Co to są funkcje haszujące i hasze?
pm
Funkcja hashująca jest kryptograficznym algorytmem, do którego wejściem jest dowolny ciąg bitów, a wyjściem ciąg bitów o ustalonej długości.
Sprawdzmy jak działa funkcja hashujaca o nawie SHA1. Jest to funkcja, która dla dowolnego wejścia zwraca ciąg 160 bitów.
Na przykład, dla wejść ‘cześć’, ‘hello’, ‘Ala tańczy walca’ funkcja SHA1 obliczy następujące wartości:
SHA1(cześć) = 21c5b9c63518dda9846600f0c8ea4751f43488f2
SHA1(hello) = aaf4c61ddcc5e8a2dabede0f3b482cd9aea9434d
SHA1(Ala tańczy walca) = 41d2b428b9cee2028bf5f46eeb1f6af419668857
Liczba bitów wyjścia tej funkcji jest równa 160 bitom. Te 160 bitów jest zakodowanych heksadecymalnie (jedna literka lub liczba to 4 bity), dlatego mamy po 40 literek i cyferek na wyjściu.
Zapamietaj hashowanie to proces obliczania wartoścji funkcji hashujące, której argumentami jest dowolny ciąg bitów. Zapamietaj hash, to wartość funkcji hashującej.
Wejdź tutaj, aby poznać więcej funkcji hashujących.
Jakie są różnice pomiędzy różnymi rodzajami menadżerów haseł?
pm
- Dostępność
- Poufność
- Łatwe kopie zapasowe
- Hasła do innych aplikacji
| Menadżer haseł | Dostępność | Poufność | Synchronizacja | Łatwe kopie zapasowe | Współdzielenie w organizacji |
|---|---|---|---|---|---|
| Notatnik | Musimy pamiętać by zawsze mieć przy sobie | Każdy może odczytać | Manualna | Wystarczy skopiować | Notatnik musi zostać w biurze |
| Plik tekstowy | Synchronizacja poprzez np. dyski chmurowe | Każdy kto ma dostęp do dysku może odczytać | Poprzez np. dysk współdzielony | Wystarczy skopiować | Plik na dysku współdzielonym |
| Przeglądarka | Synchronizacja poprzez usługi dostawców przeglądarek | Każdy kto ma dostęp do dysku / konta | Opcjonalna automatyczna | Eksport + manualne zabezpieczenie | Brak |
| Bitwarden | Hasła przechowywane centralnie | Każdy kto ma dostęp do konta | Centralnie na serwerze | Eksport + manualne zabezpieczenie | Możliwość współdzielenia w organizacji |
| KeyPass XC | Synchronizacja poprzez np. dyski chmurowe | Każdy kto zna główne hasło | Poprzez np. dysk współdzielony | Kopie zabezpieczone domyślnie | Możliwość współdzielenia plików baz |
Jak chronione są hasła zapisane w serwisach internetowych?
pm
Załóżmy, że Alice rejestruje się do servisu internetowego. W tym celu podczas rejestracji serwis poprosi ją o jej identyfikator, najczęściej jest to jej mejl lub numer telefonu, oraz o wymyślenie i podanie hasła dostępu do tego serwisu. Gdy serwis otrzyma identyfikator i hasło, haszuje hasło funkcją haszującą i zapisuje w bazie dostępu do serwisu identyfikator i hasz hasła. W ten sposób nastąpiła rejestracja Alice.
Tak może wygladac przykładowa baza dostępu do serwisu internetowego, która przehowuje identyfikatory oraz hashe haseł użytkowników. Haszowanie odbywa się funkcją H.

O haszowaniu i haszach możesz przeczytac tutaj. Zapamiętaj hasła nie są przechowywane w bazie, przechowywane są tylko ich hashe!!!!
Czy możliwy jest dostęp do haseł kiedy komputer jest wyłączony?
browser-pm hasła pm podstawy
Czy nasze hasła są bezpieczne, kiedy wyłączymy komputer? Wszystko zależy od wybranej metody przechowywania haseł! Jeśli metoda zabezpieczenia nie zakłada dodatkowego hasła bądź urządzenia, hasła są możliwe do odczytu!
Przyczyną jest brak dodatkowego sekretu, który byłby użyty do szyfrowania bazy danych haseł. W takim przypadku szyfrowanie wykonane jest z użyciem danych dostępnych na komputerze - a zatem danych dostępnych dla atakującego.
(poniższa tabela zakłada, że dysk komputera nie został zaszyfrowany)
| Metoda przechowywania haseł | Czy dostęp atakującego jest możliwy? |
|---|---|
| Fizyczny notatnik z zapisanymi haslami | Jeśli nie nosimy go razem z laptopem to nie! |
| Plik z zapisanymi hasłami | Hasła dostępne |
| Przeglądarka Firefox | Możliwość dostępu jeśli nie zostało skonfigurowane hasło główne. |
| Przeglądarka Chrome | Hasła dostępne |
| Bitwarden / Vaultwarden | Brak dostępu |
| KeyPass XC | Brak dostępu |
Jeśli dysk na którym przechowywane są hasła jest zaszyfrowany, hasła w wyłączonym komputerze powinny być bezpieczne!
Więcej informacji na temat szyfrowania pojawi się w trakcie kolejnych modułów.
Czy możliwe jest wykorzystanie bazy haseł z innego urządzenia?
browser-pm pm przeglądarka synchronizacja
Jest wiele scenariuszy w których chcemy odszyfrować bazę haseł, ale z innego komputera - chcemy wykorzystać kopię zapasową starego dysku na nowym komputerze, przekazać w sposób bezpieczny hasła innej osobie członkowskiej w zespole (lub jako atakujący uzyskać dostęp do serwisu do jakiego nie powinniśmy).
| Metoda przechowywania haseł | Czy można użyć na innnym urządzeniu? |
|---|---|
| Fizyczny notatnik z zapisanymi haslami | Musimy wykonać samemu kopię :) |
| Plik z zapisanymi hasłami | Tak, ale dostęp ma każdy kto może przechwycić plik |
| Przeglądarka Firefox | Tak, należy skopiować zarówno plik bazy, jak i plik kluczy (więcej informacji); również można eksportować plik CSV |
| Przeglądarka Chrome | Dostępny eksport CSV lub dostęp do pliku bazy na uzytkownikach o tej samej nazwie. |
| Menadżer haseł Google | Można wykorzystywać po zalogowaniu na to samo konto; możliwy eksport CSV |
| Bitwarden / Vaultwarden | Możliwy eksport haseł oraz współdzielenie haseł |
| KeyPass XC | Możliwy poprzez Eksport CSV |
Czy administrator może odczytać moje hasła?
browser-pm pm podstawy
Administrator posiada dostęp do danych użytkowników, w tym ich dysków na których mogą być przechowywane hasła. Oznacza to, że dla systemów, które przechowują dane logowania i deszyfrowania w ramach komputera posiada dostęp do wszystkich przechowywanych haseł!
| Metoda przechowywania haseł | Czy administrator ma dostęp? |
|---|---|
| Fizyczny notatnik z zapisanymi haslami | Nie, chyba, że damy mu do niego dostęp |
| Plik z zapisanymi hasłami | Tak |
| Przeglądarka Firefox | Tak jeśli użytkownik nie skonfigurował hasła głównego |
| Przeglądarka Chrome | Tak |
| Menadżer haseł Google | Tak jeśli jesteśmy zalogowani (domyślnie jesteśmy) |
| Bitwarden / Vaultwarden | Tak jeśli jesteśmy zalogowani (domyślnie nie jesteśmy) |
| KeyPass XC | Nie |
Jak wygląda proces szyfrowania?
pm
Aby zaszyfrować wiadomość (dowolny ciąg bitów np.: plik) musimy wybrać algorytm szyfrowania oraz klucz tajny. Załóżmy, że Alice wybrała algorytm AES do szyfrowania swoich plików na dysku wygenerowała klucz tajny, który w tym przypadku ma 128 bitów. Alice tworzy plik, który chce zaszyfrować, wykorzystuje algorytm AES w trybie szyfrowania i 128-bitowy klucz tajny. W ten sposób, Alice otrzymuje szyfrogram tego pliku. Alice może teraz usunąć ze swojego dysku niezaszyfrowany plik i trzymać go tylko w postaci zaszyfrowanej. Odszyfrować plik może tylko osoba, która zna klucz tajny użyty do szyfrowania. Aby odszyfrować plik, Alice wykorzystuje algorytm AES w trybie do deszyfrowania oraz klucz tajny. W wyniku tej operacji Alice uzyskuj odszyfrowany plik.
Przykład
Alice używa algorytm AES oraz 128-bitowego klucza tajnego a1b2c3d4e5f6g7h8. Załóżmy, że chce ona zaszyfować wiadomość Postaw na konia DragonFly. W tym celu oblicza:
AES(a1b2c3d4e5f6g7h8,Postaw na konia DragonFly)=027a3a6c6cc0dbe589868c3068aa70f7a40f754c4de655116d2f30b19519da2a
Aby zdeszyfrować 027a3a6c6cc0dbe589868c3068aa70f7a40f754c4de655116d2f30b19519da2a, Alice wykorzystuje szyfrogram i klucza tajny,
AES(a1b2c3d4e5f6g7h8,027a3a6c6cc0dbe589868c3068aa70f7a40f754c4de655116d2f30b19519da2a)=Postaw na konia DragonFly
Zapamiętaj szyfrowanie to proces obliczania szyfrogramu z wykorzystaniem algorytmu szyfrującego oraz klucza tajnego. Deszyfrowanie to proces dzyskania plikuz wykorzystaniem algorytmu deszyfrującego oraz klucza tajnego
Wejdź tutaj, aby przećwiczyć proces szyfrowania w praktyce.