Dobre hasło

Dobre hasło

Do posłuchania

Zagrożenie

Hasła są obecnie najpopularniejszą metodą zabezpieczania naszych kont w sieci. Często w momencie gdy ktoś pozna nasze hasło, jest w stanie w pełni skorzystać z naszego konta. Co gorsza:

Dobre hasło - cytat
Gdy ktoś przejmie Twoje konto mailowe, to tak jakby przejął konta w większości serwisów, w których użyłeś tego maila przy rejestracji.

Jest to możliwe, bo atakujący może w każdym z tych serwisów użyć funkcji przypomnienia hasła.

Jakie podstawowe błędy popełniamy przy tworzeniu hasła?

  1. Zbyt proste hasło
  2. Użycie takiego samego hasła w różnych serwisach
  3. Nie zmienianie istotnych haseł

Spójrzmy na nasze hasła z punktu widzenia osoby, która chciałaby je pozyskać:

Jak działają hakerzy próbujący złamać Twoje hasło?

Istnieje kilka popularnych metod łamania haseł:

  • siłowa – generujemy wszystkie możliwe kombinacje haseł i próbujemy ich użyć do logowania jedno po drugim (czyli aaaa, aaab, aaac, itd.), 
  • słownikowa – próbujemy użyć słów, haseł z różnych wycieków haseł oraz ich kombinacji do logowania się na określony login, 
  • słownika z topologią (ciekawa strategia wykorzystująca to, że tworząc hasła często “idziemy na łatwiznę”). Bazując na różnych wyciekach rzeczywistych haseł odkryto, że ludzie najczęściej używają określonych schematów haseł takich jak: same litery, same cyfry, litery i 2 cyfry na końcu lub nawet słowo i cyfra na końcu. Znając takie schematy można szybciej łamać hasło, zaczynając od najpopularniejszych schematów.

Zobaczmy również, ile czasu zajmuje złamanie różnego rodzaju haseł:

HasłoCzas złamania hasła
Adrian453 sekundy
AdrianDom86 sekund
Uw4i7Iak45 minut
AV(9I@wG5 lat
AV99I@wG9W9&xZ233 tysiące miliardów lat
rower-zlamane-Piaseczno146 miliardów lat

Dane na podstawie: https://howsecureismypassword.net/

Czemu użycie tego samego hasła w różnych miejscach jest groźne i czemu warto je zmieniać?

Raz na jakiś czas następują wycieki haseł z różnych serwisów. Gdy nasze hasło z jednego serwisu wycieknie, atakujący może go użyć w innych serwisach, w których korzystamy z tego samego loginu i hasła.

Na koniec mam dla Ciebie dobrą wiadomość. Ostatnio w związku z wymuszeniem wprowadzenia w życie dyrektywy PSD2 logowanie do banków i transakcje nie mogą być zabezpieczone tylko i wyłącznie hasłem. W związku z tym nawet, gdy ktoś złamie nasze hasło do banku, nie będzie w stanie w prosty sposób ukraść nam pieniędzy.

Możliwości

Czy da się stworzyć w 100% bezpieczne i dobre hasło?
Zdecydowanie nie. Atakujący zawsze może zgadnąć nasze nawet 50 znakowe hasło zmieniane codziennie. 🙂 W kolejnych dniach powiem o mechanizmie lepiej zabezpieczającym nasze konta.

Jest takie popularne powiedzenie:

Dobre hasło jest jak bielizna

  • Nie publiczne, 
  • nie dziel się nim z innymi
  • zmieniaj regularnie

ja bym dodał:

  • że musi być wygodne
  • oraz musi spełniać swoją rolę

Co to oznacza?

  • zabezpieczamy hasło, żeby nikt niepowołany nie mógł go poznać (nie przyklejamy go na karteczce na monitorze, nawet nie chowamy pod klawiaturą)
  • nie dzielimy się swoimi hasłami ze znajomymi, a także z innymi serwisami. Nikt nie powinien nas pytać o to, jakie mamy hasło. Bezpieczne serwisy na pewno tego nie robią. Dodatkowo staramy się używać unikalnych haseł dla ważnych serwisów. Dla mniej ważnych (jak na przykład 20 różnych sklepów, w których zrobicie zakupy tylko tylko raz) można używać tego samego hasła, ale innego niż w ważnych serwisach.
  • zmienianie regularne jest dyskusyjną kwestią. Na pewno nie warto zmieniać hasła na podobne (np. z Adrian1 na Adrian2). Tego typu zmiany nic nie dają. Tutaj, tak jak w poprzednim punkcie, polecałbym regularne zmienianie haseł w ważnych serwisach.
  • czym jest wygoda hasła? Musi być wygodne do zapamiętania i do używania. Warto pamiętać o tym, żeby nie utrudniać sobie za bardzo logowania. Będę o tym jeszcze mówił w kolejnych dniach.
  • jaka jest główna rola hasła? Powinno zabezpieczać nasze konto. Tak więc nie powinno być zbyt proste.

Polecana metoda tworzenia haseł

Tworząc dobre hasło należy wyważyć poziom skomplikowania hasała i łatwość jego zapamiętania. W związku z tym polecane jest tworzenie długich haseł składających się z wielu zmodyfikowanych fraz. Oto prosty przepis:

  1. Wybierz 3-4 niezwiązane ze sobą słowa lub frazy (np. krzesło, astronomia, gleba, pulp fiction)
  2. Każde ze słów zmodyfikuj. Zmień jakieś litery, dodaj specjalne znaki itp. Według swojego pomysłu (kr+zesło, a8stronomia, glema, pul2fiction)
  3. Pomiędzy każde słowo zamiast spacji wstaw znak specjalny (kr+zesło=a8stronomia=glema=pul2fiction)
  4. W ten sposób mamy stworzone skomplikowane, długie, dobre hasło (39 znaków), które dość łatwo zapamiętać.

Inne sposoby tworzenia haseł

Ostatnio zaciekawił mnie jeden pomysł na sprawne tworzenie bezpiecznych haseł. Polega on na umiejętnym wykorzystaniu karty z unikalnym mapowaniem znaków na inne.
https://www.qwertycards.com/
http://cyber.naimuri.com/password/

Jak sprawdzić siłę swojego hasła?

Można tu skorzystać z różnych stron które to umożliwiają.
https://howsecureismypassword.net/

Choć nawet tam nie warto podawać dokładnie tego samego hasała, którego używasz. Przetestuj ciąg znaków o podobnej długości i topografii do Twojego hasła. 

Pytania pomocnicze

Na koniec jeszcze jedna wzmianka o pytaniach pomocniczych przy logowaniu lub odzyskiwaniu hasła. Często jest to niedoceniany element zabezpieczeń. Jeżeli musimy na jakiejś stronie podać nasze odpowiedzi na pytania pomocnicze, to wybierzmy pytania tak, żebyśmy tylko my znali na nie odpowiedzi, albo żeby odpowiedzi nie były oczywiste

Złe pytanie: Jak ma na imię mój pies?

Dobre pytanie: Kiedy pierwszy raz jadłem lody?

Zadanie

Hasła to obszerny temat, ale przyszedł czas na zadanie na dziś.

  1. Weź listę swoich najważniejszych kont. 
  2. Jak bezpieczne masz w nich hasła?
  3. Czy są one różne pomiędzy sobą i czy używasz ich gdzieś indziej?
  4. Kiedy ostatnio je zmieniałeś?

Taka weryfikacja jest dobrym momentem, żeby zmienić hasła na silniejsze lub bardziej unikatowe.

Zadanie dodatkowe

Wymyśl swój sposób na tworzenie bezpiecznych fraz-haseł.

Zdjęcie tytułowe by Photo by Pexels

Zapisz się na Przewodnik bezpieczeństwa w sieci

Darmowy program poprawy swojego bezpieczeństwa w codziennym życiu.
* wymagane

W każdej chwili możesz zrezygnować z otrzymywania tego biuletynu klikając w link na końcu dowolnego maila.

Używam Mailchimp jako dostawcy mailingu. Zapisując się wyrażasz zgodę na to, żeby przekazać im Twój adres e-mail do celów obsługi mailingu. Dowiedz się więcej tutaj.