Co to są funkcje haszujące i hasze?

pm

Funkcja hashująca jest kryptograficznym algorytmem, do którego wejściem jest dowolny ciąg bitów, a wyjściem ciąg bitów o ustalonej długości.

Sprawdzmy jak działa funkcja hashujaca o nawie SHA1. Jest to funkcja, która dla dowolnego wejścia zwraca ciąg 160 bitów.

Na przykład, dla wejść ‘cześć’, ‘hello’, ‘Ala tańczy walca’ funkcja SHA1 obliczy następujące wartości:

SHA1(cześć) = 21c5b9c63518dda9846600f0c8ea4751f43488f2

SHA1(hello) = aaf4c61ddcc5e8a2dabede0f3b482cd9aea9434d

SHA1(Ala tańczy walca) = 41d2b428b9cee2028bf5f46eeb1f6af419668857

Liczba bitów wyjścia tej funkcji jest równa 160 bitom. Te 160 bitów jest zakodowanych heksadecymalnie (jedna literka lub liczba to 4 bity), dlatego mamy po 40 literek i cyferek na wyjściu.

Zapamietaj hashowanie to proces obliczania wartoścji funkcji hashujące, której argumentami jest dowolny ciąg bitów. Zapamietaj hash, to wartość funkcji hashującej.

Wejdź tutaj, aby poznać więcej funkcji hashujących.

Jakie są różnice pomiędzy różnymi rodzajami menadżerów haseł?

pm

Menadżer haseł Dostępność Poufność Synchronizacja Łatwe kopie zapasowe Współdzielenie w organizacji
Notatnik Musimy pamiętać by zawsze mieć przy sobie Każdy może odczytać Manualna Wystarczy skopiować Notatnik musi zostać w biurze
Plik tekstowy Synchronizacja poprzez np. dyski chmurowe Każdy kto ma dostęp do dysku może odczytać Poprzez np. dysk współdzielony Wystarczy skopiować Plik na dysku współdzielonym
Przeglądarka Synchronizacja poprzez usługi dostawców przeglądarek Każdy kto ma dostęp do dysku / konta Opcjonalna automatyczna Eksport + manualne zabezpieczenie Brak
Bitwarden Hasła przechowywane centralnie Każdy kto ma dostęp do konta Centralnie na serwerze Eksport + manualne zabezpieczenie Możliwość współdzielenia w organizacji
KeyPass XC Synchronizacja poprzez np. dyski chmurowe Każdy kto zna główne hasło Poprzez np. dysk współdzielony Kopie zabezpieczone domyślnie Możliwość współdzielenia plików baz

Jak chronione są hasła zapisane w serwisach internetowych?

pm

Załóżmy, że Alice rejestruje się do servisu internetowego. W tym celu podczas rejestracji serwis poprosi ją o jej identyfikator, najczęściej jest to jej mejl lub numer telefonu, oraz o wymyślenie i podanie hasła dostępu do tego serwisu. Gdy serwis otrzyma identyfikator i hasło, haszuje hasło funkcją haszującą i zapisuje w bazie dostępu do serwisu identyfikator i hasz hasła. W ten sposób nastąpiła rejestracja Alice.

Tak może wygladac przykładowa baza dostępu do serwisu internetowego, która przehowuje identyfikatory oraz hashe haseł użytkowników. Haszowanie odbywa się funkcją H.

O haszowaniu i haszach możesz przeczytac tutaj. Zapamiętaj hasła nie są przechowywane w bazie, przechowywane są tylko ich hashe!!!!

Czy możliwy jest dostęp do haseł kiedy komputer jest wyłączony?

browser-pm hasła pm podstawy

Czy nasze hasła są bezpieczne, kiedy wyłączymy komputer? Wszystko zależy od wybranej metody przechowywania haseł! Jeśli metoda zabezpieczenia nie zakłada dodatkowego hasła bądź urządzenia, hasła są możliwe do odczytu!

Przyczyną jest brak dodatkowego sekretu, który byłby użyty do szyfrowania bazy danych haseł. W takim przypadku szyfrowanie wykonane jest z użyciem danych dostępnych na komputerze - a zatem danych dostępnych dla atakującego.

(poniższa tabela zakłada, że dysk komputera nie został zaszyfrowany)

Metoda przechowywania haseł Czy dostęp atakującego jest możliwy?
Fizyczny notatnik z zapisanymi haslami Jeśli nie nosimy go razem z laptopem to nie!
Plik z zapisanymi hasłami Hasła dostępne
Przeglądarka Firefox Możliwość dostępu jeśli nie zostało skonfigurowane hasło główne.
Przeglądarka Chrome Hasła dostępne
Bitwarden / Vaultwarden Brak dostępu
KeyPass XC Brak dostępu

Jeśli dysk na którym przechowywane są hasła jest zaszyfrowany, hasła w wyłączonym komputerze powinny być bezpieczne!

Więcej informacji na temat szyfrowania pojawi się w trakcie kolejnych modułów.

Czy możliwe jest wykorzystanie bazy haseł z innego urządzenia?

browser-pm pm przeglądarka synchronizacja

Jest wiele scenariuszy w których chcemy odszyfrować bazę haseł, ale z innego komputera - chcemy wykorzystać kopię zapasową starego dysku na nowym komputerze, przekazać w sposób bezpieczny hasła innej osobie członkowskiej w zespole (lub jako atakujący uzyskać dostęp do serwisu do jakiego nie powinniśmy).

Metoda przechowywania haseł Czy można użyć na innnym urządzeniu?
Fizyczny notatnik z zapisanymi haslami Musimy wykonać samemu kopię :)
Plik z zapisanymi hasłami Tak, ale dostęp ma każdy kto może przechwycić plik
Przeglądarka Firefox Tak, należy skopiować zarówno plik bazy, jak i plik kluczy (więcej informacji); również można eksportować plik CSV
Przeglądarka Chrome Dostępny eksport CSV lub dostęp do pliku bazy na uzytkownikach o tej samej nazwie.
Menadżer haseł Google Można wykorzystywać po zalogowaniu na to samo konto; możliwy eksport CSV
Bitwarden / Vaultwarden Możliwy eksport haseł oraz współdzielenie haseł
KeyPass XC Możliwy poprzez Eksport CSV

Czy administrator może odczytać moje hasła?

browser-pm pm podstawy

Administrator posiada dostęp do danych użytkowników, w tym ich dysków na których mogą być przechowywane hasła. Oznacza to, że dla systemów, które przechowują dane logowania i deszyfrowania w ramach komputera posiada dostęp do wszystkich przechowywanych haseł!

Metoda przechowywania haseł Czy administrator ma dostęp?
Fizyczny notatnik z zapisanymi haslami Nie, chyba, że damy mu do niego dostęp
Plik z zapisanymi hasłami Tak
Przeglądarka Firefox Tak jeśli użytkownik nie skonfigurował hasła głównego
Przeglądarka Chrome Tak
Menadżer haseł Google Tak jeśli jesteśmy zalogowani (domyślnie jesteśmy)
Bitwarden / Vaultwarden Tak jeśli jesteśmy zalogowani (domyślnie nie jesteśmy)
KeyPass XC Nie

Jak wygląda proces szyfrowania?

pm

Aby zaszyfrować wiadomość (dowolny ciąg bitów np.: plik) musimy wybrać algorytm szyfrowania oraz klucz tajny. Załóżmy, że Alice wybrała algorytm AES do szyfrowania swoich plików na dysku wygenerowała klucz tajny, który w tym przypadku ma 128 bitów. Alice tworzy plik, który chce zaszyfrować, wykorzystuje algorytm AES w trybie szyfrowania i 128-bitowy klucz tajny. W ten sposób, Alice otrzymuje szyfrogram tego pliku. Alice może teraz usunąć ze swojego dysku niezaszyfrowany plik i trzymać go tylko w postaci zaszyfrowanej. Odszyfrować plik może tylko osoba, która zna klucz tajny użyty do szyfrowania. Aby odszyfrować plik, Alice wykorzystuje algorytm AES w trybie do deszyfrowania oraz klucz tajny. W wyniku tej operacji Alice uzyskuj odszyfrowany plik.

Przykład

Alice używa algorytm AES oraz 128-bitowego klucza tajnego a1b2c3d4e5f6g7h8. Załóżmy, że chce ona zaszyfować wiadomość Postaw na konia DragonFly. W tym celu oblicza:

AES(a1b2c3d4e5f6g7h8,Postaw na konia DragonFly)=027a3a6c6cc0dbe589868c3068aa70f7a40f754c4de655116d2f30b19519da2a

Aby zdeszyfrować 027a3a6c6cc0dbe589868c3068aa70f7a40f754c4de655116d2f30b19519da2a, Alice wykorzystuje szyfrogram i klucza tajny,

AES(a1b2c3d4e5f6g7h8,027a3a6c6cc0dbe589868c3068aa70f7a40f754c4de655116d2f30b19519da2a)=Postaw na konia DragonFly

Zapamiętaj szyfrowanie to proces obliczania szyfrogramu z wykorzystaniem algorytmu szyfrującego oraz klucza tajnego. Deszyfrowanie to proces dzyskania plikuz wykorzystaniem algorytmu deszyfrującego oraz klucza tajnego

Wejdź tutaj, aby przećwiczyć proces szyfrowania w praktyce.

Wszystkie pytania