Jak tworzyć silne i bezpieczne hasła? Poznajcie zasady i wprowadźcie dobre nawyki, które sprawią, że uwierzytelnianie stanie się bezpieczniejsze.

 

Hasła często są dla nas „złem koniecznym”. Znamy uczucie irytacji związanej z odrzuceniem hasła przy rejestracji (za słabe, za krótkie, bez wielkiej litery itp.), czy frustracji spowodowanej koniecznością kliknięcia w link „zapomniałem hasła”. W efekcie – tracimy humor i kwadrans na reset hasła oraz ponowny dostęp do konta. Jednak w cyfrowym świecie bez haseł nie da się funkcjonować.

Nawet chcąc wypłacić pieniądze przy bankowym okienku, bierzemy udział w tzw. uwierzytelnianiu wieloskładnikowym. Jego celem jest kilkupoziomowe potwierdzenie naszej tożsamości. Zapobiega to ewentualnym próbom oszustwa. Najpierw pokazujemy dowód osobisty (zdjęcie z dowodu jest porównywane z naszym obecnym wyglądem), a potem składamy podpis (którego wzór posiada bank). Jeden z elementów się nie zgadza? Z banku zamiast z plikiem banknotów odejdziemy z życzeniami „miłego dnia”. Podobny mechanizm wykorzystujemy w internecie. Informacje uwierzytelniające dzielimy tu na 3 grupy:

• „to, co wiem”, czyli hasła oraz loginy, odpowiedzi na pytania pomocnicze, nr PESEL itp.

• „to, co mam” – dowód osobisty, legitymacja studencka, smartfon, token czy klucz U2F.

• to, kim jestem” – nasze cechy biometryczne i behawioralne – odcisk palca, skan tęczówki, wygląd twarzy itp.

Czasem zabezpieczenia spełniają kryteria dwóch grup (np. podpis to połączenie grup 1 i 3). Mechanizmy uwierzytelniania muszą być jednocześnie bezpieczne, niezawodne i proste w zastosowaniu. Z tego powodu najczęściej stosujemy kombinację login plus hasło. Przyjrzyjmy się jej dokładniej z perspektywy… hakera.

Zanim zaczniemy łamać czyjeś hasło, spróbujemy poprosić użytkownika w wiadomości phishingowej o dane uwierzytelniające – to najprostsza metoda ich zdobycia. Jeśli podstęp się nie uda, sprawdzamy czy login lub email nie pojawił się w tzw. wyciekach. Włamania do dużych sieci sklepów, hoteli, serwisów umożliwiających użytkownikom logowanie, stały się codziennością. Tak wyciekały nawet kilkuset gigabajtowe bazy danych, zawierające różne wrażliwe dane. W jednej z takich baz znajdujemy login i hasło naszej „ofiary”. Są jednak nieaktualne – użytkownik okazał się przezorny, regularnie zmieniając swoje hasła. Sprawdźmy więc, czy ma on konta w serwisach ze szczególną opcją resetu hasła.

Niektóre portale umożliwiają „awaryjne logowanie” na wypadek zapomnienia swoich danych uwierzytelniających. Odpowiadamy na ustawione przy rejestracji pytanie kontrolne, np. „imię ulubionego zwierzaka”, i gotowe. Sprawdzamy profil na Facebooku „ofiary” – zaskakująco często można znaleźć tam odpowiedź. Ale wciąż nic – „nasz” użytkownik prawdopodobnie odpowiedział na te pytania kreatywnie i niezgodnie z prawdą. Próbujemy dalej. Być może jego hasło jest jednym z najczęściej występujących. 123456, qwerty, zaq12wsx, „imięliczba” (np. marcin1), ”nazwadata” (np. Paulina1999),  K@r0!ina czy wreszcie ikoniczny w świecie bezpieczeństwa komputerowego „admin” i „admin123”. A to tylko kilka przykładów. Bazując na hasłach z wycieków danych łatwo dostrzec schematy, reguły i szablony podmian. Jednak nasza „ofiara” jest sprytniejsza i nie używa tych technik. Zostają nam dwie możliwości: sprawdzenie wszystkich słów z języka polskiego i – w ostateczności – wszystkich możliwych kombinacji. Zagwarantuje nam to sukces, ale może zająć wieki. Po 123 latach nasz wnuk, kontynuujący proces łamania haseł „ofiary”, wreszcie osiąga cel. Szukane hasło to jgd12#$HT+A. Jednak przy próbie logowania do poczty dostaje komunikat o konieczności użycia drugiej informacji uwierzytelniającej. Cały 123-letni proces łamania hasła, dzięki zastosowaniu uwierzytelniania wieloskładnikowego, spalił na panewce. Ofiara potwierdzała logowanie przy użyciu klucza U2F albo kodu w SMS lub aplikacji na smartfonie. Ostatecznie, udało się nam złamać hasło, ale … nie mogliśmy uwierzytelnić.

Jeśli po przeczytaniu tego artykuły wymyślisz genialne, silne i bezpieczne hasło, to pamiętaj o tym, by nie ustawiać go wszędzie. To dość powszechny błąd. Nie chcesz wymyślać setek haseł do wszystkich swoich kont? Stwórz mocne – szczególnie do banku, konta firmowego, maila i kont w serwisach społecznościowych. Użycie haseł 12-znakowych, tworzonych inaczej niż w wymienionych przykładach, uniemożliwi ich złamanie w racjonalnym czasie. Jeśli to zbyt skomplikowane, skorzystaj z menedżera haseł (np. KeePass, 1Password czy LastPass). I na koniec pamiętaj – zapisywanie swoich haseł gdziekolwiek, szczególnie w przeglądarce, karteczkach na ekranie, plikach tekstowych i w excel,  jest niebezpieczne! Życzymy wiele kreatywności i bezpiecznego korzystania z internetu!

About the author

POLECANE DLA CIEBIE

TAGI