Spis treści:
- Hasło powinno być krótkie i skomplikowane, czy proste i długie?
- Hasła do banku a hasła do poczty – czy powinny się różnić i dlaczego?
- „Banki haseł” – czy są bezpieczne i jak je używać?
- Jak często zmieniać hasła do serwisów?
Hasło powinno być krótkie i skomplikowane, czy proste i długie?
Jakie hasła uznaje się obecnie za bezpieczne, czyli trudne do złamania przez hakerów? Do niedawna panowało przekonanie, iż silne hasła powinny być skomplikowane, więc składające się ze znaków nie będących słowami - na przykład z małych, dużych liter, cyfr oraz znaków specjalnych. Jednak ostatnie badania specjalistów od bezpieczeństwa, którzy przeprowadzili symulacje znanych ataków na bazy wykradzionych haseł, diametralnie zmieniły rekomendacje w tym zakresie.
Już w zeszłym roku FBI zaczęło zalecać, iż w miejsce krótkich, ale skomplikowanych haseł bezpieczniej jest stosować długie (minimum 12 znaków) złożone z całych wyrazów, ale łatwych do zapamiętania. Dla przykładu podając hasło - TechTuesday2021Strengthen!.
W styczniu tego roku specjaliści z CERT Polska opracowali własny system rekomendacji dla bezpiecznych haseł, który opiera się na trzech prostych kryteriach.
Pierwsze kryterium to tworzenie haseł (minimum pięć słów), stworzonych ze znanych fraz, które znamy z życia codziennego. Mogą to być cytaty, jednak ze zmienionymi słowami, tak by ułożyły się w absurdalną całość dla postronnych osób, na przykład: WlazlKostekNaMostekIStuka. Jak trudne do złamania jest takie hasło? Specjaliści od bezpieczeństwa, dysponując znanymi narzędziami, hasło typu: Galwaniczny123$ złamali w 5 minut, z kolei złamanie WlazlKostekNaMostekIStuka prawdopodobnie zajęłoby setki lat - jednym słowem nieopłacalne dla hakerów.
Drugim sposobem jest wymyślenie hasła na podstawie opisu jakiejś wymyślonej sceny, dla przykładu: zielonyParkingDla3malychSamolotow. Natomiast jako trzeci sposób wskazywane są hasła z wtrąconymi obcojęzycznymi zwrotami, z uwagi na to, iż mogą być łamane metodą słownikową wykorzystują bazę słów czy zwrotów z jednego języka. Może to być więc hasło: DwaBialeLatajaceSophisticatedKroliki. Ten sposób tworzenia hasła łączy oba kryteria - jest zarówno zmyślony, jak i zawiera jedne obce słowo.
Uwaga: Oczywiście podane przykłady stanowią wprawdzie silne hasła i trudne do złamania, ale nie można już dokładnie z takich samych korzystać, z uwagi na ich opublikowanie w sieci. Tworzenie własnych haseł można oprzeć o taki właśnie klucz.
Hasła do banku a hasła do poczty – czy powinny się różnić i dlaczego?
W zasadzie rekomendacja, by stosować różne hasła do różnych serwisów nie zmieniła się od lat i prawdopodobnie nie zmieni się do czasu aż pozbędziemy się w ogóle konieczności stosowania haseł do logowania. To żelazna reguła wprowadzona z uwagi na to, iż w przypadku, gdy stosujemy jedno hasło do kilku serwisów, w wyniku wycieku tego hasła w sieci, dostęp do wszystkich serwisów, w których go wykorzystaliśmy będzie zagrożony. Natomiast w szczególny sposób powinniśmy traktować hasła do serwisów finansowych, w tym banków, w których mamy konto. Powinno być one unikalne i nie wykorzystywane przez nas do logowania w żadnym innym serwisie.
„Banki haseł” – czy są bezpieczne i jak je używać?
Innym sposobem na tworzenie haseł, jest pewnego rodzaju ich automatyzacja przy użyciu tzw. “banków haseł”, czyli menedżerów haseł.
Może to być menadżer haseł wbudowany w najpopularniejszą przeglądarkę na świecie - Google Chrome, który to zapewnia zarówno generowanie trudnych haseł przy tworzeniu kont, jak ich przechowywanie w postaci zaszyfrowanej w chmurze i ich synchronizację pomiędzy wszystkimi urządzeniami na jakich korzystamy z tej przeglądarki. Powiadomi nas też, jeśli któreś z naszych haseł pojawi się w bazie z wycieku w sieci.
Jak z tego menadżera korzystać? Jest on domyślnie włączony, nie trzeba nic zmieniać w ustawieniach (wcześniej musimy tylko zalogować się w przeglądarce na nasze konto Google) i przy tworzeniu nowego konta w wybranym serwisie, wystarczy kliknąć w wyskakującym oknie przy polu hasła - Użyj sugerowanego hasła. Po jego wskazaniu, zostanie ono automatycznie zapisane na naszym koncie Google i zsynchronizowane, dzięki temu dostępne na wszystkich naszych urządzeniach.
W przypadku, gdy chcemy zamiast wbudowanego w przeglądarkę rozwiązania skorzystać z zewnętrznego menedżera haseł, możemy wybrać bezpłatną i otwarto źródłową aplikację Bitwarden. Dostępna jest ona na komputery z zainstalowanym systemem Windows i macOS, na smartfony z Androidem i iOS oraz również jako rozszerzenie do popularnych przeglądarek: Google Chrome, Safari czy Mozilla Firefox.
Z poziomu tej aplikacji możemy dodawać ręcznie serwisy i dane logowania do nich, korzystając przy tym również z generatora trudnych haseł. Wygodniej natomiast jest zainstalować jednocześnie rozszerzenie Bitwarden do przeglądarki, z której korzystamy na co dzień i budowanie swojej bazy haseł bezpośrednio w przeglądarce.
Hasła w Bitwarden również są zaszyfrowane i synchronizowane z wszystkimi urządzeniami, na których go zainstalowaliśmy i się do niego zalogowaliśmy. Dostępne są tu również powiadomienia, w przypadku gdy któreś z naszych haseł wycieknie do sieci.
Czy menadżer haseł to bezpieczne rozwiązanie? Takie narzędzia z uwagi na swoje zastosowanie, są zbudowane ze szczególnym skupieniem na bezpieczeństwo ich użytkowników. Jest w pełni zaszyfrowane, choć oczywiście istnieje ryzyko w postaci ataku na chmurę, w której zapisywane są dane niezbędne do synchronizacji haseł pomiędzy urządzeniami, jednak to cały czas jedno z najbezpieczniejszych sposobów na ich zapisywanie.
Dodatkowo możemy zabezpieczyć taki menadżer dwuskładnikowym uwierzytelnianiem przy pomocy zewnętrznej aplikacji Google Authenticator, dostępnym zarówno na koncie Google, jak i w opisywanej aplikacji Bitwarden. Dzięki czemu możemy ustrzec się nawet przed specjalistycznym oprogramowaniem cyberprzestępców, śledzącym wpisywane frazy na klawiaturze zaatakowanego urządzenia.
Jak często zmieniać hasła do serwisów?
W przypadku, gdy korzystamy z menedżera haseł, warto je zmieniać przynajmniej raz na kwartał. Natomiast główne hasło dostępu, potrzebne do uruchomienia menedżera raz na pół roku.
Jeśli nie korzystamy z takich rozwiązań i musimy każde z haseł każdorazowo zapamiętać, warto je również zmieniać co najmniej raz na pół roku. Powołując się tu również na badania CERT Polska - wynika z nich, że częstsze zmiany haseł, na przykład co miesiąc, powodują odwrotny skutek do zamierzonego, więc tworzymy je coraz łatwiejsze do zapamiętania lub tylko modyfikujemy nieznacznie poprzednie.
