Hasło: hasło - dlaczego 22% naruszeń zaczyna się od skradzionych poświadczeń
Bezpieczeństwo haseł w IT i OT - wytyczne NIST SP 800-63B, passkeys, domyślne hasła w PLC/HMI i praktyczna checklista ochrony kont.
W listopadzie 2023 roku grupa CyberAv3ngers powiązana z irańskim IRGC przejęła kontrolę nad sterownikami PLC Unitronics w kilku amerykańskich zakładach uzdatniania wody. Wektor ataku nie wymagał zaawansowanych exploitów ani zero-dayów. Wystarczyło domyślne hasło “1111”, którego nikt nie zmienił od momentu instalacji. CISA wydała pilne ostrzeżenie, ale problem sięgał znacznie głębiej niż jeden producent sterowników.
Ta historia idealnie ilustruje paradoks bezpieczeństwa haseł: wiemy, że słabe hasła są niebezpieczne, a mimo to organizacje - zarówno w IT, jak i OT - wciąż popełniają te same błędy. Raport Verizon DBIR 2025 potwierdza, że skradzione lub złamane poświadczenia są wektorem początkowym w 22% naruszeń bezpieczeństwa. W świecie aplikacji webowych ta liczba jest jeszcze bardziej alarmująca - 88% ataków na podstawowe aplikacje webowe wykorzystuje wykradzione dane uwierzytelniające.
Co zmieniło się od 2019 roku
Jeszcze w 2019 roku główna rada ekspertów na szkoleniu SANS Anaheim brzmiała: “długość hasła jest ważniejsza niż jego skomplikowanie”. To pozostaje prawdą, ale krajobraz zagrożeń zmienił się diametralnie.
Kilka faktów, które definiują dzisiejszy kontekst:
- W 2024 roku 2,8 miliarda haseł trafiło na sprzedaż na forach przestępczych i w darknecie
- Malware typu infostealer wykradł 1,8 miliarda poświadczeń globalnie w 2025 roku
- Serwis Have I Been Pwned w samym 2025 roku dodał 1,96 miliarda unikalnych adresów email z jednego wycieku (Synthient Credential Stuffing)
- Ataki brute force na aplikacje webowe potroiły się rok do roku - z 20% do 60% w kategorii Basic Web Application Attacks
naruszeń zaczyna się od skradzionych poświadczeń
haseł wystawionych na sprzedaż w 2024
wzrost ataków brute force rok do roku
organizacji wdraża passkeys (FIDO 2025)
Źródła: Verizon DBIR 2025, Deepstrike Credential Statistics 2025, FIDO Alliance Passkey Index 2025
NIST SP 800-63B Revision 4 - nowe zasady gry
W sierpniu 2024 roku NIST opublikował czwartą rewizję standardu SP 800-63B, która fundamentalnie zmienia podejście do haseł. Poprzednia wersja została oficjalnie wycofana w sierpniu 2025, co oznacza, że nowe wytyczne to obowiązujący standard federalny.
Co się zmieniło
| Zasada | Stare podejście | NIST 800-63B Rev 4 |
|---|---|---|
| Minimalna długość | 8 znaków | 15 znaków (gdy hasło jest jedynym uwierzytelnieniem) |
| Złożoność (wielkie litery, cyfry, znaki specjalne) | Wymagana | Zakazana - organizacje “shall not” narzucać reguł kompozycji |
| Okresowa zmiana haseł | Co 60-90 dni | Zakazana - zmiana tylko po potwierdzonej kompromitacji |
| Wklejanie haseł | Często blokowane | Wymagane - ułatwia korzystanie z menedżerów haseł |
| Sprawdzanie na listach wycieków | Opcjonalne | Obowiązkowe - ciągły monitoring baz skompromitowanych haseł |
| Passkeys/synkowalne uwierzytelnianie | Brak wytycznych | Wsparcie na poziomach AAL2 i AAL3 |
TIP
Jeśli Twoja organizacja wciąż wymaga od użytkowników zmiany haseł co 90 dni i stosowania znaków specjalnych - łamiecie aktualne wytyczne NIST. Paradoksalnie, te “surowe” wymagania pogarszały bezpieczeństwo, bo użytkownicy tworzyli przewidywalne wzorce (np. “Haslo1!”, “Haslo2!”, “Haslo3!”).
Dlaczego długość wygrywa ze złożonością
Fizyka łamania haseł jest bezlitosna. Karta graficzna NVIDIA RTX 5090 - dostępna za około 2000 USD - potrafi złamać 8-znakowe hasło numeryczne w zaledwie 3 godziny. Dwanaście takich kart pracujących równolegle robi to w 15 minut.
Ale matematyka działa też w drugą stronę. Każdy dodatkowy znak wydłuża czas łamania wykładniczo:
| Hasło | Długość | Czas łamania (MD5, RTX 5090) |
|---|---|---|
123456 | 6 znaków | < 1 sekunda |
qwerty | 6 znaków | < 1 sekunda |
P@ssw0rd | 8 znaków | kilka godzin |
qwertyqwerty | 12 znaków | tygodnie |
qwertyqwertyqwerty | 18 znaków | wieki |
| Losowe zdanie 4 słów | ~25 znaków | miliony lat |
Algorytm haszowania również ma znaczenie. Bcrypt z kosztem 10 wydłuża czas łamania 8-znakowego hasła alfanumerycznego do około 17 000 lat nawet na RTX 5090. Dlatego OWASP i NIST rekomendują stosowanie silnych algorytmów haszowania po stronie serwera.
Hasła w środowiskach OT - problem domyślnych poświadczeń
W środowiskach IT możemy wymuszać polityki haseł, wdrażać MFA i monitorować logowania. W środowiskach OT sytuacja jest znacznie trudniejsza.
Dlaczego OT to inny świat
Wiele sterowników PLC, paneli HMI i urządzeń sieciowych w środowiskach przemysłowych:
- Nie obsługuje złożonych haseł - niektórzy producenci ograniczają hasło do 4-8 cyfr
- Używa współdzielonych kont - jeden login “operator” dla całego zespołu zmianowego
- Nie loguje prób logowania - brak możliwości wykrycia brute force
- Działa na protokołach bez uwierzytelniania - Modbus RTU, na przykład, nie ma żadnego mechanizmu uwierzytelniania (więcej o tym w analizie protokołu Modbus)
Przypadek Unitronics - anatomia ataku
W listopadzie 2023 roku CISA wydała pilne ostrzeżenie AA23-335A dotyczące ataków na sterowniki Unitronics Vision Series. Przebieg ataku:
- Skanowanie portu TCP 20256 (port PCOM/TCP związany z Unitronics)
- Identyfikacja urządzeń PLC/HMI dostępnych z internetu
- Logowanie domyślnym hasłem “1111”
- Zmiana ustawień HMI, wyłączenie alarmów, restart urządzeń
- Wyświetlenie politycznego komunikatu na panelach HMI
Przypadek ten jest uderzająco podobny do incydentu w Oldsmar, gdzie atakujący wykorzystał zdalny dostęp przez TeamViewer ze współdzielonymi hasłami do próby zmiany stężenia wodorotlenku sodu w systemie uzdatniania wody.
WARNING
CISA potwierdza, że grupy hacktywistyczne aktywnie skanują internet w poszukiwaniu urządzeń OT z domyślnymi lub słabymi hasłami. Jeśli Twoje sterowniki są dostępne z sieci zewnętrznej, to nie jest pytanie “czy”, ale “kiedy” ktoś spróbuje się zalogować.
Passkeys i FIDO2 - przyszłość bez haseł
Passkeys to kryptograficzne poświadczenia oparte na standardzie FIDO2/WebAuthn, które eliminują hasła na rzecz kluczy publicznych i prywatnych. W praktyce logowanie odbywa się za pomocą biometrii (odcisk palca, Face ID) lub PIN-u urządzenia - bez przesyłania jakichkolwiek tajnych danych przez sieć.
Adopcja w liczbach (FIDO Alliance Passkey Index 2025)
- 69% konsumentów posiada co najmniej jeden passkey (wzrost z 39% dwa lata wcześniej)
- 87% organizacji wdrożyło lub wdraża passkeys w środowisku enterprise
- 48% z top 100 stron oferuje passkeys jako metodę logowania
- 90% organizacji raportuje umiarkowaną lub silną poprawę bezpieczeństwa po wdrożeniu
- 77% organizacji odnotowało spadek zgłoszeń do help desku
NIST SP 800-63B Rev 4 oficjalnie wspiera passkeys na poziomach AAL2 i AAL3, co oznacza, że mogą być stosowane nawet w środowiskach o podwyższonych wymaganiach bezpieczeństwa.
NOTE
Passkeys nie rozwiązują problemu OT. Sterownik PLC zainstalowany 15 lat temu nie obsługuje WebAuthn. W środowiskach przemysłowych kluczowe pozostają: segmentacja sieci, monitoring dostępu i eliminacja domyślnych poświadczeń - nawet jeśli “hasło” to cztery cyfry na panelu HMI.
Jak skutecznie chronić hasła - praktyczna checklista
Dla użytkowników indywidualnych
- Używaj menedżera haseł (np. Bitwarden, 1Password, KeePassXC)
- Włącz MFA na wszystkich kontach - priorytet: email i bankowość
- Sprawdź swoje dane na Have I Been Pwned
- Przejdź na passkeys tam, gdzie to możliwe (Google, Microsoft, Apple)
- Stosuj unikalne hasła - minimum 15 znaków lub frazy składające się z 4+ losowych słów
- Nigdy nie używaj tego samego hasła w więcej niż jednym serwisie
Dla organizacji IT
- Wdróż politykę haseł zgodną z NIST 800-63B Rev 4 (minimum 15 znaków, bez wymuszania złożoności)
- Zlikwiduj okresową zmianę haseł - zastąp ją monitoringiem baz wycieków
- Wdróż MFA odporne na phishing (FIDO2/passkeys) dla dostępu do systemów krytycznych
- Zintegruj sprawdzanie haseł z bazami wycieków (np. Have I Been Pwned API)
- Przeprowadzaj regularne testy penetracyjne obejmujące atak na hasła
- Wdróż monitorowanie prób credential stuffing na systemach SSO
Dla środowisk OT
- Zinwentaryzuj wszystkie domyślne hasła na PLC, HMI, switchach przemysłowych i routerach
- Zmień każde domyślne hasło na unikalne, maksymalnie złożone w ramach ograniczeń urządzenia
- Odetnij urządzenia OT od bezpośredniego dostępu z internetu
- Wdróż segmentację sieci ze strefami i korytarzami zgodnie z IEC 62443
- Stosuj jump-hosty z MFA dla zdalnego dostępu do systemów OT
- Loguj i monitoruj wszystkie próby dostępu do urządzeń - nawet jeśli urządzenie nie wspiera natywnego logowania, ruch sieciowy można monitorować na poziomie sieci
Credential stuffing - najczęstszy atak na hasła w 2025
Credential stuffing to zautomatyzowane wykorzystywanie par login-hasło z wycieków w innych serwisach. Atakujący zakłada, że użytkownicy używają tych samych haseł w wielu miejscach - i często ma rację.
Analiza Verizon DBIR 2025 logów dostawców SSO pokazała, że w medianie 19% wszystkich prób uwierzytelnienia to próby credential stuffing. Jednocześnie tylko 49% haseł użytkowników było unikalnych w różnych serwisach.
Obrona przed credential stuffing wymaga podejścia wielowarstwowego:
- Unikalne hasła - menedżer haseł to jedyne realistyczne rozwiązanie przy dziesiątkach kont
- MFA - nawet jeśli hasło zostanie skradzione, drugi faktor blokuje atak
- Monitorowanie anomalii - nietypowe lokalizacje, urządzenia, godziny logowania
- Rate limiting - ograniczenie liczby prób logowania z jednego IP/sesji
- Sprawdzanie haseł na listach wycieków - przy rejestracji i logowaniu
Podsumowanie
Bezpieczeństwo haseł nie jest problemem technologicznym - to problem nawyków. NIST SP 800-63B Rev 4 oficjalnie potwierdza to, co eksperci mówili od lat: długość wygrywa ze złożonością, okresowa zmiana haseł szkodzi, a przyszłość należy do uwierzytelniania bezhasłowego.
W środowiskach IT przejście na passkeys i MFA jest realistyczne już dziś. W środowiskach OT droga jest dłuższa - ale zaczyna się od podstaw: inwentaryzacja domyślnych haseł, segmentacja sieci i monitoring dostępu.
Jedno jest pewne: “1111” na sterowniku PLC podłączonym do internetu nie jest hasłem. To zaproszenie.
Źródła
- NIST SP 800-63B Revision 4 - Digital Identity Guidelines: Authentication and Lifecycle Management
- Verizon 2025 Data Breach Investigations Report - statystyki naruszeń i credential stuffing
- CISA Advisory AA23-335A - IRGC-Affiliated Cyber Actors Exploit PLCs
- FIDO Alliance Passkey Index 2025 - adopcja passkeys w enterprise i wśród konsumentów
- Have I Been Pwned - baza wycieków i narzędzie weryfikacji
- Hashcat RTX 5090 Benchmark - testy wydajności łamania haseł
- Tom’s Hardware - RTX 5090 Password Cracking - benchmarki łamania haseł
- Deepstrike - Compromised Credential Statistics 2025