Bezpieczeństwo haseł
Spis treści:
- Czym jest konto?
- Jakie wybrać sobie hasło?
- Jak je zmienić?
- Jak o nie dbać?
- Co zrobić gdy zapomnisz hasło?
Czym jest konto?
Konto stanowi przywilej studentów i pracowników Wydziału i nie może
być udostępniane żadnym osobom trzecim. Na konto składa się:
- nazwa użytkownika
- hasło
- przestrzeń dyskowa udostępniana w postaci katalogu domowego
- skrzynka pocztowa
Konto daje dostęp do szerokiego (i ciągle rozszerzanego) wachlarza usług
komputerowych Wydziału i Instytutu. Część z nich jest konieczna do uczestnictwa
w zajęciach dydaktycznych i realizacji projektów naukowo-badawczych, część
funkcjonuje w celach edukacyjno-rozrywkowych dla studentów i pracowników.
Para nazwa użytkownika + hasło identyfikuje i autentyfikuje osobę względem
systemu komputerowego, świadcząc o tym, że jest ona uprawniona do jego
używania. Hasło stanowi więc formę elektronicznego podpisu jego właściciela.
Decyduje całkowicie o bezpieczeństwie danych przechowywanych przez tę
osobę w jego katalogach domowych i skrzynce pocztowej, a także wpływa na
bezpieczeństwo całości systemu komputerowego, a więc także i innych
użytkowników.
Hasło wymaga więc dużej dbałości w doborze oraz zachowania podstawowych
zasad bezpieczeństwa przy jego wpisywaniu (w tym przede wszystkim przy
zmianie) i przechowywaniu.
Jakie wybrać sobie hasło?
Hasło w systemie informatycznym Wydziału Elektrycznego i Instytutu Sterowania
i Elektroniki Przemysłowej musi spełniać następujące wymagania formalne:
- Od 6 do 8 znaków
- Dozwolone znaki: litery alfabetu angielskiego (wielkie lub małe - jest
to rozróżniane), cyfry (0-9), znaki "specjalne" (!@#$%^&*(){}[]\|:";'<>?,./).
- Wśród pierwszych sześciu znaków musi być co najmniej dwie litery (wielkie
lub małe) i co najmniej jedna cyfra lub znak specjalny.
- Hasło nie może być takie samo jak identyfikator użytkownika (nawet jeśli
różni się wielkimi/małymi literami), ani jego przesunięta/obrócona wersja.
- Hasło może zawierać co najwyżej dwie duże litery.
Hasło powinno ponadto:
- Być łatwe do zapamiętania. Bardzo niewygodne (i niebezpieczne) jest zaglądanie
do notatek za każdym razem, gdy trzeba wpisać hasło. A wpisuje się je dosyć
często.
- Łatwe do wpisania. Jeżeli masz kłopoty z pisaniem na klawiaturze, to wybierz
hasło, które będzie do wpisania łatwe, w ten sposób zaoszczędzisz czas
i nerwy na pomyłkach.
I nie może:
- Znajdować się w całości w żadnym słowniku narodowym. (Jedną z metod łamania
haseł jest sprawdzanie wszystkich słów ze słownika)
- Być łatwe do odgadnięcia. Nie można używać w całości m. in.: imion, pseudonimów
czy nazwisk osób bliskich, numerów telefonów, numerów rejestracyjnych, itp.
- Być łatwe do podpatrzenia przy pisaniu. Złe są np. hasła składające się
z kilku kolejnych na klawiaturze znaków.
- Składac się ze słowa + jedna cyfra
Jak widać warunków jest sporo i niektóre wydają sie sprzeczne. Dlatego
hasła nie należy zmieniać "na poczekaniu" - należy je sobie najpierw w
spokoju wymyślić, a dopiero potem dokonać zmiany hasła na nowe. Oto kilka
składników często używanych przy tworzeniu dobrych haseł:
- Skróty (ale nie te związane z działalnością)
- Błędy ortograficzne
- Fragmenty słów
- Duże litery w środku słów (a nie na początku)
- Cyfry w środku
- itd.
Korzystając z tych składkików można sobie wybrać hasło składające się z
kilku (dwóch-trzech) członów, każdy innego typu, i połączyć je w niekonwencjonalny
sposób. Potem można jeszcze zmienić jakąś literkę na inną, spróbować, jak
to się będzie pisało na klawiaturze, poprawić na coś odrobinkę łatwiejszego,
ale jednak zostawić jakąś wielką literę...
Powodzenia!
Jak zmienić hasło?
Do zmiany hasła należy przystąpić w spokoju, bez tłumu stojącego nad głową,
poganiającego i patrzącego na ręce. Takie niesprzyjające warunki stanowią
nie tylko zagrożenie dla bezpieczeństwa (ktoś może podpatrzeć, jakie hasło
wpisujemy) ale również mogą poważnie utrudnić sprawę: pod ciężkim wzrokiem
widowni będziemy się częściej mylić...
Zanim rozpoczniemy zmianę hasła, należy sie upewnić, czy pamiętamy obydwa
hasła (dotychczasowe oraz to, na które zamierzamy zmienić). Należy również
sprawdzić, czy nie jest włączony tryb Caps Lock klawiatury, a jeżeli jest
włączony, to go wyłączyć. Do wpisywania cyfr znajdujących się w hasłach
nie należy używać klawiszy bloku numerycznego z prawej strony klawiatury,
tylko klawiszy z cyframi w głównym bloku.
Aby zmienić hasło należy się zalogować przez ssh2 lub XWindow do
któregokolwiek z komputerów UNIXowych Wydziału Elektrycznego lub
Instytutu Sterowania i Elektroniki Przemysłowej, na który mamy wstęp,
np.: login.ee.pw.edu.pl.
Oczywiście musimy użyć do tego swego starego hasła.
W oknie terminala, po zgłoszeniu systemu (w poniższym przykładzie będzie to
iris) piszemy:
iris:stud/student% passwd
(student powyżej zastępuje faktyczną nazwę użytkownika
systemu). Uruchomi to program umożliwiający zmianę hasła. Na powitanie
wyświetli on komunikat:
passwd: Changing password for student
Program można w każdej chwili przerwać wciskając kombinację klawiszy
Ctrl-C. Zmiana hasła odbywa się w trzech etapach:
1. Sprawdzenie dotychczasowego hasła. System wyświetla zachętę:
Enter login(NIS+) password:
po której wpisujemy dotychczasowe hasło i kończymy klawiszem Enter.
W czasie wpisywania, jak zwykle, hasło nie pojawia się na ekranie. Uwaga:
z punktu widzenia systemu, jeżeli nie znasz dotychczasowego hasła, to znaczy,
że nie jesteś tym za kogo się podałeś i pewnie niebezpiecznie bawisz się
komputerem kolegi, który (bardzo nieostrożnie!!!) odszedł na chwilę od
klawiatury...
Jeżeli wprowadzone hasło jest nieprawidłowe, program przerywa pracę
z komunikatem:
passwd(NIS+): Sorry, wrong passwd
Permission denied
2. Wpisanie nowego hasła. Powinno ono spełniać warunki opisane
powyżej,
i dodatkowo powinno się różnić od poprzedniego hasła co najmniej trzema
znakami. System sprawdza tylko część tych warunków, pozostałe musi zapewnić
użytkownik we własnym zakresie. Program wyświetla zachętę:
New password:
i czeka na wprowadzenie nowego hasła. Hasło oczywiście także nie ukazuje
się na ekranie. Wprowadzanie należy zakończyć klawiszem Enter. W przypadku,
jeśli zostanie wpisane hasło niezgodne z wymaganiami, system o tym poinformuje
jednym z poniższych komunikatów:
-
passwd(NIS+): Password too short - must be at least 6 characters.
Hasło jest za krótkie - powinno mieć co najmniej 6 znaków długości.
-
passwd(NIS+): The first 6 characters of the password must contain at
least two alphabetic characters and at least one numeric or special character.
Wśród pierwszych 6 znaków hasła musi być co najmniej dwa znaki alfabetu
i co najmniej jedna cyfra lub znak specjalny.
-
passwd(SYSTEM): Passwords must differ by at least 3 positions
Nowe hasło musi się różnić od starego co najmniej trzema znakami.
i powróci do zachęty New password:.
3. Powtórzenie hasła. Program wyświetla zachętę:
Re-enter new password:
i czeka na powtórne wprowadzenie tego samego, nowego hasła. Jest to
zabezpieczenie, które pozwala wyeliminować sytuacje, gdzie użytkownik pomylił
się przy wpisywaniu hasła, ale tego nie zauważył (np. wcisnął inny klawisz,
niż myślał, że wciska). Jeżeli hasło wpisane po raz drugi nie jest identyczne
jak to wpisywane poprzednio, program wyświetla komunikat:
passwd(SYSTEM): They don't match; try again.
I powraca do wpisywania hasła po raz pierwszy, czyli do zachęty
New password:. W przeciwnym wypadku potwierdza dokonaną zmianę
następującymi komunikatami:
NIS+ password information changed for student
NIS+ credential information changed for student
To kończy proces zmiany hasła. W celu upewnienia się, że nadal je znamy,
warto spróbować zalogować się powtórnie, w taki sam sposób jak poprzednio.
Uwaga! Nowe hasło może nie być aktywne nawet przez następnych
5 minut, dopóki dwa serwery haseł nie zsychronizują swoich baz danych o
użytkownikach! W związku z tym, nie należy się dziwić, jeśli bezpośrednio
po zmianie hasła nie daje się zalogować. Należy próbować powtórnie i dopiero,
jeśli po upływie 5 minut system nadal nie rozpoznaje hasła, można przyjąc,
że zmieniliśmy hasło na takie, jakiego nie znamy...
Jak dbać o hasło?
Jak wspomniano powyżej, o hasło należy dbać. Oto kilka podstawych wskazówek,
które pomogą w zachowaniu bezpieczeństwa:
- Najlepiej nigdy nie zapisuj hasła w żaden sposób. Ani w notatniku, ani
na kartce, ani, co gorsza, w formie elektronicznej (o tym więcej za chwilę).
Jeżeli bardzo nie ufasz swojej pamięci, to może lepiej wymyśleć prostsze
hasło? Jeżeli to nie pomaga, to spróbuj zapisać hasło w sposób trudno dostępny
i trudno rozpoznawalny (tzn. tak, żeby nawet jak ktoś na to spojrzy, to
nie domyśli się, że jest to hasło).
- Jeżeli jakiś program komputerowy prosi o podanie hasła, to najpierw zastanówmy
się, po co mu ono. Być może tak na prawdę nie jest to żaden pożyteczny program,
tylko jakaś złośliwa odmiana wirusa komputerowego, gromadząca hasła użytkowników.
Jeżeli jednak uznasz, że ten program hasła faktycznie potrzebuje (np. żeby sprawdzic
Twoją pocztę na serwerze), to nigdy nie włączaj opcji typu 'zapisz hasło'.
Większość znanych programów ma błędy powodujące, że łatwo jest wydobyć
hasło z pliku, w którym jest ono przechowywane. Poza tym ochronisz swoje
dane na koncie przed przypadkową modyfikacją.
- Nigdy nie przesyłaj haseł pocztą elektroniczną. Nie jest to bezpieczna
metoda transmisji danych, nie ma gwarancji, że list dotrze do adresata
i treść nie jest zabezpieczona zbyt dobrze przed oczami postronnych.
- Jeśli pocztą elektroniczną otrzymujesz wiadomość zawierającą hasło, zastanów
się dłuższą chwilę o co tu chodzi. Czy na pewno masz prawo używac tego
hasła? Administrator nigdy by nie wysłał hasła pocztą elektroniczną...
- Jeśli pocztą elektroniczną otrzymujesz wiadomość, że masz zmienić hasło,
to może być cenna informacja dla Ciebie... Ale jeśli ktoś (ktokolwiek)
podaje Ci hasło, na jakie masz zmienić, to zamelduj o tym natychmiast osobiście
Administratorowi! Pamiętaj, że poczta elektroniczna nie ma mechanizmu sprawdzania,
od kogo faktycznie nadeszła przesyłka... Więc być może ktoś tylko się podszywa
pod Twego przyjaciela (albo co gorsza administratora), aby przejąć kontrolę
nad Twoim kontem. A ogólniej: Nigdy nie zmieniaj hasła swojego konta na
takie, które ktoś już zna!!!
Co zrobić gdy zapomnisz hasło?
Zdarza się. Zapominać jest rzeczą ludzką (byle nie za często). Jeżeli masz
konto, ale już nie możesz się na nie zalogować, nie zwlekaj, tylko jak
najszybciej zgłoś się do Administratora po pomoc. Być może po prostu zapomniałeś
hasło (popróbuj, może sobie przypomnisz?). Ale możliwe jest również, że
ktoś się na Twoje konto włamał i teraz go sobie używa, być może do niecnych
celów. A możliwe jest również, że Administrator sam zablokował Ci konto,
bo zauważył na nim jakąś bardzo podejrzaną działalność. Więc pospiesz się.
Hasła są przechowywane w systemie w sposób zaszyfrowany i system nie zawiera
procedur do rozszyfrowywania. Administrator nie jest więc w stanie podać Ci
Twego starego hasła. Będziesz musiał wprowadzić sobie nowe hasło (przygotuj
je zawczasu; używanie starego może już nie być najszczęśliwszym pomysłem).
Zauważysz, że przy zmianie Twego hasła na nowe Administrator nie będzie
potrzebował Twego starego hasła, ale za to będziesz musiał wprowadzić nowe
hasło aż trzy razy.
Ostatnia poprawka: 2003-04-04
Autor: Jeremi Gryka
Zauważone błędy i propozycje poprawek proszę zgłaszać pod adres e-mail:
admin@ee.pw.edu.pl