Ochrona haseł i kont

Wiele skutecznych ataków sieci było spowodowane brakiem odpowiedniego przeszkolenia użytkowników, na temat zasad bezpiecznego posługiwania się hasłem. Osoby nieświadome zagrożeń najchętniej posługują się hasłem dwuznakowym, lub co gorsza, wcale go nie używają. Poniższa lista zawiera najważniejsze reguły skutecznej ochrony haseł [1]:

  1. Nie używać hasła krótszego niż sześć znaków. Krótkie hasła są łatwe do złamania.
  2. Nie wykorzystywać w haśle żadnej części swojego nazwiska; łatwo je znaleźć w Internecie.
  3. Nie wykorzystywać w haśle imion swojego małżonka, dzieci, przyjaciół, zwierząt.
  4. Nie stosować jako hasła żadnych rzeczywistych imion lub ich fragmentów; są łatwe do zapamiętania, ale wiedzą o tym hakerzy.
  5. Nie używać w haśle żadnych informacji o sobie: na przykład numeru dowodu osobistego, daty urodzenia, numeru NIP, numeru rejestracyjnego samochodu itp.
  6. Nie używać żadnych słów dostępnych w słownikach lub leksykonach; hakerzy posługują się programami próbującymi wygenerować hasło, podstawiając kolejne pozycje słownika.
  7. Nie zapisywać hasła i nie przekazywać go nikomu bez względu na to kto to jest! Zdarzały się przypadki, że hakerzy zdobywali potrzebne im dane, wysyłając pocztą elektroniczną wezwanie do podania hasła, podszywając się pod administratora.
  8. Hasło powinno się składać z losowych kombinacji małych i wielkich liter.
  9. Hasło powinno zawierać litery, cyfry i znaki symboliczne.
  10. Używać haseł rodzaju: X$2sC.8Zd(, których nie można wygenerować ze słownika. Nawet odgadnięcie hasła wymaga jeszcze znajomości jego pisowni.
  11. Hasło należy zmieniać co najmniej raz na 90 dni i nigdy nie używać go ponownie.

System zarządzania regułami stosowania haseł, który udostępnia Windows NT, pomaga je chronić, ale nie zastąpi współpracy użytkowników. Możemy, co prawda, określić minimalną długość hasła lub częstotliwość zmian, ale nie jesteśmy w stanie skontrolować wykorzystania swoich imion, nazw psów czy daty urodzenia. Pewność bezpieczeństwa haseł jest bardzo ważna. Ewentualny atak z Internetu skierowany będzie prawdopodobnie właśnie na nie. Haker, który zdobędzie identyfikator i hasło użytkownika może korzystać z jego przywilejów. Na dodatek działalność intruza, posługującego się cudzymi danymi, jest trudna do wykrycia.

Program Windows NT Account Policies służący do ustalania strategii wobec kont użytkownika pozwala mieć pewność, że tak wrażliwe na atak fragmenty systemu są odpowiednio zabezpieczone, możemy skonfigurować: parametry haseł, czas dostępu do systemu, profile użytkownika oraz procedury blokowania konta. Wszystkie opcje okna dialogowego umożliwiają wprowadzenie ustaleń, które doprowadzą do frustracji większość hakerów, ale najważniejszą pozycją jest zdolność określenia minimalnej długości hasła. Określenie tej wielkości uniemożliwia posługiwanie się przez użytkowników pustym hasłem. Rozszyfrowanie zasady tworzenia nazw użytkowników nie jest zazwyczaj trudne, wiec brak hasła jest furtką zapraszającą intruzów.

Eksperci od ochrony systemów komputerowych zalecają stosowania haseł zawierających co najmniej sześć znaków. Opcja, określająca maksymalny czas posługiwania się hasłem, pozwala zagwarantować, ze hasła są zmieniane systematycznie; właściwym ustawieniem jest liczba dni między 90, a 120. Nawet jeśli intruz zdobędzie dane jakiegoś użytkownika, to po pewnym czasie utraci dostęp uzyskany dzięki kradzieży. Opcja Password Uniqueness (unikalność hasła) jest ściśle związana z poprzednią. Jeśli ją uaktywnimy, to system pamięta określoną liczbę haseł stosowanych przez użytkownika. Po zmianie, nie można powrócić do jednego z wcześniej stosowanych haseł, znanego być może osobie postronnej.

Należy również rozważyć implementację opcji blokowania konta. Siła tego ustawienia wynika ze skutecznego ograniczenia liczby nieudanych prób dostępu do systemu. Rozwiązanie bardzo frustruje hakerów, uniemożliwiając stosowanie programów generujących hasła, ale równie skutecznie doprowadza do pasji roztargnionych użytkowników. Można skonfigurować liczbę dozwolonych błędów podczas rejestracji w określonym przedziale czasu. Przekroczenie tej wielkości spowoduje zablokowanie konta. Mając zablokowane konto, użytkownik nie może zarejestrować się w systemie, nawet podając prawidłowe dane identyfikacyjne. Czas blokady konta można określić opcją Lockout Duration. Konto może być również blokowane bezterminowo, co oznacza, że uaktywnienie go wymaga interwencji administratora systemu. Typowe ustawienia opcji, to dopuszczenie do pięciu błędów w ciągu pół godziny i zablokowanie konta na 10-20 minut. W systemach wymagających skrajnej ochrony można ograniczyć liczbę nieudanych prób do trzech a konto blokować bezterminowo.

Zobaczmy, jak to działa: System został skonfigurowany w sposób dopuszczający trzy nieudane próby rejestracji w ciągu piętnastu minut oraz na bezterminową blokadę konta. Sprytny haker zdobył nazwę konta użytkownika oraz nazwę hosta, wykorzystując program podsłuchowy (sniffer) do przechwycenia komunikatu poczty elektronicznej. Kolejnym etapem ataku jest uruchomienie programu do generowania haseł na podstawie słownika. Już po trzech próbach konto zostaje zablokowane. Użytkownik, który nie może korzystać z systemu, sygnalizuje problem administratorowi, a ten podejmie decyzję o dalszym postępowaniu. Inną popularną furtkę, umożliwiającą skuteczny atak hakerom, tworzą predefiniowane konta Windows NT. Konto gościa, należy po prostu wyłączyć. Mimo ograniczonych przywilejów, można je wykorzystać do przejęcia ważnych, dla bezpieczeństwa serwera, plików, dotyczących  jakiejś maszyny, a następnie wykorzystać zdobyte informacje do skutecznej infiltracji systemu. Jeśli, z ważnych powodów, konto gościa jest niezbędne, to należy się upewnić, że hasło jest trudne do złamania, ograniczyć czas korzystania konta do standardowych godzin pracy przedsiębiorstwa oraz monitorować procesy rejestracji.

Ze względu na znaczenie konta administratora, trzeba mu poświęcić szczególną uwagę. Oto kilka zasad dotyczących tego konta [2]:

  1. Zmienić nazwę konta administratora –  ukrycie tego najważniejszego w systemie ochrony elementu utrudni nieco pracę hakerom.
  2. Zgodnie z wcześniejszymi wytycznymi, zapewnić, aby hasło było ekstremalnie trudne do złamania. Powinno się składać z czternastu znaków i wyglądać na przykład tak: n*D65.Vm&z8Ps%. Hasło należy zapamiętać.
  3. Ograniczyć liczbę administratorów. Im więcej osób zna hasło, tym większe prawdopodobieństwo jego ujawnienia. Stosować przekazywanie uprawnień administracyjnych za pomocą odpowiedniej konfiguracji grup.
  4. Stosować zasadę „jak najmniej uprawnień”; konta administratora należy używać tylko w wyjątkowych sytuacjach. Pamiętajmy, że połączenia realizowane z odległych stacji mogą być podsłuchane i przechwycone.
  5. Rozważyć wyłączenie możliwości zdalnego korzystania z serwera poprzez konto administratora. Mimo uciążliwości, rozwiązanie znacznie poprawia ochronę.

Nie wolno zapomnieć o pozostałych grupach predefiniowanych, takich jak Account Operators (operatorzy kont), Server Operators (operatorzy serwerów) oraz przede wszystkim o grupie Backup Operators (operatorów archiwizacji). Pamiętajmy, że grupa użytkowników uprawnionych do archiwizacji, może czytać (prawo restore) wszystkie pliki i katalogi. Jeśli haker zdobędzie dane użytkownika mającego pozwolenie backup & restore, lub osoby należącej do grupy operatorów archiwizacji, to mamy poważny problem. Należy wykorzystać menedżer użytkowników do zapewnienia wspomnianym grupom dokładnie takiego poziomu uprawnień, jaki jest niezbędny do pracy (zasada „jak najmniej uprawnień.


[1] D. Chapman, E. Zwicky „Building Internet Firewalls“,

[2] D. Chapman, E. Zwicky „Building Internet Firewalls“,