Dobre hasła – jak zadbać o bezpieczeństwo i nie zwariować

analityk Bankier.pl

Co najmniej 8 znaków, jedna wielka litera i jeden znak specjalny – ten zwrot zna chyba każdy, kto korzystał z jakiejkolwiek usługi w sieci. Mimo znanych słabości hasła nadal są najpowszechniej stosowanym „cyfrowym kluczem” strzegącym dostępu do naszych danych w bankach, sklepach online i urzędach. Często jednak idziemy na skróty i używamy tych samych kombinacji w wielu miejscach, narażając się w ten sposób na niebezpieczeństwo.

Słowa „wyciek danych” przewijają się w medialnych doniesieniach już tak regularnie, że powoli przestajemy zwracać na nie uwagę. W ostatnich tygodniach zwrot ten pojawił się np. w kontekście usługi Dropbox. Firma przyznała, że kilka lat temu z jej bazy wykradziono dane 68 mln klientów, w tym adresy e-mail i hasła do kont cyfrowej chmury.

Dobre hasła – jak zadbać o bezpieczeństwo i nie zwariować
Dobre hasła – jak zadbać o bezpieczeństwo i nie zwariować (fot. Yellowj / YAY Foto)

Każdy szanujący się biznes prowadzący działalność w sieci przechowuje dane dostępowe swoich użytkowników w zaszyfrowanej formie. W tej dziedzinie wyłonił się już zestaw dobrych praktyk polegających na użyciu sprawdzonych algorytmów tzw. hashujących oraz dodatkowo „soleniu” haseł, czyli dodawaniu do nich losowych ciągów znaków. Nie oznacza to jednak, że wycieki informacji przestały być niebezpieczne – przestępcy dysponują narzędziami pozwalającymi na stosunkowo szybkie odczytanie najczęściej powtarzających się kombinacji, a czasami pomaga im dodatkowo niedbałość po stronie niedostatecznie zabezpieczonego usługodawcy.

Jeśli aktywnie korzystamy z sieci, to są spore szanse, że nasze dane już znalazły się na „wolnym rynku”. Z reguły powiadamia nas o tym fakcie serwis, który padł ofiarą ataku (jak ostatnio LinkedIn czy Dropbox). Możemy również sami sprawdzić, czy nasz adres e-mail pojawia się w zrzutach baz danych z największych włamań. Prostą wyszukiwarkę znajdziemy pod wiele mówiącym adresem HaveIBeenPwnd.

Na szczególne niebezpieczeństwo narażamy się, jeśli:

  • Nasze hasło jest słabe, a więc opiera się na nadużywanych kombinacjach (typu „haslo1234”) lub składa się ze słów, które można znaleźć w słowniku i jest krótkie. Przestępcy będą w stanie szybko poznać jego treść, nawet jeśli w ich ręce wpadła baza danych w zaszyfrowanej postaci.
  • Używamy tego samego hasła w wielu serwisach. Wówczas oszuści mogą z powodzeniem przejąć nasze kolejne konta, zdobywając dostęp do następnych usługodawców. Szczególnie niebezpieczne będzie włamanie na konto e-mail, które gromadzi wrażliwe dane i może służyć do odzyskiwania „zapomnianych” haseł.

Użyj narzędzi albo stwórz swój system

Konieczność zapamiętywania dziesiątek loginów i haseł oraz rosnące wymogi dotyczące sposobu konstrukcji kodów doprowadziły do sytuacji, w której wielu internautów wybiera najprostsze możliwe rozwiązanie – niemal wszędzie stosuje te same „klucze”, być może z wyjątkiem najbardziej krytycznych usług (np. rachunków bankowych). Inni korzystają z podsuwanych przez producentów przeglądarek funkcji zapamiętywania haseł. Wrażliwe dane jest jednak stosunkowo łatwo wydobyć z komputera ofiary, a czasem winę za to ponosi dostawca oprogramowania.

Spore grono zwolenników znalazły także programy do zarządzania hasłami. Pozwalają one generować losowe, silne hasła i wiązać je z poszczególnymi serwisami. Odpowiednie dodatki do przeglądarek dają wówczas możliwość zalogowania się do menedżera (za pomocą wybranego przez użytkownika „superhasła”) i automatycznego wypełniania pól w formularzach. Często towarzyszą im aplikacje mobilne pozwalające na swobodny dostęp do „sejfu” na różnych urządzeniach. Producentom menedżerów haseł niestety również zdarzały się w przeszłości wpadki, narażające ich użytkowników na niebezpieczeństwo.

Przy odrobinie wysiłku można stworzyć jednak system, który opiera się wyłącznie na naszej pamięci i spełnia jednocześnie wymogi siły haseł oraz niepowtarzalności. Idea jest prosta – potrzebujemy:

  • Mocnego hasła, które będzie bazą dla haseł stosowanych w różnych serwisach,
  • Prefiksu lub sufiksu, który będzie zmienny – inny w każdym serwisie, z którego korzystamy.

Kilka sposobów na mocną „bazę”

Zestaw wymogów, jakie powinno spełniać dobre hasło jest powszechnie znany. Warto jednak przypomnieć najczęściej powtarzane wskazówki:

  • Odpowiednia długość – co najmniej 8 znaków,
  • Użycie różnych typów znaków – wielkich liter, cyfr, znaków specjalnych,
  • Brak odniesienia do łatwych do zdobycia informacji o użytkowniku – np. imion dzieci, daty urodzenia itp.
  • „Pseudolosowość” – hasło nie powinno zawierać słów, które można odgadnąć metodą słownikową, czyli poprzez wypróbowywanie poszczególnych kombinacji dla różnych języków.

Każdy sposób, który pozwala wygenerować hasło spełniające powyższe wymogi, jest dobry. Aby zapamiętać efekt, musimy jednak zazwyczaj sięgnąć po dwa elementy – nazwijmy je „inspiracją”, czyli czymś, co będzie łatwe do przywołania w pamięci oraz „tajemnicą”, czyli sposobem, w jaki przekształcamy inspirację w hasło.

Inspiracją może być np. fragment z ulubionej książki i rok jej wydania (np. „Litwo, Ojczyzno moja! Ty jesteś jak zdrowie”, 1834), adres ulubionej restauracji (np. Opole, ul. Ruska 42) czy nazwa i tempo ulubionej piosenki (Darude "Sandstorm!",136 BPM).

Tajemnica, czyli algorytm stosowany do stworzenia hasła, może opierać się na jednym albo wielu stosowanych łącznie podejściach. Jedynym ograniczeniem w tym przypadku jest wyobraźnia. W wielu poradnikach podsuwa się np.:

  • Usuwanie samogłosek – z wersu z „Pana Tadeusza” powstanie hasło „Ltwjczznmj!1834”.
  • Odwracanie kolejności znaków – „elopO.luaksuR24”.
  • Mieszanie znaków z kolejnych wyrazów, np. parami – „DaSarunddestorm!136”.
  • Przesuwanie znaków np. o jeden znak w prawo na klawiaturze („Litwo! Ojczyzno 1834” stanie się „:osep@Pkvxuxmp2945”) itp.

Niezbyt rozsądnym pomysłem jest natomiast proste zastępowanie liter innymi znakami (w tym tzw. leet speak – np. M4rt4 zamiast Marta). Podobno metoda ta stała się na tyle często stosowana, że oszuści uwzględniają ją w próbach odcyfrowania pozyskanych baz haseł.

Inne hasło w każdym serwisie

Mając gotowe bazowe hasło, możemy prosto wygenerować unikalny kod dla każdego z wykorzystywanych przez nas kont. Wystarczy dodać na jego początku (prefiks) lub końcu (sufiks) ciąg znaków stworzony np. z adresu internetowego witryny. Może to być pełna nazwa (np. amazon) lub przekształcona w dowolny sposób (np. pierwsze 4 znaki pisane wielkimi literami). W ten sposób, trzymając się podanych wcześniej przykładów,  z adresu ulubionej restauracji otrzymamy niepowtarzalne hasło „elopO.luaksuR24AMAZ”, spełniające wszystkie wymogi silnego klucza.

Jeśli za jakiś czas otrzymamy niespodziewanego maila, w którym usługodawca informuje, że przestępcy uzyskali dostęp do jego bazy danych, to będziemy mogli być pewni, że nawet po zdobyciu hasła w wersji jawnej, nie będą w stanie wykorzystać go na innych naszych kontach. Jeśli natomiast zapragniemy na wszelki wypadek zmienić wszystkie używane hasła, to wystarczająca będzie zmiana „bazy”.

Michał Kisiel

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
0 1 ~autor

Jarosław Nieinternowany ma najbezpieczniejsze hasło na świecie. Nikt się nie zaloguje do jego skarpety.

! Odpowiedz
0 1 ~hasło

BArdzo lubie tę pseudowiedzę sprzed 20 lat kiedy 8 znaków to było coś.
W epoce hashcata i kombajnów z 8 kart do kopania bitcoina minimum to 12 i to losowe P. Kisiel , a i to w nie każdym przypadku.
Proszę nie szerzyć pseudowiedzy która daje jedynie złudę bezpieczeństawa.

! Odpowiedz
0 0 ~Michał

Jak to mówił jeden pan w jednym filmie na cwaniaka znajdzie się zawsze drugi cwaniak i jak ktoś chce Cię okraść to uwierz mi okradnie Cię choćbyś 2 dni siedział i myślał nad hasłem, są tacy "spece" na tym świecie którzy to potrafią. Lepiej mieć takie hasło o którym pisze autor artykułu (nawet jeśli to naiwne Twoim zdaniem ) niż hasło typu 1234 albo imię swojej dziewczyny powiedzmy marta123, problemem jest że lubię mają takie właśnie hasła i o ty jest ten artykuł a nie o tym że jak ustawisz sobie dobre hasło to możesz spać spokojnie.

Pokaż cały komentarz ! Odpowiedz
3 8 ~Łaśka

Uwielbiam durnych internautów który myślą że milion cyberprzestępców czycha na ich wypierdziane kontka. I co oni by tam znaleźli? Zdjęcia z Egiptu i skan reklamacji ze sklepu CCC? Weżcie sie ogarnijcie.
NIKT GOLASOM NA KONTA NIE WCHODZI BO I PO CO????

ps. mój passawd: du*adupa*ai jeszczerazdu*a :-)

! Odpowiedz
1 5 ~polskigupek

brawo ! za szczerość !!!
....to o czym piszesz to buffonada i mania wyższości ! , biednego zajechanego narodu ,który ma aspiracje do ''potęgi Europy ''......żałosne z politowaniem ,,,,(vide Macierewicz )......

! Odpowiedz
3 3 ~Jakub

Prosty przepis na najmocniejsze i łatwo zapamiętywalne hasła jest tu: https://xkcd.com/936/

! Odpowiedz
3 5 ~wdedr

Czemu na bankier.pl nic o przegranej mbanku z frankowiczami ? Wyrok prawomocny z wczoraj.
Jak bank wygrywał kiedys od razu klepali news-y.

! Odpowiedz
1 6 ~Doświadczony

Bezpieczeństwa chyba zapewnić się nie da.Zwariować tak.

! Odpowiedz
2 6 januszcebulak

Ściągnijcie sobie KeePass. Na każdym serwisie mam inne hasło, 16-32 znaki, duże, małe litery, cyfry, znaki specjalne. Bazę wrzuciłem na google drive więc mam dostęp z każdego urządzenia.

! Odpowiedz
5 0 ~cykor21

Przecież te algorytmy, które zaproponował Pan redaktor to masakra...kto taki ciąg znaków zapamięta?

Hasło może mieć więcej niż 8 znaków i łatwiej jest użyć całego zwrotu, np. 7mld_na_Polskie_drogi

Ważniejsze jest i tak, aby zmieniać hasło regularnie, bo każde hasło da się złamać - teraz większość poważnych seriwsów i tak wymusza taką zmianę.

Pokaż cały komentarz ! Odpowiedz

Księgarnia Bankier.pl

Zasady wywierania wpływu na ludzi. Szkoła Cialdiniego Zasady wywierania wpływu na ludzi. Szkoła Cialdiniego ilustracje: Andrzej Mleczko, Robert B. Cialdini Cena: 34,90 zł  Zamów książkę

Porównaj i kup ubezpieczenia turystyczne

Zapisz się na bezpłatny newsletter Bankier.pl