Hasła strzegą dostępu do coraz większej części naszego internetowego życia. Skrzynka pocztowa, komunikator, bank, społecznościowy profil – aby skorzystać z tych usług musimy wymyślić, i co gorsza, zapamiętać ciąg znaków, który nie będzie łatwy do odgadnięcia i da nam pewność, że nie padniemy ofiarą złodziei tożsamości. Na szczęście są sposoby, by ta przykra konieczność stała się trochę bardziej znośna.
Spora część użytkowników sieci nie przykłada zbytniej wagi do bezpieczeństwa swoich danych. Świadczą o tym pojawiające się co jakiś czas analizy haseł wyciekających z różnego typu serwisów. Wśród najczęściej powtarzających się kombinacji króluje „123456”, a kolejne miejsca okupują najpopularniejsze w danym języku imiona.
Nonszalancję można zrozumieć, jeśli hasło broni dostępu do niezbyt istotnych informacji. Czasem jednak brak rozwagi może zemścić się w nieoczekiwany sposób, gdy dostęp do jednej usługi otwiera włamywaczowi drzwi do innych części naszej e-tożsamości. Używanie tego samego hasła do wielu usług to jeden z najczęstszych grzechów przeciwko bezpieczeństwu, szczególnie groźny, gdy do sieci wypłynie baza danych użytkowników witryny, z której korzystaliśmy.
Nie dbamy o hasła
Przeprowadzone na uniwersytecie w Cambridge badania opierające się na analizie 70 milionów haseł użytkowników serwisu Yahoo! pokazały, że włamywacz dysponujący słownikiem najczęściej używanych kombinacji oraz możliwością przeprowadzenia 10 prób logowania, będzie w stanie dostać się do co najmniej jednego procenta kont. Badacze zauważyli, że starsi użytkownicy sieci konstruują nieco trudniejsze do odgadnięcia hasła, a o swoje bezpieczeństwo mocniej dbają osoby często logujące się z różnych komputerów oraz…Niemcy i Koreańczycy.
W eksperymencie wykazano, że łagodna perswazja w postaci mierników siły hasła wyświetlanych podczas rejestracji nie skłania internautów do większej skrupulatności przy wyborze trudniejszej do odgadnięcia kombinacji. Przykre doświadczenia, w postaci zhackowanego konta, także nie są wystarczająco silną motywacją do tworzenia silniejszych haseł. W badanej próbie osoby, które musiały zmienić hasło po włamaniu do konta, wybierały tylko nieznacznie bezpieczniejsze kombinacje.
Zawodnej pamięci można pomóc
Atakom polegającym na próbie odgadnięcia hasła poprzez testowanie różnych kombinacji znaków (tzw. brute force) opierają się przede wszystkim hasła, które przypominają losowy, i w miarę możliwości zróżnicowany, ciąg znaków. Przykładowo kombinacja „L!Om!Tjj2” nie będzie możliwa do złamania poprzez tzw. atak słownikowy, czyli wypróbowywanie poszczególnych słów istniejących w języku polskim. Na nic nie zda się także algorytm stosujący tzw. mangling, czyli próbujący przekształcać słowa ze słownika wedle zadanych reguł. Internauci często używają prostych haseł, w których zamieniają niektóre litery na inne znaki. Przykładowo: hasło „Mateu5z”, gdzie „5” zastępuje „s” (znak podobny graficznie, co ułatwia zapamiętanie). Narzędzia do odgadywania haseł niestety uwzględniają tego typu chwyty.
Jednym ze sposobów na stworzenie silnego i łatwego do zapamiętania hasła jest użycie kilku wyrazów, najlepiej nie tworzących utartego zwrotu czy cytatu. Ciąg „KapećKaktusKaloryfer” to 20-znakowa kombinacja nietrudna do przywołania w pamięci, ale skutecznie opierająca się próbom odgadnięcia metodą prób i błędów.
Inna możliwość to zastosowanie mnemotechniki, czyli użycie skojarzeń jako narzędzia usprawniającego działanie pamięci. Stosując tego typu triki, możemy stworzyć bardzo silne, lecz łatwe do zapamiętania hasło. Przywołajmy jeszcze raz ciąg znaków „L!Om!Tjj2”, który powstał jako skrót pierwszego wersu inwokacji z „Pana Tadeusza” – „Litwo! Ojczyzno moja! Ty jesteś jak zdrowie”. Dzieło Mickiewicza posłużyło nam tutaj, z drobną modyfikacją (zamiana „z” na „2”), jako punkt zaczepienia dla zawodnej ludzkiej pamięci.
A może po prostu zapisać?
W im większym stopniu wykorzystujemy możliwości stwarzane przez internet, z tym większą liczbą haseł spotykamy się na co dzień. Próbując nie powtarzać wciąż tych samych haseł, a jednocześnie starając się konstruować trudne do odgadnięcia kombinacje, prędzej czy później natrafimy na problemy z zapamiętaniem owoców własnej twórczości. Z pomocą przyjść mogą wówczas aplikacje przechowujące hasła.
Ich zasada działania jest prosta – zapisują w zaszyfrowanej formie dane dostępu do witryn, sieci WiFi i inne wrażliwe dane. Zgromadzonych informacji broni oczywiście hasło, ale jest to jedyne hasło, które musimy pamiętać. Resztę zrobią za nas wtyczki do internetowych przeglądarek czy aplikacje mobilne dające dostęp do naszego „sejfu” również, gdy jesteśmy w podróży.
Aplikacje takie jak LastPass, KeePass czy 1Pass zdobyły sobie spore rzesze zwolenników i chociaż nie są pozbawione wad, to bardzo upraszczają zarządzanie mnożącymi się wciąż hasłami. Często pozwalają one również generować losowe ciągi znaków, zwalniając użytkownika z konieczności tworzenia nowych kombinacji. Gdy w grę wchodzą szczególnie wrażliwe informacje, np. dane dostępu do bankowości internetowej, warto jednak zdać się na własną pamięć.
Hasła wciąż niezastąpione
Hasła ciągle nie mają konkurencji jako narzędzie weryfikacji tożsamości w codziennych internetowych zastosowaniach. Życia nie ułatwił nam ani podpis elektroniczny ani projekty „e-tożsamości” takie jak OpenID. Można spodziewać się, że z czasem jakiś inny mechanizm uprości dzisiejszą żonglerkę hasłami. Może będą to czytniki biometryczne a może logowanie przez Facebooka? Zanim to jednak nastąpi, to naszych sekretów strzec będą wysłużone tajne frazy i PIN-y.
