Monday, March 10th, 2008...10:34 pm

Problem hasła …

Jump to Comments

Haseł używamy tak długo i tak powszechnie, że chyba nie wyobrażamy sobie używania komputerów bez haseł. Przyzwyczajenia z komputerów stacjonarnych przenieśliśmy do sieci i mnożymy te hasła bez opamiętania. Strona domowa, poczta, blog, bank, ubezpieczyciel, strona z muzyką, nasza-klasa  … ile posiadacie haseł?

Problemem z hasłem w sieci nie jest jego siła, czestotliowść zmiany czy stopień skomplikowania. Wydaje się, że największym problemem z hasłem w sieci jest to że ono wogóle istnieje. Czy tak naprawdę potrzebne są nam hasła w sieci?

Pretekstem do tego wpisu jest informacja jaką znazłem dzisiaj na TechCrunch o programie G-Archive (linku nie umieszczam, wyjaśnienie dlaczego w dalszej części tekstu). G-Archive jest programem, który w założeniu ma za zadanie archiwizować zawartość skrzynki GMail na lokalnym dysku. W założeniu, w rzeczywistości zaś głównym jego zadaniem jest przesyłanie podanego przez użytkownika loginu i hasła na skrzynkę założoną przez (prawdopodobnie) jego autora. W ten sposób jego autor stworzył pokaźną kolekcję kont i haseł użytkowników GMail.

Problem z kontem GMail dodatkowo polega na tym, że jest ono używane do zabezpieczenia dostępu do innych aplikacji Google, takich jak Google Apps chociażby. Intruz pozyskał więc w ten sposób coś więcej niż tylko dostęp do poczty użytkownika, który wypróbował G-Archive. I taki to jest właśnie problem z hasłami. Łatwo je przechwycić, a gdy już je mamy to przeważnie otwierają dostęp do wielu różnych zasobów (ilu z Was używa tych samych haseł w różnych serwisach … przyznaje się … mi się zdarza).

Czy jest więc alternatywa dla hasła? Ostatnio promowane są conajmniej dwie, tudzież jedna składająca się ze współpracujących elementów – OpenID i CardSpace.

OpenID nie do końca eliminuje użycie haseł, umożliwia jedynie uniknięcie przechowywania haseł w poszczególnych serwisach. W zamian za to pozwala na uwierzytelnienie użytkownika poprzez odwołanie (redirect) do serwera OpenID, który dokonuje uwierzytelnienia. Metoda ta nie jest jednak 100% odporna na ataki pozwalające na przechwycenie hasła.

CardSpace może być dla odmiany użyte jako samodzielna forma uwierzytelnienia, lub może uzupełniać scenariusz użycia OpenID usuwając zagrożenie atakami typu phishing, na które może być podatne użycie OpenID. W ten sposób korzysta z niego chociażby myopenid.com.

Wracając do rzeczonych usług Google. W ostatniej dyskucji pomiędzy Kimem Cameronem a Benem Laurie, ten drugi sugeruje użycie dodatkowego narzędzia, np toolbara, przechowującego dla nas hasła i wprowadzającego je do odpowiednich stron w naszym imieniu. Kim przytacza kilka argumentów przeciw takiemu podejściu … i tak dalej… całość dyskusji z linkami można znaleźć na blogu Kima.

W wyniku powyższej dyskusji Pat Peterson na swoim blogu przedstawił propozycję użycia CardSpace jako mechanizmu do zarządzania hasłami. Rozwiązanie takie miałoby mieć tą zaletę, że umożliwiłoby obecnym serwisom na dostosowanie się do użycia mechanizmu CardSpace przy minimalnej modyfikacji istniejących mechanizmów logowania. Na pierwszy rzut oka propozycja ta wygląda rozsądnie. Czy są w niej jakieś słabe strony? Jedna napewno – nadal mamy hasło. Co prawda uzyskiwane w pewny sposób i przekazywane w bezpośredni sposób ale jednak. Jeżeli ktoś uzyska do niego dostęp (na przykład uzyskując dostęp do bazy danych jednego z serwisów gdzie jest ono przechowywane, który przechowywać je będzie w jawnej formie), może potencjalnie uzyskać dostęp również do innych serwisów, w których mogło ono zostać użyte. Chyba, że te serwisy będą pozwalały na podanie hasła tylko poprzez mechanizm CardSpace. Ale wtedy po co hasło …

 

Czy w wyniku takich dyskusji wypracujemy rozwiązanie, które chociażby częściowo wyeliminuje hasła z użycia w sieci. Nie wiem, napewno przybliżają one nas do tego. Warto więc śledzić co w trawie piszczy …

 

A rzeczony G-Archive … na ten moment jest nadal dostępne na sieci. Jeżeli więc ktoś chciałby ten program przetestować – odradzam. Jeżeli już ktoś testował – zalecam zmienić hasło.

Leave a Reply