Minulý mesiac som spomenul, že som sa podieľal na ročnom vyšetrovaní implementácie a správy bezpečnosti pre malé podniky. Prostredníctvom rozhovorov so zamestnancami v malých podnikoch a ponúknutím bezplatného auditu zabezpečenia hesiel ako stimulu som zostavil prieskum zahŕňajúci 504 jednotlivcov v 114 podnikoch. Prieskum neprinesie spoločnosti Forrester ani Gartner žiadne bezsenné noci, no napriek tomu ide o platnú vzorku z malého konca sektora malých a stredných podnikov. Prieskum ako celok musí zostať dôverný; je to fáza výskumu komerčného projektu, ktorý realizujem pre klienta. Môžem však diskutovať o výsledkoch týkajúcich sa zabezpečenia hesiel a odhaľujú pomerne znepokojujúci stav.
Moja prvá otázka bola, koľko hesiel súvisiacich s prácou si musí respondent pravidelne pamätať? Iba 12 percent malo menej ako šesť, pričom 29 percent uviedlo medzi šiestimi a 12 a ohromujúcich 53 percent zápasilo s 13 až 25: iba 6 percent malo viac ako 25. Priemerný počet hesiel na osobu bol 16 a 72 percent z nich priznalo, že zabudli aspoň jedno v predchádzajúcom týždni. Čo ma prekvapilo a po 15 rokoch na trhu malých a stredných podnikov sa len tak ľahko nepomýlim, bola skutočnosť, že 48 percent opýtaných správcov IT zabudlo aj pracovné heslo. Samozrejme, pri tejto veľkosti podniku (menej ako štyria zamestnanci v priemere) je „správca IT“ menej pravdepodobný byť kvalifikovaným odborníkom a s väčšou pravdepodobnosťou bude osobou vo firme so záujmom o počítačov.
Ak všetci títo ľudia zabúdali svoje heslá, aká bola stratégia riadenia na ich zapamätanie? Uhádli ste správne, 64 percent koncových používateľov a 73 percent IT administrátorov považovalo zapísanie svojich hesiel za jediné riešenie. Avšak 22 percent koncových používateľov a 78 percent správcov IT, ktorí si zapísali heslá, použilo skôr odvodenú pripomienku ako celé heslo, ktoré znižuje riziko – ale len okrajovo, pretože je zvyčajne ľahké ich zistiť, ak o danej osobe niečo viete (a často, aj keď ty nie).
Chôdza v hackerských topánkach
Ak chcete skutočne pochopiť problém zabezpečenia hesiel, musíte menej oceniť zmýšľanie ľudí, ktorí ho chcú prelomiť, ale skôr nástroje a metódy, ktoré používajú. Je ťažké čítať myšlienky každého možného crackera, pretože existuje príliš veľa druhov, ale nie nástroje ich obchodu.
Existujú len dve metódy, ktoré sa oplatí študovať, pretože sú najrozšírenejšie: softvér a sociálne inžinierstvo. L0phtCrack sa ľahko používa a stále je dosť ľahké zistiť, či obývate online svet hack-and-crack komunity (namiesto komerčného od spoločnosti Symantec, ktorá produkt kúpila a obmedzila jeho distribúciu do USA a Kanady iba). Aj keď to bol obľúbený nástroj hackerov, časy sa menia a nástroje dospievajú. L0phtCrack sa ľahko používa vďaka svojmu GUI a niektorí by mohli veriť, že jeho schopnosť spracovať 30 000 slovný slovník za sekundu (alebo pridať pár znakov ku každému slovu v slovníku, v každej kombinácii za približne minútu) je to najmodernejšie, ale nič nemôže byť ďalej od pravda. Vďaka nástrojom ako John the Ripper, ktoré podporujú užívateľom definované sady pravidiel na riadenie transformácií slovníkov, vyzerá L0phtCrack starodávne. John the Ripper ide oveľa ďalej, než len pridávať alebo pripájať znaky k slovám v slovníku, je schopný obracať slová, otáčať slová o posúvanie znakov, prepínanie veľkých a malých písmen a stav posunu (t. j. nahradenie písmena neabecedným znakom na rovnakom klávese) a mnoho ďalších viac.
