Niemal każdy serwis internetowy, w którym mamy możliwość założenia konta wymaga od nas, abyśmy wymyślili i podali hasło, przy pomocy którego będziemy się logować. Jednak aby było ono bezpieczne, powinno spełniać kilka podstawowych zasad. Jeżeli chcesz się dowiedzieć jak tworzyć naprawdę bezpieczne hasła, które łatwo zapamiętasz to czytaj dalej!
Słabe hasła są wciąż bardzo popularne
Pomimo tego, że w wielu miejscach sieci administratorzy portali internetowych, twórcy aplikacji czy specjaliści od cyberbezpieczeństwa apelują o tworzenie silnych haseł i nie używanie ich w innych miejscach, to użytkownicy sieci wciąż powszechnie używaj bardzo słabych haseł. Wygoda, łatwość zapamiętania czy złe przyzwyczajenia biorą górę nad zasadami bezpieczeństwa w Internecie. A silne hasło to pierwszy krok do ochrony naszych danych przed dostępem osób trzecich.
Do słabych haseł, które są niezwykle popularne wśród użytkowników sieci możemy zaliczyć takie kombinacje jak:
- proste kombinacje klawiszy na klawiaturze (123456, qwerty, 098765 itp.)
- imiona (karolina, marcin, piotrus itp.)
- popularne marki lubiane przez użytkowników (np. adidas, samsung, mercedes)
- daty urodzin
- pojedyncze słowa, ewentualnie z dodatkiem liczby (np. haslo3, password, admin1)
Tego typu hasła są słabe z tego względu, że są bardzo podatne na ataki słownikowe. Jest to atak, w którym do odszyfrowania hasła używa się bazy najczęściej wykorzystywanych kombinacji słów, liczb i znaków, które są używane do tworzenia haseł. W wyniku licznych wycieków haseł w przeszłości, cyberprzestępcy posiadają całe bazy najczęściej wykorzystywanych haseł i mogą z łatwością przeprowadzić atak słownikowy, w oparciu o najpopularniejsze kombinacje.
Oprócz haseł złożonych wyłącznie ze słów lub prostych znaków, powinniśmy wystrzegać się używania tego samego hasła w dwóch różnych miejscach w sieci, a już absolutnie najgorszą możliwą praktyką jest korzystanie z tego samego hasła do logowania się do wszystkich serwisów, z których korzystamy. Przyjmijmy zasadę: jedna usługa = jedno, unikalne hasło.
Co wpływa na siłę i bezpieczeństwo hasła?
To, jak bezpieczne będzie nasze hasło jest uzależnione w głównej mierze od:
- długości
- znaków, które można wykorzystać (czyli entropii)
- unikalności
Generalnie, im dłuższe hasło i im więcej różnych znaków (liter, cyfr i symboli specjalnych) zawiera, tym jest ono trudniejsze do złamania. Dobrą praktyką jest tworzenie haseł, które złożone są z ponad 15 znaków oraz wykorzystują małe i wielkie litery, cyfry oraz znaki specjalne (czyli np. @, $, &, !). Jest to związane z tym, że im więcej różnych możliwych kombinacji znaków wykorzystanych przy tworzeniu hasła, tym więcej różnych kombinacji trzeba sprawdzić próbując je złamać. Przy 15 znakach, ilość możliwych kombinacji jest taka, że zapewnia bardzo wysoki stopień bezpieczeństwa hasła.
Jak stworzyć silne i bezpieczne hasło, które będzie proste do zapamiętania?
Długie hasła, złożone z losowej kombinacji różnych znaków mają jedną poważną wadę – są trudne w zapamiętaniu. Na szczęście jest bardzo prosty sposób, dzięki któremu nawet z pozoru najbardziej skomplikowane hasło będzie bardzo proste w zapamiętaniu. Wszystko sprowadza się do zastosowania tzw. password phrase czyli haseł – zdań. Jak to działa? Już tłumaczymy.
Są dwa podejścia do tego zagadnienia – warto wybrać takie, które jest dla nas najwygodniejsze i najprostsze do zapamiętania.
Pierwsza możliwość, to zbudowanie hasła ze słów, mających logiczny sens, które rozdzielone są np. cyframi czy znakami specjalnymi. Jako przykład niech posłuży taka kombinacja:
ZielonyTygrysGoni12Malp
mamy tutaj małe i wielkie litery, cyfry i łącznie 23 znaki, co daje bardzo silne hasło. Możemy je wzmocnić dodając znaki specjalne np.
Zielony@Tygrys#Goni12Malp
Druga możliwość to zbudowanie hasła w oparciu o pierwsze 1-3 litery z dłuższego zdania. Do jego zbudowania użyjmy takiego zdania: Mieszkam w 5 piętrowym niebieskim bloku z widokiem na rzekę. Hasło zbudowane w oparciu o to zdanie może wyglądać tak:
MiW5PiNiBlZWiNaRz
Mamy 17-znakowe hasło, które możemy jeszcze urozmaicić znakami specjalnymi, np. w takiej formie:
MiW5-PiNiBlZWiNaRz$
No dobrze, ale jak mam zapamiętać takie długie hasła do 50 różnych serwisów i wiedzieć, które jest do którego? Tutaj z pomocą przychodzi prosty program o nazwie menedżer haseł.
Menedżer haseł
Menedżer haseł to prosty program, który umożliwia generowanie i zarządzanie hasłami. Działa na tej zasadzie, że przechowuje w zaszyfrowanej formie wszystkie nasze hasła, do których możemy uzyskać dostęp podając główne hasło. W praktyce wygląda to tak, że pamiętać musimy tylko główne hasło – gdy chcemy zalogować się jakiegoś serwisy podajemy nasze główne hasło w menedżerze, odszyfrowujemy dostęp do pozostałych haseł i wprowadzamy je do formularza.
Jest to bardzo bezpieczna i wygodna forma zarządzania hasłami z tego względu że:
- pamiętać musimy tylko jedno trudne hasło do naszej bazy haseł w menedżerze
- program jest w stanie wygenerować bardzo długie i bezpieczne hasła
- do każdego serwisu z którego korzystamy mamy unikalne hasło
- z menedżera haseł możemy korzystać na każdym urządzeniu
W sieci możemy znaleźć wiele menedżerów haseł, zarówno darmowych jak i płatnych. Różnią się one między sobą możliwościami, funkcjami i przede wszystkim wygodą korzystania. Najpopularniejsze to darmowy KeePass oraz płatne 1Password i LastPass. Przygotowujemy porównanie tych programów i wkrótce powinno się ono ukazać na stronach naszego serwisu.
Uwierzytelnianie dwuskładnikowe (2FA) – jeszcze silniejsza ochrona
Two-factor authentication – 2FA czyli uwierzytelnianie dwuskładnikowe to coraz popularniejsza metoda zabezpieczenia dostępu do kont przed niepowołanymi osobami. Większość dużych serwisów ma ją już wdrożoną, a inne są w trakcie lub planują. Uwierzytelnianie dwuskładnikowe pozwala zabezpieczyć nasze konta nawet w przypadku czarnego scenariusza – gdy nasze hasło wycieknie lub ktoś zdobędzie dane do logowania.
Jak sama nazwa wskazuje, uwierzytelnianie dwuskładnikowe wymaga dwóch elementów do potwierdzenia tożsamości użytkownika. Pierwszym z nich jest klasyczne hasło, które podajemy podczas logowania. Jeżeli okaże się poprawne, to następuje drugi etap weryfikacji, który może przybierać różne formy. Do najpopularniejszych należą:
- wpisanie kodu z SMS-a, który otrzymaliśmy na wcześniej zweryfikowany numer telefonu
- podanie kodu z e-maila, który otrzymaliśmy na zweryfikowany wcześniej adres
- wpisanie kodu ze specjalnej aplikacji do uwierzytelniania (np. Google Authenticator)
Dzięki takiej metodzie zabezpieczenia możemy być spokojni o nasze dane. Oczywiście pod warunkiem, że ktoś nie przechwyci dostępu zarówno do naszego hasła jak i do telefonu czy e-maila, przy pomocy którego uwierzytelniamy się w drugim kroku.
To, czy serwis lub usługa oferuje uwierzytelnianie dwuskładnikowe można sprawdzić na stronie twofactorauth.org. Znajdziemy tam również usługi VPN – z uwierzytelniania dwuskładnikowego korzystają m.in. ExpressVPN, ProtonVPN czy Private Internet Access.
Podsumowanie
Odpowiednio długie, unikalne hasło złożone z różnych znaków to pierwszy krok w zabezpieczeniu naszych danych przed dostępem niepowołanych osób. Trzymajmy się zasady, że jedno hasło nigdy nie jest wykorzystywane powtórnie. Jeśli to możliwe włączajmy i korzystajmy z uwierzytelniania dwuskładnikowego.
