W ubiegłym miesiącu Allegro rozpoczęło akcję "Bezpieczne konto". Najpierw wytypowano konta o zbyt niskim poziomie zabezpieczeń. Do ich użytkowników rozesłano e-maile z prośbą o zmianę hasła. W jaki sposób dokonano selekcji? Jestem informatykiem i zastanawia mnie fakt, skąd Allegro wie, czy moje hasło jest słabe, czy mocne - napisał jeden z Czytelników Dziennika Internautów.

fot. DI - Przykłady hashowania haseł za pomocą algorytmów SHA-1 oraz MD5

Czytelnik myślał, że dostał informację o konieczności zmiany hasła, gdyż system przetestował je podczas logowania do serwisu. Okazało się jednak, że podobną wiadomość wysłano mu także w związku z kontem służbowym, na które dawno się nie logował. Nadto znajomi, którzy nie korzystają z Allegro od kilku lat, również otrzymali takiego maila - informuje Czytelnik.

Wniosek nasuwa się tylko jeden, że hasła przechowywane są czystym tekstem, czyli każda osoba mająca dostęp do bazy danych (potencjalnie każdy pracownik mający dostęp do LAN Allegro) może je poznać i wykorzystać. A mając na uwadze, że większość internautów stosuje jedno hasło do wielu systemów (banki, serwisy społecznościowe, poczta etc.) oraz że w Allegro większość pracowników to nisko opłacani stażyści, czuję się głęboko zaniepokojony bezpieczeństwem blisko połowy Polaków korzystających z Allegro - czytamy w liście do redakcji Dziennika Internautów.

Sposoby na wytypowanie słabych haseł

Konsultant ds. bezpieczeństwa, Piotr Konieczny potwierdził, że najbezpieczniejszą metodą wytypowania słabo zabezpieczonych kont byłoby testowanie haseł (długość, słownikowość, występowanie znaków specjalnych) w trakcie logowania użytkowników do serwisu. Taki test można przeprowadzić, nawet jeśli serwis przechowuje hasła w postaci zahashowanej. Testowanie następuje wtedy przed uwierzytelnieniem użytkownika (czyli przed wyliczeniem hasha z podanego przez użytkownika hasła i porównaniem go z hashem umieszczonym w bazie danych).

Zapytany o alternatywne formy sprawdzenia złożoności haseł, niewymagające testu w trakcie logowania się użytkownika do serwisu, ekspert odpowiedział:

W przypadku, gdy w bazie trzymane są hasła w tekście jawnym, wystarczy odpowiednio dobrane wyrażenie regularne. Oczywiście takie składowanie haseł jest jednocześnie najbardziej niebezpieczne. Każdy, kto uzyska dostęp do bazy danych, wszystkie informacje będzie miał podane na tacy.

Zakładając, że hasła w bazie są hashowane, ale bez użycia salta (co wydaje się dość ryzykownym zagraniem), można pokusić się o obliczenie hashy dla kilkudziesięciu prostych haseł i przeprowadzić próbę ich wyszukania w bazie. Przy tej metodzie nie mamy możliwość "masowego" wytypowania użytkowników z hasłami o określonej długości - jedyne, co możemy stwierdzić, to fakt posiadania przez użytkownika hasła ze zbioru przez nas wygenerowanego. Saltowanie hasła użytkownika w bazie znacznie spowolni powyższą operację - zestaw hashy dla prostych haseł musielibyśmy generować osobno dla każdego z użytkowników.

Powyższą metodę wyłapywania słabych haseł można rozszerzyć poprzez "łamanie" hashy przy pomocy tzw. Rainbow Tables (bezskuteczne przy hashach z długim saltem), czy też ataku brute-force, ale biorąc pod uwagę liczbę użytkowników Allegro i wymaganą moc obliczeniową, nie wydaje się, aby tego typu metody typowania słabych haseł miały sens.

Allegro: nasza baza jest zabezpieczona

Dziennik Internautów zwrócił się do Allegro z pytaniem o sposób przechowywania haseł użytkowników. Ciekawiło nas także, jak wytypowano konta o zbyt niskim poziomie zabezpieczeń.

PR Manager serwisu, Patryk Tryzubiak udzielił mało precyzyjnej odpowiedzi: Informacja została wysłana w związku z podniesieniem poziomu bezpieczeństwa kont Allegro i obniżeniem ryzyka związanego z atakami słownikowymi na konta użytkowników. Jest to część mechanizmu zmian mających na celu ochronę przed tego typu atakami. Takie sprawdzenie możliwe jest również na bazie hashy.

Nasza baza jest zabezpieczona, tak więc hasła są bezpieczne. Są one zabezpieczone zgodnie z wszelkimi wymogami - zapewnił Tryzubiak, nie doprecyzowując, o jakie wymogi chodzi.

W dalszej części listu możemy przeczytać, że jednym z najbardziej nierozsądnych zachowań w sieci jest używanie tego samego hasła do kilku różnych serwisów. Kompromitacja jednego z systemów, np. poczty, mniej lub bardziej profesjonalnych i godnych zaufania forów czy sklepów internetowych, może spowodować uzyskanie przez osoby trzecie nieuprawnionego dostępu do danych użytkowników - napisał przedstawiciel Allegro.

Z prawniczego punktu widzenia

Poproszony o wyrażenie swego zdania prawnik Olgierd Rudak, redaktor czasopisma internetowego Lege Artis, powiedział, że trudno pokusić się o komentarz nt. sposobu zabezpieczenia haseł użytkowników Allegro, skoro serwis nabiera wody w usta i odwraca kota ogonem.

Wróżąc z fusów, można jednak powiedzieć, że serwis może mieć poważny problem z prawidłowym zabezpieczeniem integralności danych tam zgromadzonych, w szczególności z dopełnieniem obowiązku zapewnienia zastosowania środków bezpieczeństwa danych osobowych na poziomie wysokim (zgodnie z rozporządzeniem MSWiA z 2004 r.). W takim przypadku należy pamiętać, iż administrator danych ponosi odpowiedzialność zarówno ze względu na brak prawidłowego zabezpieczenia danych, jak i - o czym często się zapomina - może ponosić odpowiedzialność, jeśli wskutek nieuprawnionego dostępu do danych osoba trzecia wyrządzi szkodę osobie, której dane są przetwarzane.

Z drugiej strony dziwne, że Allegro odwraca uwagę od problemu, mówiąc - skądinąd słusznie - o problemie używania identycznych haseł do różnych serwisów. Mając świadomość, że niektórzy internauci postępują w tak nieroztropny sposób, Allegro powinno zachować szczególną ostrożność, jeśli chodzi o przechowywanie haseł w serwisie aukcyjnym.

W przypadku otrzymania bardziej precyzyjnych informacji na temat przechowywania haseł w Allegro artykuł zostanie zaktualizowany.