Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
16.5.Uwierzytelnianieużytkownika
817
zasobumusibyćopatrzonehasłem.Jeślihasłojestpoprawne,tozezwalasię
nadostęp.Zróżnymiprawamidostępumogąbyćskojarzoneróżnehasła.Na
przykładdoczytaniaplików,dopisywaniadoplikówiuaktualnianiaplików
mogąbyćużywaneróżnehasła.
Wpraktycywiększośćsystemówwymagatylkojednegohasłaodużytkow-
nika,abyuzyskałonpełneprawa.Choćwięcejhasełdawałobyteoretycznie
większebezpieczeństwo,systemówtakichraczejsięniebudujezewzględuna
klasycznykompromismiędzybezpieczeństwemawygodą.Jeślibezpieczeń-
stwopowodujepewnąniewygodę,tojestczęstopomijanelubobchodzone
winnysposób.
16.5.2.Słabościhaseł
Hasłasąniezwyklepopularne,gdyżłatwojezrozumiećiużywać.Niestety,
hasłaniejednokrotniemogąbyćodgadnięte,ujawnioneprzypadkowo,wywę-
szone(przeczytaneprzezpodsłuchiwacza)lubnielegalnieprzekazanestronie
nieuprawnionejprzezużytkownikauprawnionego,oczympowiemydalej.
Istniejątrzypospolitemetodyodgadywaniahasła.Jednapoleganatym,że
intruz(człowieklubprogram)znaużytkownikalubposiadaonimpewneinfor-
macje.Nazbytczęstoludzieużywająoczywistychinformacji(takichjakimiona
ichkotówlubwspółmałżonków)wcharakterzehaseł.Drugisposóbpolegana
użyciumetodysiłowej(bruteforce),czyliwypróbowaniupokoleiwszystkich
znakówdopuszczalnychwhaśle(kombinacjiliter,cyfriznakówprzestanko-
wychwniektórychsystemach)–ażdoznalezieniahasła.Krótkiehasłasąszcze-
gólniepodatnenatęmetodę.Naprzykładdlahasłazłożonegozczterechcyfr
dziesiętnychistniejetylko10000kombinacji.Średniotrzebazatemwykonać
tylko5000prób,abyjeodgadnąć.Jeślibynapisaćprogramsprawdzającykolejne
hasłowciągu1ms,toodgadnięcieczterocyfrowegohasłazajęłobyok.5s.Wy-
liczaniejestmniejskuteczneprzyznajdowaniuhasełwsystemach,któreumoż-
liwiająużywaniedłuższychhaseł,zawierającychliterymałeidużeorazcyfry
iwszystkieznakiprzestankowe.Rzeczoczywista–użytkownicypowinnikorzy-
staćzzaletwielkiejprzestrzenihasełiniepowinnistosowaćnaprzykładtylko
małychliter.Trzeciąpopularnąmetodąjestataksłownikowy(dictionaryatack),
wktórymwypróbowujesięwszystkiesłowaiichformyorazpopularnehasła.
Doujawnieniahasłamożedojśćnietylkowdrodzeodgadnięcia,leczrów-
nieżwskutekpodglądania–zwykłegolubelektronicznego.Intruzmożepa-
trzećużytkownikowiprzezramię(podglądaniezzapleców;shouldersurfing)
iwchwiligdyużytkowniksięloguje,przechwycićhasłobeztrudu,obserwując
klawiaturę.Zkoleikażdy,ktomadostępdosieci,wktórejznajdujesiędany
komputer,możeniepostrzeżeniezamontowaćwniejmonitorsieciiśledzić
wszystkiedaneprzekazywaneprzezsieć(węszenie;sniffing),wtymidenty-
fikatoryużytkownikówihasła.Szyfrowaniestrumieniadanychzawierającego
hasłorozwiązujetenproblem.Niemniejnawetwtakimsystemiemożedojść