Jeszcze kilka lat temu wiÄ™kszość analityków powiedziaÅ‚aby, że bezpieczne hasÅ‚o to takie skÅ‚adajÄ…ce siÄ™ z kilku przypadkowych liter, cyfr oraz znaków specjalnych. Czasy siÄ™ jednak zmieniajÄ…. PojawiajÄ… siÄ™ nowe urzÄ…dzenia i coraz bardziej zaawansowane techniki Å‚amania haseÅ‚, co wymusza na użytkownikach zmianÄ™ dotychczasowych przyzwyczajeÅ„ w tym zakresie. Dawne metody bezpieczeÅ„stwa nie sÄ… już tak skuteczne, jak kiedyÅ›, a to, co dawniej wydawaÅ‚o siÄ™ oczywiste, dziÅ› już – w znacznej części – nie obowiÄ…zuje.
Jakie słabości haseł wykorzystują cyberprzestępcy?
PierwszÄ… grupÄ™ sÅ‚abych haseÅ‚ stanowiÄ… te zbyt oczywiste, typu „12345”, „qwerty”, „hasÅ‚o”. IstniejÄ… nawet miÄ™dzynarodowe rankingi fraz, które nie powinny być hasÅ‚ami. JeÅ›li ich użyjemy, możemy mieć w zasadzie pewność, że cyberprzestÄ™pcy bÄ™dÄ… je w stanie zÅ‚amać w zaledwie kilkadziesiÄ…t sekund. Obecne systemy do Å‚amania szyfrów już w pierwszej kolejnoÅ›ci sprawdzajÄ…, czy nie zostaÅ‚y użyte wÅ‚aÅ›nie tego typu ciÄ…gi znaków. I chociaż w każdym poradniku do tworzenia haseÅ‚ użytkownicy znajdÄ… ostrzeżenia przed użytkowaniem haseÅ‚ w tym stylu, niestety nadal wiele osób – na wÅ‚asnÄ… szkodÄ™ – tak robi.
Bardzo popularnÄ…, a niebezpiecznÄ… metodÄ… tworzenia haseÅ‚ jest używanie nazw zwiÄ…zanych z tym, kim jesteÅ›my, imieniem, lub czym siÄ™ zajmujemy. Nawet wzbogacenie takiego hasÅ‚a o znaki specjalne czy zestaw cyfr niewiele tu pomoże. Warto pamiÄ™tać, że cyberprzestÄ™pcy także siÄ™ rozwijajÄ… i nie stosujÄ… już tylko Å›lepych ataków na przypadkowe osoby. CzÄ™sto sprawdzajÄ… i rozpoznajÄ… swojÄ… ofiarÄ™, zanim dokonajÄ… uderzenia. WiedzÄ…, czym siÄ™ dana osoba zajmuje i co robi, a przynajmniej, do czego sÅ‚uży dane konto. JeÅ›li wiÄ™c jesteÅ›my – dajmy na to fotografikiem, a hasÅ‚o do serwisu zaczniemy od sÅ‚owa „foto” lub czegoÅ› podobnego, to sami zachÄ™camy do wtargniÄ™cia na nasze konto.
Innym bardzo czÄ™stym bÅ‚Ä™dem, który popeÅ‚niamy to użytkowanie tego samego hasÅ‚a, nawet mocnego, w kilku witrynach. KÅ‚opot w tym, że cyberprzestÄ™pcy sÄ… w stanie sprawdzić naszÄ… aktywność w sieci szerzej i wiedzieć, z jakich innych serwisów korzystamy. Dlatego, jeÅ›li uda im siÄ™ zÅ‚amać hasÅ‚o na jednej stronie, a my używamy go także w innych, jest bardzo prawdopodobne, że bÄ™dÄ… w stanie zalogować siÄ™ na nasze kolejne konta, a prawie na pewno tego spróbujÄ….
CyberprzestÄ™pcy bezwzglÄ™dnie wykorzystujÄ… każdÄ… naszÄ… nieuwagÄ™. Wchodzenie na niesprawdzone, nieznane, potencjalnie groźne strony (zwÅ‚aszcza klikanie linków), może spowodować instalacjÄ™ keyloggera na urzÄ…dzeniu, z którego korzystamy. Trzeba mieć Å›wiadomość, że przed dziaÅ‚ajÄ…cym i niewykrytym „zÅ‚odziejem haseÅ‚” nie ma wÅ‚aÅ›ciwie żadnej ochrony. Program taki rejestruje wszystko, co robimy na klawiaturze. Zapisuje każdy wpis, każde sÅ‚owo, które wystukujemy i natychmiast przesyÅ‚a je do hakera. JeÅ›li wejdziemy na przykÅ‚ad na stronÄ™ bankowoÅ›ci internetowej, wpiszemy login i hasÅ‚o, to cyberprzestÄ™pcy stanÄ… siÄ™ ich posiadaczami. Chyba nie trzeba tÅ‚umaczyć, co to oznacza.
Jak utworzyć hasło trudne do złamania?
SytuacjÄ… optymalnÄ… byÅ‚aby stworzenie bardzo dÅ‚ugiego ciÄ…gu znaków zupeÅ‚nie przypadkowych i niepowiÄ…zanych ze sobÄ…. KÅ‚opot jednak w tym, że takie hasÅ‚a sÄ… praktycznie nie do zapamiÄ™tania. WczeÅ›niej rekomendowano ich tworzenie, ale skutek okazaÅ‚ siÄ™ przeciwny do zamierzonego: ludzie, zamiast tworzyć hasÅ‚a silne, zaczÄ™li je upraszczać, uÅ‚atwiajÄ…c sobie zapamiÄ™tywanie. Najnowsze rekomendacje organów, które zajmujÄ… siÄ™ bezpieczeÅ„stwem, sÄ… jednak zupeÅ‚nie inne. SkupiajÄ… siÄ™ one na tym, by tworzyć hasÅ‚a jednoczeÅ›nie silne, ale też Å‚atwe do zachowania w pamiÄ™ci.
Z pomocÄ… przychodzi tu zasada peÅ‚nych zdaÅ„, czyli możliwość tworzenia haseÅ‚ zÅ‚ożonych z normalnych, Å‚atwych do przechowywania w pamiÄ™ci (przypadkowych) wyrazów, ale zapisanych w jednym ciÄ…gu. Takich sÅ‚ów powinno być przynajmniej pięć. I tak na przykÅ‚ad mocnym hasÅ‚em bÄ™dzie ciÄ…g „RozowaKrowaZjadla2MaleZabki”. Dość Å‚atwo go zapamiÄ™tać, gdyż jest to wyobrażenie jakiejÅ› fikcyjnej i niemożliwej do zaistnienia w praktyce sytuacji, ale jednak pozostajÄ…cej w gÅ‚owie. Element nieprawdopodobnoÅ›ci, abstrakcji jest tu zresztÄ… kluczowy, gdyż utrudni systemom do Å‚amania kluczy wykonanie zadania wedÅ‚ug prostych zasad logiki.
Bardzo dobrym sposobem na zwiÄ™kszenie mocy hasÅ‚a jest użycie we frazie sÅ‚ów z kilku jÄ™zyków i przemieszczanie ich w jednym ciÄ…gu. PrzykÅ‚adem takiego hasÅ‚a może być, chociażby „OsiemZlychNiebieskichPrudencePaczkow”. SiÅ‚a takiego hasÅ‚a bierze siÄ™ z tego, że mechanizm Å‚amiÄ…cy musi wykorzystywać sÅ‚owniki, za pomocÄ… których odnajduje poszczególne sÅ‚owa. Gdy jednak w treÅ›ci pojawi siÄ™ jakiÅ› zwrot obcojÄ™zyczny, taki system (korzystajÄ…cy najczęściej ze sÅ‚ownika jednego jÄ™zyka), nie bÄ™dzie go w stanie zÅ‚amać, a przynajmniej wydatnie wydÅ‚uży siÄ™ caÅ‚y ten proces. Czasem być może na tyle dÅ‚ugo, że cyberprzestÄ™pcy zrezygnujÄ… z ataku.
Przy budowaniu haseł należy kierować się kilkoma podstawowymi zasadami:
- Silne hasła można budować, używając w tym celu pełnych zdań, każde słowo zaczynamy wielką literą, możemy używać cyfr, całość zapisujemy w jednym ciągu bez spacji.
- Przy tworzeniu haseÅ‚ należy unikać cytatów lub powszechnie znanych zÅ‚otych myÅ›li bez ich wczeÅ›niejszej znaczÄ…cej modyfikacji.
- HasÅ‚o powinno skÅ‚adać siÄ™ z przynajmniej piÄ™ciu sÅ‚ów.
Zalecenia CERT co do tworzenia silnych haseł
Jak wspomóc siÄ™ przy tworzeniu bezpiecznych haseÅ‚ lub logowaniu?
Samodzielne tworzenie mocnych haseÅ‚ jest dobrym kierunkiem dziaÅ‚ania, jednak nie każdy może z niego skorzystać. Czasem kont w różnych serwisach mamy tak wiele, że nie jesteÅ›my w stanie nad nimi wszystkimi zapanować i dla każdego z nich utworzyć mocne hasÅ‚o, które bÄ™dziemy potem w stanie zatrzymać w pamiÄ™ci (pamiÄ™tajÄ…c o tym, że kluczy nie należy nigdzie zapisywać). Sposobów na uÅ‚atwienie sobie życia jest kilka, wszystkie w znaczÄ…cym stopniu poprawiajÄ… poziom bezpieczeÅ„stwa.
Menedżery haseł
Jednym z najprostszych sposobów, by zapewnić bezpieczeÅ„stwo wÅ‚asnym kluczom cyfrowym, jest korzystanie z dedykowanego menedżera. Mamy tu do wyboru kilka różnych rozwiÄ…zaÅ„: od wbudowanych w przeglÄ…darki po specjalne aplikacje firm trzecich. Menedżery takie nie tylko w sposób bezpieczny sÄ… w stanie przechowywać hasÅ‚a przez nas utworzone, ale potrafiÄ… też przygotowywać i podpowiadać jeszcze bezpieczniejsze ciÄ…gi znaków i przechowywać je (zaszyfrowane) we wÅ‚asnej pamiÄ™ci. Menedżery pozwalajÄ… korzystać z funkcji autouzupeÅ‚niania, także tych nowych, skomplikowanych haseÅ‚ nie musimy w ogóle pamiÄ™tać, ZostanÄ… one wpisane w formularzach automatyczne, jeÅ›li na takÄ… potrzebÄ™ natrafimy.
Biometria
Jeden z bardziej skutecznych sposobów potwierdzenia tożsamoÅ›ci i przy tym najbardziej wygodny. Przy biometrii nie musimy zapamiÄ™tywać żadnych haseÅ‚, wystarczy przyÅ‚ożyć palec do czytnika linii papilarnych lub dokonać skanu tÄ™czówki oka. KÅ‚opot z biometriÄ… jest taki, że obsÅ‚uguje go ograniczona liczba witryn i aplikacji. Metoda ta wymaga zresztÄ… posiadania zgodnego urzÄ…dzenia wyposażonego w czytnik linii papilarnych czy skaner tÄ™czówki.
Uwierzytelnianie dwuetapowe (dwuskładnikowe)
Uwierzytelnienie dwuetapowe, jak sama nazwa wskazuje, skÅ‚ada siÄ™ z dwóch elementów. Pierwszy to zazwyczaj hasÅ‚o lub kod PIN, jednak w przypadku uwierzytelnienia tego typu sam kod nie wystarczy. Musi on bowiem zostać zweryfikowany innÄ… metodÄ….
I tu przechodzimy do drugiego etapu, w którym stosuje siÄ™ zwykle jeden z kilku sposobów „potwierdzania” tożsamoÅ›ci. SÄ… one różne, może to być na przykÅ‚ad specjalny elektroniczny token, karta kodów, aplikacja na smartfonie, która wygeneruje dodatkowy, jednorazowy kod. Może być też wymagane potwierdzenie za pomocÄ… biometrii.
Taki system logowania uchodzi obecnie za najbardziej bezpieczny. Nawet jeÅ›li hakerom uda siÄ™ zÅ‚amać nasze hasÅ‚o, to najczęściej nie sÄ… w posiadaniu smartfona czy czytnika linii papilarnych, który mamy przy sobie. Tymczasem bez podania jednorazowego kodu z aplikacji uwierzytelniajÄ…cej czy zeskanowania biometrii nigdzie siÄ™ nie zalogujÄ….
Podsumowanie
Mocne hasÅ‚o to w zasadzie gwarancja bezpieczeÅ„stwa naszej wirtualnej prywatnoÅ›ci i tożsamoÅ›ci, dlatego nie warto lekceważyć tego tematu. Sieć peÅ‚na jest doniesieÅ„ o wycieku setek tysiÄ™cy kluczy z różnych serwisów internetowych, czasem nawet tych bardzo poważnych, i choć najczęściej kwitujemy to stwierdzeniem, że tym razem nas to minęło, to warto mieć Å›wiadomość, że nie zawsze tak bÄ™dzie. Hakerzy dysponujÄ… też coraz lepszymi mechanizmami Å‚amania haseÅ‚ już istniejÄ…cych, stosujÄ… oni najróżniejsze techniki, które sprawiajÄ…, że klucze, które kiedyÅ› wydawaÅ‚y siÄ™ niemożliwe do zÅ‚amania, dziÅ› można pokonać w najwyżej kilka minut. StosujÄ…c siÄ™ do nowych zasad tworzenia haseÅ‚, zapewnimy sobie (i wÅ‚asnym danym) wiÄ™ksze bezpieczeÅ„stwo.
Tomasz Sławiński
KOMENTARZE (0) SKOMENTUJ ZOBACZ WSZYSTKIE