123456 i qwerty to zły pomysł. Jak stworzyć bezpieczne hasło? [PRZYKŁADY]

Jak stworzyć dobre hasło?

W pierwszy czwartek maja obchodzimy światowy dzień hasła. Tak naprawdę jednak o silnym haśle dla własnego interesu i bezpieczeństwa powinniśmy pamiętać cały rok. Bezpieczne hasło wyróżnia:

• Długość — zasadniczo im więcej znaków zawiera, tym trudniej je złamać;

• Zróżnicowanie znaków — dobre hasło to zestawienie cyfr, małych i wielkich liter oraz znaków specjalnych;

• Poziom skomplikowania — trzeba użyć kombinacji zwrotów zamiast jednego słowa ze słownika języka polskiego;

• Unikalność — każde osobne konto powinno być zabezpieczone innym haseł;

• Łatwość zapamiętania — hasło powinno być łatwe do zapamiętania.

Wymagań jest więc całkiem sporo. Niemniej każdy szczegół ma znaczenie, a tylko silne hasło minimalizuje ryzyko tego, że ktoś wykradnie nasze dane i pieniądze. Na szczęście istnieją też techniki pozwalające na wymyślenie haseł, które równocześnie są mocne i łatwe do zapamiętania. 

Optymalna długość mocnego hasła

Co jakiś czas następuje masowy wyciek haseł. Są to wydarzenia, które same w sobie są groźne. W dodatku można z nich wyciągnąć niepokojące wnioski. Wycieki wskazują bowiem między innymi na najpowszechniej wykorzystywane hasła. Wśród nich znajdziemy chociażby 123456 i qwerty. Tego typu hasła nie stanowią praktycznie żadnego zabezpieczenia. Mają one mnóstwo wad, a jedną z nich jest niewystarczająca długość.

(hivesystems.io)

Dłuższe hasła są znacznie trudniejsze do złamania. Stąd można stwierdzić, że im dłuższe hasło tym poziom bezpieczeństwa wyższy. Można powiedzieć, że trudne hasło zawiera co najmniej 15 znaków.

Cyfry, wielkie i małe litery oraz znaki specjalne w haśle

Podczas określania hasła np. do bankowości internetowej system wymusza stworzenie zróżnicowanego hasła. Dotyczy to pojawienia się w haśle cyfr, małych i wielkich liter oraz znaków specjalnych. Tylko takie hasło zostanie zaakceptowane przez system bankowy do zabezpieczenia konta osobistego lub firmowego.

Wysoce zróżnicowane hasło pod względem typów znaków znacznie zwiększa bezpieczeństwo. Wskazówki systemów są więc bardzo pomocne. Najlepiej jednak w miarę możliwości samemu świadomie różnicować typy znaków w haśle. Za dobry nawyk można więc uznać użycie więcej niż jednego znaku specjalnego.

Jednocześnie trzeba pamiętać, że samo podmienienie niektórych liter za podobnie wglądające cyfry i znaki specjalne to nierzadko kiepski pomysł. Przykładowo takie hasło: Pa$$w0rd jest relatywnie popularne, o czym wiedzą też cyberprzestępcy. Bezpieczne hasła to zaś takie, z których nie korzysta nikt inny. 

Paradoksalnie należy też być ostrożnym ze stosowaniem polskich znaków w haśle. Ich użycie, podobnie jak znaki specjalne, wprowadza dodatkowe zróżnicowanie. Jednakże sporo systemów dostępu po prostu nie obsługuje takich znaków, jak np. „ą” lub „ź”.

Dobre hasło nie powinno znajdować się w słowniku

Jednym z popularnych sposobów na określenie hasła jest wybranie możliwie najdłuższego słowa. Przykładowo niektórzy używają najdłuższego polskiego słowa i określają hasło jako konstantynopolitańczykowianeczka. Takie hasło zawiera aż 32 znaki, co pozornie czyni je bardzo mocnym.

Jednakże każde słowo, które można znaleźć w słowniku, jest łatwe do odgadnięcia dla hakera. Wystarczy, że wykorzysta on tzw. metodę słownikową. Takowa polega na automatycznym podawaniu kolejnych słów zawartych w ogromnej bazie danych, aż w końcu uda się trafić i uzyskać dostęp do czyjegoś konta. Tak samo jest z popularnymi zwrotami. Przykładowo alamakota to słabe hasło. Podobna sytuacja tyczy się zwrotów z obcego języka, np. angielskich idiomów.  Zdecydowanie lepiej jest używać kombinacji niepowiązanych ze sobą słów.

Wystrzegać trzeba się też haseł zawierających dane osobowe. Polacy dość często w hasłach używają imion i dat urodzenia. Przykładem jest tu hasło Monika1990. Hasła stworzone w ten sposób mogą jednak zapewniać wyłącznie iluzoryczne poczucie bezpieczeństwa.

Hasło powinno być jednocześnie trudne do odgadnięcia i łatwe do zapamiętania

Z jednej strony hasło powinno być na tyle skomplikowane, by żaden haker nie był w stanie go odgadnąć. Ze względów praktycznych hasło powinno być jednak dla nas łatwe do zapamiętania. Jedną z technik, która to umożliwia, jest łącznie słów i pół-słów.

W ten sposób można tworzyć mini historię lub krótkie opisy, co sprawia, że hasło łatwo zapamiętać. Wskazane jest to, by ułożone w ten sposób zdania nie miało logicznego sensu. Wtedy to złamanie hasła stanie się dużo trudniejsze. 

Zastosować można też inne techniki w pewnym stopniu bazujące na grze słów. De facto wymyślenie hasła może być naprawdę ciekawym doświadczeniem, podczas którego można wykazać się odrobiną kreatywności.

Przykładowe sposoby wymyślenia mocnych haseł 

Chcąc stworzyć bezpieczne i trudne hasło, można sięgnąć po różne techniki. Przykłady mocnych haseł są następujące:

• zielony#KOTlecacy12NA#wenus — to hasło jest odpowiednio długie, ponieważ liczy 27 znaków. Przedstawia one pewną abstrakcyjną historię. Przez to hasło można relatywnie łatwo zapamiętać, a jednocześnie trudno je odgadnąć osobie postronnej.

• YvsX>z7S>2-Xp0yWQ — jest to hasło składające się z losowch znaków stworzone przez generator haseł. Technicznie rzecz biorąc, jest bardzo skomplikowane i bezpieczne hasło. Może być ono jednak mało praktyczne, ponieważ trudno je zapamiętać.

• Spoziony->BwupcwtNumer517<- — to trudne hasło powstaje ze zwrotu „Spozniony->AutobusNumer517<-”. Jednocześnie litery w słowie „Autobus” zostały przesunięte zgodnie z kolejnością w alfabecie. Przykładowo „A” zamieniono na „B”. Dodano tu jeszcze znaki specjalne. W konsekwencji jest to bezpieczne hasło, które trudno odgadnąć.

• Brdzk5$lubie$5pitki — rzeczone hasło powstało od łatwego do zapamiętania zdania „Bardzo lubię piątki”. Równocześnie usunięto tu literę „a”, zaś literę „o” zamieniono na „k”. Całość uzupełniono przez dodanie cyfr oraz znaków specjalnych.

• Maniniebymouprze3,142^ — ten pomysł na hasło trudne do złamania powstał ze zdania „Matematyka nigdy nie była moim ulubionym przedmiotem”. Jednakże użyto tu wyłącznie pierwszych sylab każdego słowa, a na końcu podano wartość liczby pi do trzeciego miejsca po przecinku. Koniec, końców ten ciąg znaków spełnia wszelkie kryteria bezpiecznego hasła.

Żadnego z powyższych haseł nie należy samemu używać. Powyższe przykłady są ukazane wyłącznie po to, by ukazać tok myślenia, jakim można się kierować, podczas określania silnych haseł. Żadne hasło, które jest publicznie dostępne, np. w Internecie nie zapewnia bezpieczeństwa.

Hasło zawsze powinno pozostać tajemnicą

Nade wszystko trzeba uważać, by samemu nie podać swojego hasła cyberprzestępcom. To wbrew pozorom dość częste zjawisko. Cyberprzestępcy przeprowadzają zmasowane ataki phishingowe, by z zastosowaniem socjotechnik uzyskać dostęp do naszych danych i haseł. Nigdy nie powinniśmy więc klikać podejrzanych linków, jakie otrzymujemy przez SMS lub wiadomości e-mail.

W żadnym wypadku nie możemy też nikomu ujawniać naszych haseł. Dotyczy to w szczególności pracowników banku. Jeśli ktoś przedstawia się jako przedstawiciel banku i prosi nas o podanie hasła logowania do bankowości internetowej, to możemy założyć, że mamy do czynienia z oszustem.

Korzystanie z unikalnych haseł jest ważne

Inwestorzy podczas lokowania kapitału zawsze kierują się zasadą dywersyfikacji ryzyka. W jej myśl nigdy wszystkich środków finansowych nie trzyma się w jednym miejscu. Podobną zasadę trzeba przyjąć podczas zarządzania hasłami. Każde osobne konto powinno mieć własne unikalne hasło. 

Ryzykownym pomysłem jest więc używanie jednego hasła do kont bankowych, skrzynek mailowych, profili na social mediach i wszystkich innych portali internetowych. Jeśli bowiem haker wykradnie nasze hasło, to będzie miał ułatwiony dostęp do wszystkich kont, z których skorzystamy. Usilnie zaleca się więc, by jedno hasło wykorzystywać wyłącznie w jednym miejscu.

Gdzie zapisywać hasło?

Każde hasło powinno być trudne do odgadnięcia i unikalne. Współcześnie korzystamy zaś z szeregu portali, w których dostęp jest zabezpieczony podaniem ciągu znaków przypisanych do naszego konta. Bywa więc, że do zapamiętania mamy co najmniej kilka haseł. Zasadniczo hasła nie powinniśmy nigdzie zapisywać. Wskazane jest, abyśmy je po prostu pamiętali.

Jeśli już jednak ktoś decyduje się na spisanie hasła, to powinien to bardzo dokładnie przemyśleć. Hasło w formie pisemnej powinno być dostępne wyłącznie dla osoby, która go używa. Przykładowo więc przechowywanie danych dostępowych w notatniku na telefonie lub w portfelu jest mało rozsądnym podejściem. Gdyby te przedmioty zostały wykradzione, to złodziej uzyskałby przecież dostęp do naszych haseł.

Jak sprawdzić, czy moje hasło nie wyciekło?

Na całym świecie działają zorganizowane grupy cyberprzestępców, a ich działania stają się coraz bardziej metodyczne i profesjonalne. W coraz większym stopniu światowa gospodarka polega na cyfrowych danych. Stąd za pewnik można uznać to, że zmasowanych cyberataków i prób wykradnięcia haseł będzie coraz więcej.

Na szczęście silne i trudne hasło minimalizuje ryzyko tego, że cyberprzestępcy je wykradną. De facto praktycznie każde hasło można odgadnąć. Jednakże odgadnięcie jednego hasła zajmuje dosłownie sekundę, a innego wymagałoby wręcz nieskończonego czasu. Dlatego też silne hasło to podstawa naszego bezpieczeństwa.

Cały czas powinniśmy przy tym upewniać się, że nie nastąpił żaden wyciek hasła, z którego korzystamy. W tym zakresie pomaga między innymi przeglądarka internetowa. Jeśli po wpisaniu hasła w przeglądarce pojawi się monit pt. „Zmień hasło”, to należy bezzwłocznie zastosować się do tej instrukcji. 

(Zrzut ekranu z Google Chrome)

Warto też systematycznie sprawdzać, czy nasze dane nie wyciekły. Służy do tego między innymi ta strona internetowa. Pozwala ona stwierdzić, czy dane przypisane do naszego adresu e-mail nie zostały upublicznione. Wystarczy tylko wpisać swój adres e-mail i kliknąć niebieski przycisk.

Sprawdź również: Jak bezpiecznie korzystać z bankowości elektronicznej?

W jakich odstępach należy zmieniać hasło?

Jedna z uniwersalnych zasad bezpieczeństwa mówi o tym, by hasło dostępu zmieniać systematycznie. Nie oznacza to jednak, że hasło trzeba uaktualniać np. co tydzień. Byłoby to mało praktyczne i trudne do zrealizowania. Można jednak przyjąć, że zmiany hasła powinno się dokonywać systematycznie, np. co parę miesięcy.

Naturalnie zdarzają się sytuacje, gdy hasło do swojego konta powinno się zmienić bezzwłocznie. Tak jest, gdy mamy nawet najmniejsze podejrzenia, że ktoś inny mógł uzyskać dostęp do naszego hasła.

Czy warto korzystać z menadżera haseł?

Typowy internauta ma mnóstwo kont. Wszakże już samych rachunków bankowych można mieć kilka, a do każdego powinno się wykorzystywać inne hasło. Do tego trzeba doliczyć szereg różnych serwisów społecznościowych, e-sklepów, czy maili prywatnych i służbowych. Zapamiętanie przykładowo kilkudziesięciu haseł i ich systematyczna zmiana może się po prostu okazać niewykonalna.

Rozwiązaniem tego problemu jest zastosowanie menadżera haseł. To oprogramowanie, które służy do zapamiętywania haseł dostępowych. Korzystanie z menadżera haseł ma dużo plusów:

• Menadżer ustala niezwykle długie i skomplikowane hasło, którego odgadnięcie jest praktycznie awykonalne;

• Dla każdego konta menadżer zapewnia całkowicie unikatowe hasło;

• Użytkownik zapamiętuje tylko jedno hasło, czyli to otwierające dostęp do menadżera;

• Obsługa tego oprogramowanie jest bardzo prosta;

• Na rynku znaleźć można mnóstwo menadżerów haseł online, także tych w darmowej wersji.

Menadżer haseł to więc rozsądne rozwiązanie. Z pewnością lepiej go zastosować niż używać jednego hasła do wszystkich swoich kont. Trzeba jednak mieć świadomość, że nawet profesjonalny menadżer w wersji płatnej nigdy nie zagwarantuje absolutnie 100% bezpieczeństwa. Cyberprzestępcy czynią bowiem starania, by zdobyć dane przechowywane właśnie przez taki menadżer.  W sieci znajdziemy też generatory haseł. To oprogramowanie, które tworzy losowe hasło przez łączenie ze sobą różnych znaków.

Dlaczego uwierzytelnienie dwuskładnikowe jest tak ważne?

Trudne do złamania hasło to zawsze fundament zabezpieczenia dostępu do naszego konta. Zawsze jednak lepiej jest korzystać z więcej niż jednego zabezpieczenia. Właśnie dlatego w przypadku bankowości elektronicznej korzystamy z uwierzytelnienia dwuskładnikowego.

Gdy więc chcemy przesłać przelew, to nie tylko logujemy się do konta, ale też podajemy kod autoryzacyjny. Ten kod możemy otrzymać przez SMS lub aplikację mobilną banku. Powinniśmy zwracać tu uwagę nie tylko na sam kod, ale i na dodatkowe informacje, jakie otrzymujemy w ten sposób. Przykładowo w SMS-ie z kodem autoryzacyjnym pojawia się kwota przelewu i końcówka numeru konta. Sprawdzenie tych informacji może nas uchronić przed przesłaniem błędnego przelewu.

Jaka przyszłość czeka systemy zabezpieczeń?

Banałem jest stwierdzenie, że rozwój technologiczny przyspiesza. Ciągle tez słyszymy o tym, że nowe technologie nie tylko szanse, ale i zagrożenia. Jednakże do kwestii bezpieczeństwa zawsze trzeba podchodzić w pełni poważnie. Pojawiają się kolejne zagrożenia, przez co stale powinniśmy aktualizować swoją wiedzę dotyczącą cyberbezpieczeństwa i tworzenia bezpiecznych haseł.

Systemy zabezpieczeń ciągle ewoluują. Prawdopodobnie prędzej czy później czekają nas też prawdziwe rewolucje. Być może za jakiś czas do banku powszechnie będziemy logować się przez metody biometryczne, np. przez skan twarzy lub przy pomocy odcisku palca. Póki co, pamiętajmy o tym, jak ważne jest używanie silnych haseł dostęp do wszystkich naszych kont.