IPv6 już dla wszystkich

Testy IPv6 przeszły pomyślnie i udało się nam udostępnić wszystkie usługi dla naszych klientów, którzy mają włączone ipv6. Jedyny problem mieliśmy z serwerem imap który, nie zaczął nasłuchiwać na adresie ipv6 i powodował chwilowe odrzucanie połączeń, zgłosił nam to jeden z naszych klientów, który posiada ipv6 w telefonie komórkowym, problem jednak został szybko naprawiony, jednocześnie informujemy, że agent do odbierania i wysyłania poczty od początku działał poprawnie i żadna wiadomość nie zniknęła lub nie zaginęła w drodze do naszego serwera. Teraz usługa ipv6 jest dostępna dla wszystkich klientów, nawet jeśli tego nie wiedzą możliwe jest, że już tego używają.

Problemy ipv6 – organizacyjne

Głównym problemem z ipv6 będzie ogromna ich liczba dlaczego? Otóż podstawowym sposobem zdobycia dostępu do cudzego konto jest zgadywaniem hasła użytkownika metodą np. brutal force, czyli wysyłanie stałych prób logowania na dane konto z coraz to innym hasłem. Odbywa się to słownikowo, czyli podane hasła ze słownika gotowe wyrazy albo najpopularniejsze hasła jak „hasło123”, albo trudniejsze i wymagające więcej zasobów używanie losowe znaki, czyli po kolei kombinacje liter i cyfr. Dlatego tak ważne jest, aby hasło nie było łatwe do zgadnięcia. Dobrą metodą zakłócenia takich działań jest zablokowanie ich źródła, adresu IP, po odpowiedniej liczbie zapytań o hasło. Sprawia to, że inny użytkownik może się zalogować na swoje konto nawet nie wiedząc o tym, że od jego ostatniego logowania ktoś próbował zgadnąć jego hasło np. 100 razy. I tutaj jest właśnie problem, jak połączymy liczbę adresów ipv6 i metodę ataku jak podczas ddos gdzie wiele komputerów próbuje się dostać na jedno konto używając różnych zestawów haseł sprawia, że mając do dyspozycji jeden blok adresów ipv6 w ilości na przykład 10000 pomnożone przez 10 prób zgadnięcia, zanim adres zostanie zablokowany daje niebagatelną liczbę 100 tys. spróbowanych haseł, gdzie już istnieje ryzyko złamania hasła.

Jak z tym walczyć?

Banki chronią się dodatkowo tym, że losowe są zarówno identyfikatory (nazwy użytkownika), jak i trudne hasła, a jak ktoś będzie wiele razy próbował się zalogować sprawi to, że dane konto zostanie zablokowane i już nikt się do niego nie dostanie. Dlatego nasze konta zazwyczaj są bezpieczne, dopóki ktoś nie pozna, chociaż nazwy użytkownika, gdyż nieprawidłowe logowanie nie mówi (przynajmniej nie powinno) czy jest to blednę hasło, czy użytkownik. W naszym przypadku konkretniej adresów E-mail problem jest taki, że każdy oczekuje, że będzie się logował swoim adresem E-mail jako użytkownikiem i swoich hasłem, czyli jak znam adres E-mail mam teoretycznie 50% sukcesu (praktycznie około 0,1%) i mogę zgadywać hasło do woli. Jest to oczywiście problem na tyle duży, że dziennie nasz automatyczny system wykrywania prób zgadnięcia hasła blokuje średnio 20 różnych adresów IP, jeśli chociaż 2 z tych komputerów będą zgadywać hasła jednego użytkownika a zazwyczaj tak jest to jesteśmy w kropce, ponieważ klient by musiał dzwonić, że zablokowało mu konto a my musielibyśmy je odblokowywać i tak w kółko.

Jak się przed tym chronić

Pierwsza zasada nie ma łatwych haseł, wszystkie hasła były sprawdzane (co było kłopotliwe, zwłaszcza że hasła są przechowywane w sposób zaszyfrowany i nie da się ich odszyfrować, bynajmniej nie w szybki sposób). Wymusiliśmy na użytkownikach zmianę tych haseł i od dzisiaj wprowadziliśmy, aby hasło zawierała małe, wielkie litery, cyfry oraz znaki specjalne. Co znacząco utrudnia jego zgadnięcie a większość użytkowników i tak ma zapamiętane hasła w programach pocztowych i przeglądarkach, przez co nie potrzebują ich wpisywać ręcznie, ponieważ od ich zapamiętania jest program zewnętrzny.
Dodatkowo odpowiednia liczba prób zgadnięcia hasła sprawi, że administrator dostanie informacje, że coś się dzieje na danym koncie, a jeśli on nie zareaguje, bo jest na przykład weekend, to blokada konta załączy się automatycznie przy dość dużej liczbie zgadywania haseł. Liczba jest na tyle duża, że nie powinno wpłynąć to na zwykłych użytkowników, a jednocześnie sprawi, że konto będzie bezpieczniejsze.