Jak ogarnąć swoje hasła i nie zwariować?


Hasło powinno być długie i skomplikowane, jeśli ma być skuteczne. Z tym stwierdzeniem możemy się spotkać na licznych konferencjach i w branżowych publikacjach na temat szeroko pojętego IT security1. Jednak ta dewiza jest często nadinterpretowana i nie zawsze okazuje się optymalna, czyli adekwatna do szacowanego ryzyka.

Stosunkowo niedawno na blogu Ateny pojawił się artykuł naszego kolegi Bezpiecznika, Piotra Szafrańskiego, który w pigułce przedstawił kilka zasad mówiących o tym, jak tworzyć bezpieczne hasła. Chciałbym przedstawić tę tematykę z nieco odmiennej perspektywy. Osobiście uważam, że hasła powinny zapewniać użytkownikowi przede wszystkim poufność oraz dostępność zasobów, które pragnie chronić. Powinny zatem być na tyle silne, aby trudno było je złamać, a jednocześnie muszą być zawsze dostępne dla upoważnionej osoby w wymaganym miejscu i czasie. Co za tym idzie, nie dla każdego konta musimy tworzyć 14-znakowe alfanumeryczne hasło, które najprawdopodobniej szybko zapomnimy albo zapiszemy na kartce, by przykleić ją na obudowie laptopa…

W niniejszym artykule postaram się opisać, jak zadbać o higienę haseł i nie zwariować. Praktyki, które zaproponuję, pomogą Ci zinwentaryzować posiadane konta, ustalić dla każdego z nich poziom ryzyka i przypisać właściwe sposoby ochrony, a także – co najważniejsze – pomogą wypracować metodę tworzenia silnych haseł, które ochronią Twoje zasoby. Gwarantuję, że po zastosowaniu niżej opisanych metod uporządkujesz swoje konta oraz zaoszczędzisz bezcenny czas na resetowanie czy odzyskiwanie haseł, które zdarzy Ci się w przyszłości zapomnieć.

Mierząc się z większym od siebie

Na początek porównajmy ochronę naszych prywatnych danych do informacji chronionych tajemnicą przedsiębiorstwa2 dużej organizacji. Otóż polityki haseł w firmowych kontach są z reguły bardziej złożone, niż te, które stosujemy w przypadku prywatnych kont. Firmy wymagają, żeby hasła miały minimum 8-10 znaków, w tym małe, wielkie litery, cyfry i/ lub znaki specjalne. Narzucają też cykliczną zmianę haseł co 30 dni i tak dalej. Nic w tym dziwnego, ponieważ firma zobowiązuje się do stosowania obowiązujących wymagań prawnych oraz normalizacyjnych. W tym celu wdraża szereg środków technicznych oraz organizacyjnych, aby zabezpieczyć istotne zasoby. Najczęściej przedsiębiorstwa robią to w oparciu o analizę ryzyka, bowiem inaczej trzeba chronić informacje wewnętrzne o benefitach pracowniczych, a inaczej szczególne kategorie danych osobowych3, wcześniej zwane wrażliwymi.

Aby dobrze przeprowadzić ocenę ryzyka, w pierwszym kroku firma inwentaryzuje swoje informacje i zasoby, które je przetwarzają. Następnie klasyfikuje je pod względem wartości (istotności) i przyporządkowuje do odpowiednich grup. Taka inwentaryzacja może zająć od kilku dni do nawet wielu miesięcy, w zależności od wielkości przedsiębiorstwa i dostępnych zasobów.

Na szczęście nasze prywatne dane nie są obarczone wymaganiami norm ISO i przepisami prawa, takimi jak RODO, czy ustawa o zwalczaniu nieuczciwej konkurencji. Dlatego mamy tę wygodę, że sami możemy skomponować naszą politykę haseł – taką, jaką uznamy za stosowną – o ile dany system nie wymaga dodatkowych zabezpieczeń. Rodzi się pytanie, w jaki sposób możemy to zrobić?

Pora na odkurzanie i porządki

Pierwszy krok powinien wyglądać podobnie, jak w przypadku dużej organizacji. Musimy mianowicie zinwentaryzować prywatne zasoby, czyli odszukać konta do wszystkich serwisów i witryn, jakie posiadamy – to jest konta do: poczty, bankowości, zakupów, kursów językowych, opieki medycznej, ubezpieczalni, dostawców usług telekomunikacyjnych, serwisów należących do gigantów technologicznych, czyli Google, YouTube, Microsoft, Amazon. A przede wszystkim nie możemy zapomnieć o publicznych skarbnicach wiedzy, jakimi są media społecznościowe, czyli Facebook, Twitter, Instagram i inne. Serwisy, do których logowaliśmy przez konto Google, jak i powiązane konta, możemy odnaleźć w zakładce Bezpieczeństwo w sekcji Logowanie się na innych stronach w naszym koncie Google.

Idąc dalej, gdy już wylistujemy sobie wszystkie konta, sklasyfikujmy je, dobierając w grupy pod względem odpowiadających im wartościom. O co tutaj chodzi? Dla większości czytelników największą wartość będzie miało konto do bankowości elektronicznej, ponieważ tam wpływają nasze ciężko zarobione pieniądze. Co więcej, tutaj znajdują się poufne informacje, którymi niechętnie się dzielimy – jest to nie tylko wysokość naszej pensji, ale również PESEL, numer dowodu osobistego, powiązany numer telefonu i adres e-mail, będące kanałami komunikacyjnymi przy odzyskiwaniu/ resetowaniu hasła.

Z kolei po drugiej stronie mamy konta tak zwanego „jednorazowego użytku”, zakładane jedynie na potrzeby dokonania zakupu produktu lub usługi, której nie można znaleźć w żadnym innym sklepie. Wówczas przy rejestracji takiego konta z reguły podajemy tylko wymagane dane, nie więcej, niż potrzeba do zrealizowania zamówienia. Taka praktyka jest nazwana zasadą minimalizacji przetwarzanych danych, co oznacza postępowanie w myśl need-to-know, czyli przetwarzania danych tylko w takim zakresie, w jakim jest to konieczne. Z reguły oprócz imienia i nazwiska podaje się adres e-mail i/ lub numer telefonu oraz adres korespondencyjny/ dostawy. Po dokonaniu transakcji istnieje wysokie prawdopodobieństwo, że więcej z tego konta nie skorzystamy i odejdzie ono w zapomnienie. Dlatego nie będziemy go nigdy traktować tak, jak konta do banku. W inny też sposób będziemy je chronić.

Ustal priorytety

W kolejnym kroku klasyfikujemy konta do grup odpowiadających im wartościom. Jest to sprawa bardzo indywidualna i zależna od tego, jakie dane uważamy za istotne. Dla kogoś konto na Facebooku będzie miało wartość krytyczną, bo umieścił w nim swoją tożsamość, całą plejadę osobistych danych i zdjęć. Dla innego za to będzie miało ono znikome znaczenie, ponieważ posiada tam jedynie konto z fikcyjnymi informacjami – mam tu na myśli tak zwaną „grupę cichociemnych”.  Aby lepiej zobrazować tę kwestię, w tabeli 1 przygotowałem przykład, w jaki sposób można pogrupować konta.

SerwisInformacjeKlasa
BibliotekaMało istotneNiska
Kurs językowyMało istotneNiska
Sklep internetowyMało istotneNiska
FacebookIstotneŚrednia
MultisportIstotneŚrednia
Portal streamingowyIstotneŚrednia
BankowośćBardzo istotneWysoka
MicrosoftBardzo istotneWysoka
Opieka medycznaBardzo istotneWysoka
PocztaBardzo istotneWysoka

Tabela 1 – Klasyfikacja kont

Na powyższym przykładzie wyodrębniłem trzy klasy kont, do których należy dobrać adekwatne zabezpieczenia. Oczywiście możemy je podzielić na dwie albo cztery grupy lub więcej, jeżeli czujemy taką potrzebę. Ważne jest, aby wartość przechowywanych informacji odzwierciedlały przypisaną klasę.

Mając opracowaną klasyfikację kont, możemy wreszcie ustalić metody ochrony. Wybór zabezpieczeń powinien uwzględniać wszystkie czynniki, które mają wpływ na bezpieczeństwo informacji. Dużo więc zależy od tego, jak korzystamy z danego konta. Przykładowo, jeśli z komputera korzysta kilku użytkowników w gospodarstwie domowym, warto, aby każdy z nich posiadał swój profil i zabezpieczył go hasłem. Gdy korzystamy z laptopa w komunikacji publicznej, ekran powinien mieć filtr/ folię polaryzacyjną, a my powinniśmy rozejrzeć się wkoło, by sprawdzić, czy żadna osoba nie podejrzy hasła, które wpisujemy.

Kolejny sposób ochrony konta z pozoru prosty, ale moim zdaniem najważniejszy i zarazem bardzo skuteczny, to wykorzystanie tam, gdzie tylko możliwe, dwuskładnikowego uwierzytelniania, tak zwanego 2FA. Jest to nic innego, jak drugi etap uzyskiwania dostępu do konta – po wpisaniu hasła musimy wprowadzić dodatkowo kolejny klucz, który nas zautoryzuje. Taki klucz może występować pod kilkoma postaciami:

  • kodu, który przychodzi w postaci SMS na powiązany z kontem numer telefonu,
  • tokenu, czyli urządzenia generującego jednorazowe kody,
  • YubiKay – magicznego urządzenia wspierającego komunikację NFC lub tradycyjnego ze złączem USB,
  • biometrycznej identyfikacji, czyli odcisku palca albo FaceID.

Tworzenie haseł

Zajmijmy się wreszcie tworzeniem haseł. Logiczne jest, że najsilniejsze hasła przypiszemy do kont klasy wysokiej, a te mniej skomplikowane – do średniej i niskiej. Jak wygenerować dobre hasło, które zabezpieczy najbardziej wrażliwe zasoby? Najlepiej skorzystać z gotowych programów do zarządzania hasłami, tak zwanych managerów haseł: keepass, 1password, dashlane lub lastpass. Przechowują one nasze hasła w postaci zaszyfrowanej. Potrafią wygenerować hasło zgodne z każdą polityką, jaką ustalimy – próbkę możliwości narzędzia prezentuje rysunek 1. Zasada działania jest banalnie prosta – otwieramy witrynę i pole logowania, wchodzimy do managera haseł, zaznaczamy wybrany wpis, klikamy przycisk automatycznego wpisania i voila – zalogowaliśmy się na nasze konto. Managery haseł są bardzo praktycznym rozwiązaniem, które mogą być nieocenione w zarządzaniu naszymi hasłami. A czym różnią się między sobą wymienione narzędzia i które z nich wybrać? Najlepiej sami zdecydujcie w oparciu o ten artykuł.  

Rysunek 1 – Opcje generatora haseł

Takie managery haseł są kompatybilne ze wszystkimi popularnymi systemami operacyjnymi, jak Windows, MAC OS, Linux. Działają również na urządzeniach mobilnych z Androidem i iOS. Można je także przypiąć jako rozszerzenie do przeglądarki.

Niestety, powyższe rozwiązanie ma również swoje minusy. Najpoważniejszym z nich jest możliwość podejrzenia wszystkich haseł, które mamy zapisane w aplikacji, po uwierzytelnieniu się do niej. Dlatego niektórzy nie decydują się na wykorzystanie takich narzędzi, a wolą ćwiczyć pamięć.

Jeśli bardziej ufamy sobie niż technologii, musimy mieć przynajmniej odrobinę wyobraźni i nutkę kreatywności, ponieważ wymyślone hasło powinno być zarówno bezpieczne, jak i takie, które zapamiętamy. Jest na to kilka dobrych sposobów i postaram się opisać najlepsze z nich.

Oczami wyobraźni

Wielokrotnie zwracałem uwagę, że hasło powinno być adekwatne do informacji, które chronimy. Dlatego jego złożoność powinna zależeć od przypisanej klasy konta. Przy tworzeniu haseł musimy przede wszystkim wystrzegać się haseł zbyt prostych, które łatwo złamać metodą siłową (brute force) lub atakiem słownikowym. Najgorsze hasła to takie, które łatwo powiązać z informacjami osobistymi, czyli opartymi na przykład na imionach własnych, partnerów, dzieci czy domowych zwierząt, datach urodzin czy łatwych do zapamiętania ciągach znaków, takich jak 1111, 1234, qwerty, adminadmin, michal123, burek666, lipiec2019 i tym podobne.

Przechodząc do meritum, spróbujmy zacząć od dużego kalibru, czyli utworzyć hasło dla konta o wysokiej klasie ważności. W tym przypadku hasło powinno być silne i skomplikowane oraz takie, które uda się zapamiętać. Co ludzki mózg zapamiętuje najlepiej? Oczywiście, że tekst ulubionej piosenki.

Wobec tego wybieramy fragment liczący od trzech do pięciu słów z ulubionej piosenki. Na potrzeby tego przykładu weźmy na warsztat pierwszy wers refrenu „Długość dźwięku samotności” autorstwa grupy Myslovitz:

InawetKiedyBędęSam

Powyższy tekst ma 18 znaków. Dużo jak na hasło, ale mimo to nie jest ono wystarczająco złożone. Skomplikujmy je bardziej, dodając znaki specjalne, angielskie odpowiedniki oraz zmieniając pojedyncze litery na cyfry, posiłkując się proponowanymi modyfikacjami z tabeli 2.

Znak pierwotnyZamiennik
I&
E3
A4
a@
S$
Y7
O0 (zero)

Tabela 2 – Zamienniki niektórych liter

  • I -> & (zamiana na znak specjalny)
  • Nawet -> 3ven (zamiana na angielskie słówko i zamiana E na 3)
  • Kiedy -> Kied7 (zamiana litery y na 7)
  • Będę -> I’m (zamiana na angielskie słówko ze znakiem specjalnym)
  • Sam -> 4l0ne (zamiana na angielskie słówko i zamiana A na 4 oraz o na cyfrę 0)

Ostatecznie hasło wygląda tak:

&3venKied7I’m4l0ne

Jak wskazuje portal howsecureismypassword.net, złamanie tego hasła zajęłoby 36 quintiliony lat, czyli 1018 . Całkiem niezły wynik, jak na osiemnastoznakowe hasło, prawda? Należy jednak pamiętać, żeby nie przesadzić w drugą stronę i nie utworzyć hasła zbyt skomplikowanego, które uleci nam z pamięci. Dla potrzeb większości czytelników prawdopodobnie wystarczyłoby wprowadzić dwie-trzy modyfikacje do dwuwyrazowego hasła, które spełni oczekiwania co do ochrony nawet dla konta wysokiej klasy.

Kolejnym sposobem na generowanie hasła, który pragnę zaproponować, jest metoda akronimów. Jest to nic innego, jak wyselekcjonowanie pierwszych liter wybranego zdania i utworzenie z nich hasła. W tym przypadku również dodajemy drobne modyfikacje o cyfry i znaki, podobnie jak w poprzednim przykładzie. Wykorzystajmy tę metodę do zabezpieczenia konta klasy średniej lub niskiej, czyli celujemy w hasło liczące od ośmiu do dziesięciu znaków. Do tego przykładu możemy użyć również fragmentu piosenki, ale dla urozmaicenia weźmy na warsztat coś innego. Co to może być? Praktycznie wszystko, jeśli się tylko postaramy – ulubiona książka, film, cytat, motto życiowe, czy nawet III zasada dynamiki Newtona.

Tym razem podam przykład, który prezentuję za każdym razem na szkoleniach z bezpieczeństwa informacji:

Mój ulubiony film to Star Wars

Modyfikując zdanie metodą akronimów, doprowadzam do powstania następującego hasła:

MuftSW

Sześcioznakowe hasło wykorzystujące zaledwie dwie z czterech grup złożoności jest jednak za słabe nawet do zabezpieczenia konta niskiej klasy. Dlatego wprowadzamy kolejne modyfikacje:

  • S -> $ (zamieniamy literę S na znak specjalny $)
  • Dodajemy cyfry -> 1999, czyli rok produkcji mojej ulubionej części Gwiezdnych Wojen.

Finalnie hasło prezentuje następująco:

Muft$W1999

Jest dobrze! W miarę łatwe do zapamiętania dziesięcioznakowe hasło zawierające wszystkie grupy złożoności. Według kalkulatora portalu howsecureismypassword.net złamanie tego hasła zajmie sześć lat.

Powyższe przykłady są jedynie wzorem, na którym warto oprzeć się przy tworzeniu haseł, jednak nie możemy zapominać, żeby nie przekombinować z wprowadzaniem modyfikacji. Hasło może się okazać zbyt trudne do zapamiętania, a błędne próby logowania mogą doprowadzić nawet do zablokowania konta.

Ile ludzi, tyle pomysłów. Każdy z nas powinien ustalić własny schemat tworzenia haseł z wykorzystaniem metody, która mu najbardziej odpowiada i do tego zastosować odpowiednie środki ochrony, a przede wszystkim wykorzystać uwierzytelnianie dwuskładnikowe.

Lepiej zapobiegać niż leczyć

W świecie otaczającej nas technologii ciężko funkcjonować bez komputerów, smartfonów, dostępu do sieci. W najbliższej przyszłości zapewne się to nie zmieni, a wręcz zjawisko to będzie się nasilać. Co więcej, dostęp do internetu i jego zasobów staje się coraz prostszy, szybszy i bardziej intuicyjny. W parze z tą dynamiczną rewolucją cyfrową idą narastające ataki na serwisy webowe, aplikacje, systemy rządowe, banki i tak dalej. Dlatego dostawcy oprogramowania kładą coraz większy nacisk na bezpieczeństwo swoich produktów. Nie tylko software house’y powinny dbać o bezpieczeństwo, ale również my, czyli końcowi klienci, którzy korzystają z dobrodziejstw tego świata. Musimy stale zwiększać swoją świadomość w materii bezpieczeństwa informacji i ochrony danych osobowych. Na zakończenie podrzucam kilka rad i linków do zaufanych portali:

  • Bądź na bieżąco i monitoruj wycieki – obserwuj eksperckie serwisy, takie jak: niebezpiecznik.pl, zaufanatrzeciastrona.pl, cyberdefence24.pl, czy cert.pl.
  • Postępuj z hasłami jak z bielizną – nie pożyczaj, nie pokazuj, regularnie zmieniaj.
  • Wpisuj hasła tylko na zabezpieczonych stronach z certyfikatem SSL (ikona zielonej kłódki).
  • Przy wprowadzaniu hasła rozejrzyj się, czy nie podglądają Cię osoby trzecie albo kamery.
  • Używaj dwuskładnikowego uwierzytelniania.
  • Nie używaj tych samych haseł do kilku kont.
  • Sprawdź, czy Twoje dane wyciekły na portalu haveibeenpwned.com.

Jeśli znasz inne bezpieczne metody tworzenia lub zarządzania hasłami, podziel się nimi w komentarzu. Być może uratujesz czyjeś dane. 😊


  1. IT security – Bezpieczeństwo teleinformatyczne, zbiór zagadnień z dziedziny telekomunikacji i informatyki związany z szacowaniem i kontrolą ryzyka wynikającego z korzystania sieci komputerowych i przesyłania danych do zdalnych lokalizacji, rozpatrywany z perspektywy poufności, integralności i dostępności. Źródło: wikipedia.org
  2. Tajemnica przedsiębiorstwa – Przez tajemnicę przedsiębiorstwa rozumie się informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób, o ile uprawniony do korzystania z informacji lub rozporządzania nimi podjął, przy zachowaniu należytej staranności, działania w celu utrzymania ich w poufności. Źródło: ustawa z dnia 16 kwietnia 1993r. o zwalczaniu nieuczciwej konkurencji
  3. Dane osobowe szczególnej kategorii – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Źródło: Ogólne Rozporządzenie o Ochronie Danych osobowych z dnia 27 kwietnia 2016 r. (RODO)

Michał Domozych

O Michał Domozych

Od 3 lat związany w Atenie z bezpieczeństwem informacji, ochroną danych osobowych oraz ISO. Certyfikowany audytor systemu zarządzania bezpieczeństwem informacji (SZBI). Z wykształcenia mgr inż. Wydziału Mechanicznego Politechniki Gdańskiej. Prywatnie świeżo upieczony mąż będący w ciągłej pogoni za sportowymi eventami oraz dobrą zabawą.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *