z ośmiu znaków przez zwyczajne wypróbowywanie wszystkich możliwych kombinacji znaków. Można pokusić się o kontrargument, iż zwiększenie długości hasła prowadzi do pomnożenia liczby prób wymaganych do jego ustalenia, co znacznie przedłuża czas takich ataków siłowych.

Choć to prawidłowe założenie, sprawdza się tylko w teorii. Cyberprzestępcy już jakiś czas temu przerzucili się na inne metody łamania haseł. Nawet bazy skrótów znane pod pojęciem tęczowych tablic, które gromadzą wartości haszowania w celu skracania czasu ustalania haseł, przechodzą powoli do lamusa.

Hasła – listy kodów dostępu

Przede wszystkim za sprawą licznych włamań do kont w serwisach online, które miały miejsce w ostatnich latach, jest obecnie dostępna publicznie ogromna liczba powszechnie stosowanych haseł. W wyniku wspomnianych włamań doszło do kradzieży danych milionów klientów. Niektóre kody dostępu były przechowywane w jawnej postaci i zostały opublikowane w internecie lub stały się przedmiotem transakcji finansowych.

Dysponując taką bazą haseł, wystarczy połączyć ją z wielojęzycznymi słownikami, aby przeprowadzać skuteczne ataki na zabezpieczenia hasłowe. Przetworzenie kilku milionów słów trwa przecież znacznie krócej niż sekwencyjne wypróbowywanie biliarda możliwych kombinacji znaków. Jednak na tym nie koniec, bo listy kodów dostępowych skradzione przez cyberprzestępców obnażają najnowsze wzorce tworzenia haseł. Wprawdzie najprostsze rozwiązania takie jak password, 1234... czy imiona partnerów, dzieci lub zwierząt domowych nie są już stosowane tak często jak dawniej, lecz proste podmienianie zwyczajnych słów i używanie szablonów jest nadal na porządku dziennym. Dużą popularnością cieszy się np. metoda zastępowania liter wg wzoru stosowanego w slangu Leet speak. I tak na przykład, słowo kalkulatorek przeistacza się w nieco bardziej skomplikowane k4lkul470r3k. Niektórzy użytkownicy uzupełniają utworzone w ten sposób hasło w nazwę portalu lub domeny. Takie kody dostępu nie zapewniają jednak należytego bezpieczeństwa, bo od dawna figurują w plikach słownikowych krążących w internecie.

Na domiar złego jest wiele rozwiązań sprzętowych, których zabezpieczenia pozostawiają wiele do życzenia. Na przykład starsze wersje Androida blokują ekran dopiero po pięciu nieudanych próbach wpisania kodu. Podjęcie kolejnych prób jest możliwe już po upływie 30 sekund. Gdyby zautomatyzować ten proces, odgadnięcie czterocyfrowej sekwencji cyfr zajęłoby nie więcej niż 17 godzin. Zabezpieczenie poprawiono dopiero w najnowszej wersji Androida (Marshmallow). Znacznie bezpieczniejsze w tej kwestii okazują się systemy iOS i Windows Phone.

Hasła – hasła do kont w serwisach online

Powyżej przedstawiliśmy niektóre z zakulisowych informacji dotyczących haseł i metody atakowania zabezpieczeń hasłowych. Metody definiowania i zapamiętywania bezpiecznych kodów dostępu opisujemy w oddzielnej ramce. Pozostaje kwestia resetowania haseł. Czynność ta jest często konieczna w wypadku kont w serwisach online'owych – na szczęście można ją wykonać bardzo łatwo. W zasadzie każdy serwis taki jak sklep internetowy, portal społecznościowy lub forum tematyczne oferuje możliwość odzyskania dostępu do konta na podstawie adresu e-mailowego pozostawionego przez użytkownika. System automatycznie wysyła wiadomość do właściciela konta, która zawiera specjalny odnośnik. Klikając go, użytkownik może zdefiniować nowe hasło dostępu do serwisu. To unaocznia, jak ogromne znaczenie ma ochrona skrzynki pocztowej. Gdy agresorowi udaje się zdobyć hasło do poczty elektronicznej swojej ofiary, może użyć funkcji resetowania hasła, aby dostać się do wszystkich serwisów internetowych zarejestrowanych z danego adresu e-mailowego. Dlatego należy w szczególnym stopniu dbać o bezpieczeństwo skrzynki pocztowej.

Oprócz funkcji resetowania haseł jest jeszcze kilka rozwiązań awaryjnych dla zapominalskich. Należą do nich m.in. generowanie kodu zabezpieczającego za pomocą aplikacji lub dosyłanie hasła w wiadomości SMS. Są to sposoby niezależne od komputera i internetu. Google i inne portale pozwalają nawet stosować takie uwierzytelnianie dwuetapowe jako domyślną metodę logowania. Włącza się je i konfiguruje z poziomu ustawień konta. Za to pytania pomocnicze nie zapewniają w gruncie rzeczy prawie żadnej ochrony przed nadużyciem konta. W ramach takiego zabezpieczenia użytkownik ma np. podać swoje ulubione danie, imię matki bądź adres szkoły podstawowej, do której uczęszczał. Przy założeniu, że właściciel konta odpowiedział na nie zgodnie z prawdą, pytania są niewiele warte, bo odpowiedzi można łatwo pozyskać drogą inżynierii społecznej (social engineering).

Z jednej strony można bez trudu resetować, a zarazem „łamać” kody dostępu do serwisów internetowych, z drugiej strony operatorzy tych portali bardzo szybko wykrywają zorganizowane ataki, bo są przeprowadzane za pośrednictwem ich infrastruktury sprzętowej. Takiej przewagi nie ma w wypadku ataków dokonywanych w trybie offline. Znacznie większe niebezpieczeństwo grozi, gdy cyberprzestępcom udaje się wedrzeć do systemów informatycznych operatorów i przechwycić dane klientów. Wówczas mogą atakować niepostrzeżenie, narażając internautów na duże szkody. Mają wszystko, co im potrzebne, a na dodatek nie muszą się nawet spieszyć.

Hasła – dostęp do komputerów z Windows lub Mac OS

Nie wpadaj w panikę, gdy zdarzy ci się zapomnieć hasła do konta w Windows. Odzyskasz dostęp do systemu bez konieczności używania narzędzi do łamania haseł. Cała operacja jest nieco ryzykowna, lecz zajmuje tylko od kilku do kilkunastu minut. Działa nawet w Windows 10.

W podobny sposób możesz zdefiniować nowe hasło dostępu do Windows, zastępując tymczasowo plik Utilman.exe konsolą Cmd.exe z poziomu płyty instalacyjnej. Jest to mniej ryzykowna operacja. Zauważ, że w Windows 10 możesz kliknąć ikonę Ułatwienia dostępu (w prawym dolnym narożniku) zamiast naciskać klawisze [Windows U]. W razie kłopotów z rozruchem systemu z płyty instalacyjnej Windows wyłącz funkcję Secure Boot i/lub Fast Boot w menu konfiguracyjnym BIOS/UEFI. Jeśli nie masz do dyspozycji instalacyjnego krążka Windows, możesz odzyskać dostęp do systemu za pomocą płyty ratunkowej Trinity Rescue Kit zawierającej zewnętrzny system operacyjny. Znacznie trudniej odzyskać dostęp do konta w Viście i Windows XP, bo w tych wersjach systemu Microsoft zastosował inne rozwiązanie przechowywania haseł. W tych edycjach Windows nie obejdziesz się bez specjalnych narzędzi do łamania haseł takich jak ophcrack czy Offline NT Windows Password & Registry Editor.

Gdy zechcesz dokonać zmian w ustawieniach BIOS-u, możesz pozbyć się hasła broniącego dostępu do menu konfiguracyjnego, przestawiając zworkę Clear CMOS na płycie głównej (patrz instrukcja). Jednak w większości wypadków wystarczy skorzystać z domyślnych haseł definiowanych przez producentów płyt głównych i komputerów.

Użytkownicy komputerów z systemem Mac OS mają kilka sposobów na odzyskanie dostępu do konta, gdy zapomną hasło. Pierwszy jest najłatwiejszy, lecz najmniej bezpieczny. Wystarczy umieścić przezornie hasło w podpowiedzi. Po trzech nieudanych próbach wprowadzenia hasła pojawi się na ekranie. Jednak w ten sposób uzyskasz dostęp do konta nie tylko ty, lecz w zasadzie każdy – także osoby, które nie powinny dostać się do twoich danych. Jeśli pamiętasz swój identyfikator Apple ID i włączyłeś uprzednio opcję Pozwalaj Apple ID zerować to hasło, możesz zresetować hasło właśnie w ten sposób. Trzecią metodę mogą zastosować także osoby niepowołane, pod warunkiem że znają krótką nazwę konta. Po uruchomieniu systemu w trybie pojedynczego użytkownika (po usłyszeniu gongu startowego naciśnij i przytrzymaj klawisze [Command S]) wpisz w wierszu poleceń

mount -uw /

Następnie wprowadź polecenie

launchctl load /System/Library/LaunchDaemons/com.apple.opendirectoryd.plist

aby uruchomić usługę systemową Open directory. Teraz wpisz

passwd [username]

zastępując zmienną [username] skróconą nazwą konta. System poprosi o podanie nowego hasła. Potem możesz zrestartować system poleceniem reboot. Czynność tę mogą wykonać także osoby postronne, więc nie należy obierać zbyt oczywistej nazwy konta.

Czwarty sposób odzyskiwania hasła wymaga posłużenia się partycją ratunkową. Uruchom system z tej partycji, przytrzymując naciśnięte klawisze [Command R]. Następnie przywołaj program Terminal i wpisz w nim polecenie resetpassword. Teraz wystarczy wskazać żądaną partycję i konto użytkownika, aby ustawić nowe hasło. Również tę metodę mogą zastosować osoby trzecie. Dlatego zaleca się szyfrować wrażliwe dane funkcją FileVault – przede wszystkim w komputerach przenośnych. Gdy ulegnie utracie hasło deszyfrujące, możesz odzyskać zabezpieczone zasoby danych tylko za pomocą tzw. klucza odzyskiwania. Trzeba go utworzyć, konfigurując szyfrowanie dysku.

Hasła – dostęp do urządzeń przenośnych

Gdy stracisz dostęp do konta w urządzeniu przenośnym, wcale nie musisz go resetować, godząc się na utratę wszystkich danych. Mając dostęp do konta Google, możesz skorzystać w pececie z aplikacji do odblokowywania ekranu blokady – tak jak jest to możliwe w wypadku pozostałych aplikacji. Nieco więcej wysiłku wymaga usuwanie blokady poleceniem Android Debug Bridge.

Użytkownicy nieodblokowanego iPhone'a (a więc bez tzw. jailbreaka) mają do dyspozycji tylko metody proponowane przez producenta. Oprócz nich nie ma żadnych sztuczek, które pomogłyby usunąć blokadę ekranu. Można przynajmniej przywrócić sporządzoną uprzednio kopię zapasową poprzez iTunes, więc nie trzeba konfigurować wszystkiego od nowa, jak ma to miejsce przy użyciu trybu awaryjnego.

Smartfony z Windows Phone można zdalnie resetować, a nawet usuwać ich zawartość. Alternatywnie można uzyskać podobny efekt, naciskając określoną sekwencję klawiszy. Tak czy inaczej, musisz pogodzić się z utratą wszystkich danych zgromadzonych w pamięci smartfona.

Źródło: pcworld.pl
Zostań naszym fanem!