Dobre hasło
Do posłuchania
Zagrożenie
Hasła są obecnie najpopularniejszą metodą zabezpieczania naszych kont w sieci. Często w momencie gdy ktoś pozna nasze hasło, jest w stanie w pełni skorzystać z naszego konta. Co gorsza:
Jest to możliwe, bo atakujący może w każdym z tych serwisów użyć funkcji przypomnienia hasła.
Jakie podstawowe błędy popełniamy przy tworzeniu hasła?
- Zbyt proste hasło
- Użycie takiego samego hasła w różnych serwisach
- Nie zmienianie istotnych haseł
Spójrzmy na nasze hasła z punktu widzenia osoby, która chciałaby je pozyskać:
Jak działają hakerzy próbujący złamać Twoje hasło?
Istnieje kilka popularnych metod łamania haseł:
- siłowa – generujemy wszystkie możliwe kombinacje haseł i próbujemy ich użyć do logowania jedno po drugim (czyli
aaaa
,aaab
,aaac
, itd.), - słownikowa – próbujemy użyć słów, haseł z różnych wycieków haseł oraz ich kombinacji do logowania się na określony login,
- słownika z topologią (ciekawa strategia wykorzystująca to, że tworząc hasła często “idziemy na łatwiznę”). Bazując na różnych wyciekach rzeczywistych haseł odkryto, że ludzie najczęściej używają określonych schematów haseł takich jak: same litery, same cyfry, litery i 2 cyfry na końcu lub nawet słowo i cyfra na końcu. Znając takie schematy można szybciej łamać hasło, zaczynając od najpopularniejszych schematów.
Zobaczmy również, ile czasu zajmuje złamanie różnego rodzaju haseł:
Hasło | Czas złamania hasła |
Adrian45 | 3 sekundy |
AdrianDom | 86 sekund |
Uw4i7Iak | 45 minut |
AV(9I@wG | 5 lat |
AV99I@wG9W9&xZ23 | 3 tysiące miliardów lat |
rower-zlamane-Piaseczno | 146 miliardów lat |
Dane na podstawie: https://howsecureismypassword.net/
Czemu użycie tego samego hasła w różnych miejscach jest groźne i czemu warto je zmieniać?
Raz na jakiś czas następują wycieki haseł z różnych serwisów. Gdy nasze hasło z jednego serwisu wycieknie, atakujący może go użyć w innych serwisach, w których korzystamy z tego samego loginu i hasła.
Na koniec mam dla Ciebie dobrą wiadomość. Ostatnio w związku z wymuszeniem wprowadzenia w życie dyrektywy PSD2 logowanie do banków i transakcje nie mogą być zabezpieczone tylko i wyłącznie hasłem. W związku z tym nawet, gdy ktoś złamie nasze hasło do banku, nie będzie w stanie w prosty sposób ukraść nam pieniędzy.
Możliwości
Czy da się stworzyć w 100% bezpieczne i dobre hasło?
Zdecydowanie nie. Atakujący zawsze może zgadnąć nasze nawet 50 znakowe hasło zmieniane codziennie. 🙂 W kolejnych dniach powiem o mechanizmie lepiej zabezpieczającym nasze konta.
Jest takie popularne powiedzenie:
Dobre hasło jest jak bielizna
- Nie publiczne,
- nie dziel się nim z innymi
- zmieniaj regularnie
ja bym dodał:
- że musi być wygodne
- oraz musi spełniać swoją rolę
Co to oznacza?
- zabezpieczamy hasło, żeby nikt niepowołany nie mógł go poznać (nie przyklejamy go na karteczce na monitorze, nawet nie chowamy pod klawiaturą)
- nie dzielimy się swoimi hasłami ze znajomymi, a także z innymi serwisami. Nikt nie powinien nas pytać o to, jakie mamy hasło. Bezpieczne serwisy na pewno tego nie robią. Dodatkowo staramy się używać unikalnych haseł dla ważnych serwisów. Dla mniej ważnych (jak na przykład 20 różnych sklepów, w których zrobicie zakupy tylko tylko raz) można używać tego samego hasła, ale innego niż w ważnych serwisach.
- zmienianie regularne jest dyskusyjną kwestią. Na pewno nie warto zmieniać hasła na podobne (np. z
Adrian1
naAdrian2
). Tego typu zmiany nic nie dają. Tutaj, tak jak w poprzednim punkcie, polecałbym regularne zmienianie haseł w ważnych serwisach. - czym jest wygoda hasła? Musi być wygodne do zapamiętania i do używania. Warto pamiętać o tym, żeby nie utrudniać sobie za bardzo logowania. Będę o tym jeszcze mówił w kolejnych dniach.
- jaka jest główna rola hasła? Powinno zabezpieczać nasze konto. Tak więc nie powinno być zbyt proste.
Polecana metoda tworzenia haseł
Tworząc dobre hasło należy wyważyć poziom skomplikowania hasała i łatwość jego zapamiętania. W związku z tym polecane jest tworzenie długich haseł składających się z wielu zmodyfikowanych fraz. Oto prosty przepis:
- Wybierz 3-4 niezwiązane ze sobą słowa lub frazy (np.
krzesło
,astronomia
,gleba
,pulp fiction
) - Każde ze słów zmodyfikuj. Zmień jakieś litery, dodaj specjalne znaki itp. Według swojego pomysłu (
kr+zesło
,a8stronomia
,glema
,pul2fiction
) - Pomiędzy każde słowo zamiast spacji wstaw znak specjalny (
kr+zesło=a8stronomia=glema=pul2fiction
) - W ten sposób mamy stworzone skomplikowane, długie, dobre hasło (39 znaków), które dość łatwo zapamiętać.
Inne sposoby tworzenia haseł
Ostatnio zaciekawił mnie jeden pomysł na sprawne tworzenie bezpiecznych haseł. Polega on na umiejętnym wykorzystaniu karty z unikalnym mapowaniem znaków na inne.
https://www.qwertycards.com/
http://cyber.naimuri.com/password/
Jak sprawdzić siłę swojego hasła?
Można tu skorzystać z różnych stron które to umożliwiają.
https://howsecureismypassword.net/
Choć nawet tam nie warto podawać dokładnie tego samego hasała, którego używasz. Przetestuj ciąg znaków o podobnej długości i topografii do Twojego hasła.
Pytania pomocnicze
Na koniec jeszcze jedna wzmianka o pytaniach pomocniczych przy logowaniu lub odzyskiwaniu hasła. Często jest to niedoceniany element zabezpieczeń. Jeżeli musimy na jakiejś stronie podać nasze odpowiedzi na pytania pomocnicze, to wybierzmy pytania tak, żebyśmy tylko my znali na nie odpowiedzi, albo żeby odpowiedzi nie były oczywiste
Złe pytanie: Jak ma na imię mój pies?
Dobre pytanie: Kiedy pierwszy raz jadłem lody?
Zadanie
Hasła to obszerny temat, ale przyszedł czas na zadanie na dziś.
- Weź listę swoich najważniejszych kont.
- Jak bezpieczne masz w nich hasła?
- Czy są one różne pomiędzy sobą i czy używasz ich gdzieś indziej?
- Kiedy ostatnio je zmieniałeś?
Taka weryfikacja jest dobrym momentem, żeby zmienić hasła na silniejsze lub bardziej unikatowe.
Zadanie dodatkowe
Wymyśl swój sposób na tworzenie bezpiecznych fraz-haseł.
Zdjęcie tytułowe by Photo by Pexels