Co najmniej 8 znaków, jedna wielka litera i jeden znak specjalny – ten zwrot zna chyba każdy, kto korzystał z jakiejkolwiek usługi w sieci. Mimo znanych słabości hasła nadal są najpowszechniej stosowanym „cyfrowym kluczem” strzegącym dostępu do naszych danych w bankach, sklepach online i urzędach. Często jednak idziemy na skróty i używamy tych samych kombinacji w wielu miejscach, narażając się w ten sposób na niebezpieczeństwo.
Słowa „wyciek danych” przewijają się w medialnych doniesieniach już tak regularnie, że powoli przestajemy zwracać na nie uwagę. W ostatnich tygodniach zwrot ten pojawił się np. w kontekście usługi Dropbox. Firma przyznała, że kilka lat temu z jej bazy wykradziono dane 68 mln klientów, w tym adresy e-mail i hasła do kont cyfrowej chmury.
Każdy szanujący się biznes prowadzący działalność w sieci przechowuje dane dostępowe swoich użytkowników w zaszyfrowanej formie. W tej dziedzinie wyłonił się już zestaw dobrych praktyk polegających na użyciu sprawdzonych algorytmów tzw. hashujących oraz dodatkowo „soleniu” haseł, czyli dodawaniu do nich losowych ciągów znaków. Nie oznacza to jednak, że wycieki informacji przestały być niebezpieczne – przestępcy dysponują narzędziami pozwalającymi na stosunkowo szybkie odczytanie najczęściej powtarzających się kombinacji, a czasami pomaga im dodatkowo niedbałość po stronie niedostatecznie zabezpieczonego usługodawcy.
Jeśli aktywnie korzystamy z sieci, to są spore szanse, że nasze dane już znalazły się na „wolnym rynku”. Z reguły powiadamia nas o tym fakcie serwis, który padł ofiarą ataku (jak ostatnio LinkedIn czy Dropbox). Możemy również sami sprawdzić, czy nasz adres e-mail pojawia się w zrzutach baz danych z największych włamań. Prostą wyszukiwarkę znajdziemy pod wiele mówiącym adresem HaveIBeenPwnd.
Na szczególne niebezpieczeństwo narażamy się, jeśli:
- Nasze hasło jest słabe, a więc opiera się na nadużywanych kombinacjach (typu „haslo1234”) lub składa się ze słów, które można znaleźć w słowniku i jest krótkie. Przestępcy będą w stanie szybko poznać jego treść, nawet jeśli w ich ręce wpadła baza danych w zaszyfrowanej postaci.
- Używamy tego samego hasła w wielu serwisach. Wówczas oszuści mogą z powodzeniem przejąć nasze kolejne konta, zdobywając dostęp do następnych usługodawców. Szczególnie niebezpieczne będzie włamanie na konto e-mail, które gromadzi wrażliwe dane i może służyć do odzyskiwania „zapomnianych” haseł.
Użyj narzędzi albo stwórz swój system
Konieczność zapamiętywania dziesiątek loginów i haseł oraz rosnące wymogi dotyczące sposobu konstrukcji kodów doprowadziły do sytuacji, w której wielu internautów wybiera najprostsze możliwe rozwiązanie – niemal wszędzie stosuje te same „klucze”, być może z wyjątkiem najbardziej krytycznych usług (np. rachunków bankowych). Inni korzystają z podsuwanych przez producentów przeglądarek funkcji zapamiętywania haseł. Wrażliwe dane jest jednak stosunkowo łatwo wydobyć z komputera ofiary, a czasem winę za to ponosi dostawca oprogramowania.
Spore grono zwolenników znalazły także programy do zarządzania hasłami. Pozwalają one generować losowe, silne hasła i wiązać je z poszczególnymi serwisami. Odpowiednie dodatki do przeglądarek dają wówczas możliwość zalogowania się do menedżera (za pomocą wybranego przez użytkownika „superhasła”) i automatycznego wypełniania pól w formularzach. Często towarzyszą im aplikacje mobilne pozwalające na swobodny dostęp do „sejfu” na różnych urządzeniach. Producentom menedżerów haseł niestety również zdarzały się w przeszłości wpadki, narażające ich użytkowników na niebezpieczeństwo.
Przy odrobinie wysiłku można stworzyć jednak system, który opiera się wyłącznie na naszej pamięci i spełnia jednocześnie wymogi siły haseł oraz niepowtarzalności. Idea jest prosta – potrzebujemy:
- Mocnego hasła, które będzie bazą dla haseł stosowanych w różnych serwisach,
- Prefiksu lub sufiksu, który będzie zmienny – inny w każdym serwisie, z którego korzystamy.
Kilka sposobów na mocną „bazę”
Zestaw wymogów, jakie powinno spełniać dobre hasło jest powszechnie znany. Warto jednak przypomnieć najczęściej powtarzane wskazówki:
- Odpowiednia długość – co najmniej 8 znaków,
- Użycie różnych typów znaków – wielkich liter, cyfr, znaków specjalnych,
- Brak odniesienia do łatwych do zdobycia informacji o użytkowniku – np. imion dzieci, daty urodzenia itp.
- „Pseudolosowość” – hasło nie powinno zawierać słów, które można odgadnąć metodą słownikową, czyli poprzez wypróbowywanie poszczególnych kombinacji dla różnych języków.
Każdy sposób, który pozwala wygenerować hasło spełniające powyższe wymogi, jest dobry. Aby zapamiętać efekt, musimy jednak zazwyczaj sięgnąć po dwa elementy – nazwijmy je „inspiracją”, czyli czymś, co będzie łatwe do przywołania w pamięci oraz „tajemnicą”, czyli sposobem, w jaki przekształcamy inspirację w hasło.
Inspiracją może być np. fragment z ulubionej książki i rok jej wydania (np. „Litwo, Ojczyzno moja! Ty jesteś jak zdrowie”, 1834), adres ulubionej restauracji (np. Opole, ul. Ruska 42) czy nazwa i tempo ulubionej piosenki (Darude "Sandstorm!",136 BPM).
Tajemnica, czyli algorytm stosowany do stworzenia hasła, może opierać się na jednym albo wielu stosowanych łącznie podejściach. Jedynym ograniczeniem w tym przypadku jest wyobraźnia. W wielu poradnikach podsuwa się np.:
- Usuwanie samogłosek – z wersu z „Pana Tadeusza” powstanie hasło „Ltwjczznmj!1834”.
- Odwracanie kolejności znaków – „elopO.luaksuR24”.
- Mieszanie znaków z kolejnych wyrazów, np. parami – „DaSarunddestorm!136”.
- Przesuwanie znaków np. o jeden znak w prawo na klawiaturze („Litwo! Ojczyzno 1834” stanie się „:osep@Pkvxuxmp2945”) itp.
Niezbyt rozsądnym pomysłem jest natomiast proste zastępowanie liter innymi znakami (w tym tzw. leet speak – np. M4rt4 zamiast Marta). Podobno metoda ta stała się na tyle często stosowana, że oszuści uwzględniają ją w próbach odcyfrowania pozyskanych baz haseł.
Inne hasło w każdym serwisie
Mając gotowe bazowe hasło, możemy prosto wygenerować unikalny kod dla każdego z wykorzystywanych przez nas kont. Wystarczy dodać na jego początku (prefiks) lub końcu (sufiks) ciąg znaków stworzony np. z adresu internetowego witryny. Może to być pełna nazwa (np. amazon) lub przekształcona w dowolny sposób (np. pierwsze 4 znaki pisane wielkimi literami). W ten sposób, trzymając się podanych wcześniej przykładów, z adresu ulubionej restauracji otrzymamy niepowtarzalne hasło „elopO.luaksuR24AMAZ”, spełniające wszystkie wymogi silnego klucza.
Jeśli za jakiś czas otrzymamy niespodziewanego maila, w którym usługodawca informuje, że przestępcy uzyskali dostęp do jego bazy danych, to będziemy mogli być pewni, że nawet po zdobyciu hasła w wersji jawnej, nie będą w stanie wykorzystać go na innych naszych kontach. Jeśli natomiast zapragniemy na wszelki wypadek zmienić wszystkie używane hasła, to wystarczająca będzie zmiana „bazy”.
