Jak tworzyć silne i bezpieczne hasła? Poznajcie zasady i wprowadźcie dobre nawyki, które sprawią, że uwierzytelnianie stanie się bezpieczniejsze.

 

Hasła często są dla nas „złem koniecznym”. Znamy uczucie irytacji związanej z odrzuceniem hasła przy rejestracji (za słabe, za krótkie, bez wielkiej litery itp.), czy frustracji spowodowanej koniecznością kliknięcia w link „zapomniałem hasła”. W efekcie – tracimy humor i kwadrans na reset hasła oraz ponowny dostęp do konta. Jednak w cyfrowym świecie bez haseł nie da się funkcjonować.

Nawet chcąc wypłacić pieniądze przy bankowym okienku, bierzemy udział w tzw. uwierzytelnianiu wieloskładnikowym. Jego celem jest kilkupoziomowe potwierdzenie naszej tożsamości. Zapobiega to ewentualnym próbom oszustwa. Najpierw pokazujemy dowód osobisty (zdjęcie z dowodu jest porównywane z naszym obecnym wyglądem), a potem składamy podpis (którego wzór posiada bank). Jeden z elementów się nie zgadza? Z banku zamiast z plikiem banknotów odejdziemy z życzeniami „miłego dnia”. Podobny mechanizm wykorzystujemy w internecie. Informacje uwierzytelniające dzielimy tu na 3 grupy:

• „to, co wiem”, czyli hasła oraz loginy, odpowiedzi na pytania pomocnicze, nr PESEL itp.

• „to, co mam” – dowód osobisty, legitymacja studencka, smartfon, token czy klucz U2F.

• to, kim jestem” – nasze cechy biometryczne i behawioralne – odcisk palca, skan tęczówki, wygląd twarzy itp.

Czasem zabezpieczenia spełniają kryteria dwóch grup (np. podpis to połączenie grup 1 i 3). Mechanizmy uwierzytelniania muszą być jednocześnie bezpieczne, niezawodne i proste w zastosowaniu. Z tego powodu najczęściej stosujemy kombinację login plus hasło. Przyjrzyjmy się jej dokładniej z perspektywy… hakera.

Zanim zaczniemy łamać czyjeś hasło, spróbujemy poprosić użytkownika w wiadomości phishingowej o dane uwierzytelniające – to najprostsza metoda ich zdobycia. Jeśli podstęp się nie uda, sprawdzamy czy login lub email nie pojawił się w tzw. wyciekach. Włamania do dużych sieci sklepów, hoteli, serwisów umożliwiających użytkownikom logowanie, stały się codziennością. Tak wyciekały nawet kilkuset gigabajtowe bazy danych, zawierające różne wrażliwe dane. W jednej z takich baz znajdujemy login i hasło naszej „ofiary”. Są jednak nieaktualne – użytkownik okazał się przezorny, regularnie zmieniając swoje hasła. Sprawdźmy więc, czy ma on konta w serwisach ze szczególną opcją resetu hasła.

Niektóre portale umożliwiają „awaryjne logowanie” na wypadek zapomnienia swoich danych uwierzytelniających. Odpowiadamy na ustawione przy rejestracji pytanie kontrolne, np. „imię ulubionego zwierzaka”, i gotowe. Sprawdzamy profil na Facebooku „ofiary” – zaskakująco często można znaleźć tam odpowiedź. Ale wciąż nic – „nasz” użytkownik prawdopodobnie odpowiedział na te pytania kreatywnie i niezgodnie z prawdą. Próbujemy dalej. Być może jego hasło jest jednym z najczęściej występujących. 123456, qwerty, zaq12wsx, „imięliczba” (np. marcin1), ”nazwadata” (np. Paulina1999),  K@r0!ina czy wreszcie ikoniczny w świecie bezpieczeństwa komputerowego „admin” i „admin123”. A to tylko kilka przykładów. Bazując na hasłach z wycieków danych łatwo dostrzec schematy, reguły i szablony podmian. Jednak nasza „ofiara” jest sprytniejsza i nie używa tych technik. Zostają nam dwie możliwości: sprawdzenie wszystkich słów z języka polskiego i – w ostateczności – wszystkich możliwych kombinacji. Zagwarantuje nam to sukces, ale może zająć wieki. Po 123 latach nasz wnuk, kontynuujący proces łamania haseł „ofiary”, wreszcie osiąga cel. Szukane hasło to jgd12#$HT+A. Jednak przy próbie logowania do poczty dostaje komunikat o konieczności użycia drugiej informacji uwierzytelniającej. Cały 123-letni proces łamania hasła, dzięki zastosowaniu uwierzytelniania wieloskładnikowego, spalił na panewce. Ofiara potwierdzała logowanie przy użyciu klucza U2F albo kodu w SMS lub aplikacji na smartfonie. Ostatecznie, udało się nam złamać hasło, ale … nie mogliśmy uwierzytelnić.

Jeśli po przeczytaniu tego artykuły wymyślisz genialne, silne i bezpieczne hasło, to pamiętaj o tym, by nie ustawiać go wszędzie. To dość powszechny błąd. Nie chcesz wymyślać setek haseł do wszystkich swoich kont? Stwórz mocne – szczególnie do banku, konta firmowego, maila i kont w serwisach społecznościowych. Użycie haseł 12-znakowych, tworzonych inaczej niż w wymienionych przykładach, uniemożliwi ich złamanie w racjonalnym czasie. Jeśli to zbyt skomplikowane, skorzystaj z menedżera haseł (np. KeePass, 1Password czy LastPass). I na koniec pamiętaj – zapisywanie swoich haseł gdziekolwiek, szczególnie w przeglądarce, karteczkach na ekranie, plikach tekstowych i w excel,  jest niebezpieczne! Życzymy wiele kreatywności i bezpiecznego korzystania z internetu!

About the author

POLECANE DLA CIEBIE

Bez kategorii
10 min lektury

Dlaczego poduszki wybuchają?

Wyobraźmy sobie dzień 21 października 2015 roku. Michael J. Fox jako Marty McFly ląduje zbudowanym na bazie samochodu DeLorean DMC-12…

4 komentarze

TAGI