Hasła jak majtki - kilka porad dotyczących tworzenia dobrego hasła.

Hasło – niby każdy wie, że powinno korzystać się z dobrych haseł. Tylko jakie to są dobre hasła? W dzisiejszym wpisie postaram się przybliżyć trochę tematyki bezpieczeństwa i wyjaśnić, dlaczego hasło jest niezwykle ważne.

Czasem w środowisku związanym z bezpieczeństwem w Internecie spotykamy się z powiedzeniem „Hasło powinno być jak majtki – …. I często zmieniane”. Czy na pewno?

Autoryzacja – dlaczego przez hasło

W systemach IT możemy autoryzować się (potwierdzać, że my to my) za pomocą kilku rzeczy. Jest to:

  • autoryzacja przez to, kim jesteśmy (odciski palców, dane biometryczne);
  • Autoryzacja przez coś co znamy (hasła, kody);
  • Autoryzację przez coś, co nosimy (fizyczne klucze autoryzujące).

Jakie powinno być dobre hasło?

Dobre hasło jest przede wszystkim niepowtarzalne. Hasło to nie powinno być używane w innych systemach, serwisach czy urządzeniach. Nigdy! Jeżeli przestępca wykradnie nasze hasło np. ze sklepu internetowego – z pewnością spróbuje je wykorzystać w innym serwisie. Dodatkowo wielu przestępców publikuje pozyskane dane w innych serwisach, przez co nasze hasło (a najczęściej skrót hasła) jest publicznie dostępny.

Hasło powinno być też długie – najczęściej wyciekają hasła, które są zakodowane (w postaci skrótów). Krótkie hasła zdecydowanie łatwiej będzie zdeszyfrować, gdyż jest po prostu mniej koniecznych kombinacji do porównania. Dobrą praktyką jest więc tworzenie długich haseł.

Słownikowość hasła czyli czy hasło może zawierać popularne słowa? I tak i nie… Krótkie hasła, w których wpisaliśmy swoje imię będzie zdecydowanie łatwiejsze do odszyfrowania niż zlepek przypadkowych liter. Przestępcy doskonale zdają sobie sprawę z tego, że chętniej wykorzystamy znane nam słowa, więc sprawdzą je w pierwszej kolejności. Wśród najpopularniejszych haseł znaleźć możemy słowa takie jak: qwerty (od pierwszego rzędu liter w klawiaturze), zaq12wsx (pierwsze dwie „kolumny” klawiatury.

Dlaczego raczej nie zmieniać często haseł?

Wymuszenie zmiany hasła np. co 2 miesiące może nie być skutecznym rozwiązaniem. Narzucając zmianę haseł co jakiś czas możemy spowodować, że hasła użytkowników będą przewidywalne i wcale nie uchroni to naszego systemu przed działaniem hakerów lub przestępców. Dlaczego?

Odpowiedź na to pytanie jest prosta. Mając „dobre” hasło, wiedząc, że będę je zmieniać co miesiąc, mogę dopisać do niego numer miesiąca i rok. Łatwiej będzie mi je zapamiętać – po prostu…. No nie! Dzięki temu wytworzymy bardzo przewidywalne hasła w stylu „Danusia122019” dla grudnia 2019 i „Danusia012020” dla stycznia 2020. Aktualne zalecenia Microsoftu jak i NIST (Narodowy Instytut Standaryzacji i Technologii USA) wskazują jednoznacznie, że zdecydowanie bezpieczniej, jeżeli zupełnie zrezygnujemy z tej praktyki. Dobrą wiadomością jest również to, że prawo nie wymaga już tego od nas. (Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Dz.U. 2004 nr 100 poz. 1024). Rozporządzenie, które określało, jak ma być zabezpieczony komputer służący do przetwarzania danych osobowych na szczęście już nie obowiązuje (teoretycznie w ISAP znajduje się informacja o tym, że obowiązuje nadal, lecz podstawa prawna jego stworzenia wygasła).

Dwuskładnikowe uwierzytelnianie

Dobrym sposobem na dodatkowe zabezpieczenie swojej tożsamości w Internecie czy każdym innym systemie jest uruchomienie uwierzytelniania dwuskładnikowego. Polega to na tym, że w momencie logowania jesteśmy proszeni o podanie hasła oraz np. potwierdzenie faktu logowania w aplikacji mobilnej na telefonie (gdy logujemy się przez komputer) lub podaniu kodu sms/kodu z aplikacji/hasła jednorazowego/kodu z tokena. Składniki uwierzytelnienia powinny występować jeden-po-drugim.

Wykorzystanie 2FA/MFA (2-factor/multifactor authentication) umożliwia na ograniczenie ataków z wykorzystaniem metod siłowych (brute-force; ataki, w których wielokrotnie próbuje się „na siłę” wpisać poprawne hasło) jak i ataków phishingowych.

Uwaga! Wprowadzenie uwierzytelniania dwuskładnikowego nie jest idealną metodą na zabezpieczenie się przed atakami! Dlatego też mimo wszystko powinniśmy stosować bezpieczne hasła.

Dwuskładnikowym uwierzytelnieniem (w większości przypadków) nie jest często stosowane np. przez banki uwierzytelnienie przelewu czy transakcji. Dlaczego? Zazwyczaj wymagane przy potwierdzeniu przelewu jest podanie kodu SMS czy kodu z listy. Lecz wówczas ten parametr jest jedynym sposobem uwierzytelnienia tej transakcji. Nie musimy podawać hasła i tego kodu czy czegokolwiek innego.

Jak spamiętać zyliony haseł??

No dobra, chcę stworzyć dobre hasła do wszystkich usług, ale wiem, że ich nie zapamiętam. Najlepiej, jeżeli nie mamy dobrej pamięci do haseł – przechowywać je w menadżerze haseł w postaci zaszyfrowanego pliku.

Fakt, że poznanie jednego hasła pozwoli na odkrycie wszystkich naszych haseł dostępowych, lecz postępując bezpiecznie i rozważnie – większe ryzyko istnieje przy wykradzeniu jednego hasła z bazy sklepu internetowego. Dlaczego? Mając jedno lub kilka „dyżurnych” haseł powtarzamy je w wielu miejscach.

Jakie managery haseł polecam?

Ja osobiście korzystam z 1password. Dobrym rozwiązaniem jest KeePass i LastPass. Choć dla zupełnie początkujących dobrym rozwiązaniem może okazać się po prostu zapisywanie hasła w przeglądarce. To zawsze mniejsze zło.

Ale czy nie zostałem/am już okradziony/a z mojego hasła?

Jeżeli nie jesteś pewien, czy już przypadkiem Twoje hasło nie uciekło “w eter” – polecam sprawdzenie strony Have I been pwned . Na niej, po podaniu swojego adresu e-mail specjalny mechanizm sprawdzi, czy Twoje dane nie znajdują się w jakimś publicznie opublikowanym wycieku danych. Wśród baz znajdują się tam hasła z popularnego sklepu internetowego Morele.com.pl o którym pisałem poprzednio, a także wycieki z LinkedIn czy Dropbox.

Podsumowanie

Podsumowując. Hasło przede wszystkim powinno być unikalne! Nie powinniśmy korzystać z tego samego hasła w innych usługach. Dodatkowo dobrze, gdyby było długie (minimum 8 znaków, choć bezpieczniej gdy ma minimum 12), skomplikowane (zawierać litery, cyfry, wielkie litery, znaki specjalne). Idealnie gdyby w haśle nie znajdował się żaden wyraz 😊.