Kilka słów o tym, po co nam hasło dostępu, oraz jak tworzyć dobre, bezpieczne i silne hasła


Od ostatniego mojego wpisu na blogu minęło kilka chwil. Miałem przyjemność podzielić się informacjami dotyczącymi kontroli rodzicielskiej na Androida, pisałem też o kontroli rodzicielskiej na Windows 10. Nadszedł czas, by zabrać się za niezwykle istotny temat, czyli hasło dostępu.

Dlaczego hasło jest ważne? Dlaczego warto używać silnych haseł oraz jak je tworzyć? Czy aby na pewno to wiemy? Każdy z nas ma zapewne konto na portalu społecznościowym, posiadacie też prywatne skrzynki mailowe, które w większości otwieracie po przez różnego rodzaju przeglądarki internetowe, logujecie się za pomocą loginów i haseł na różne strony, by robić zakupy drogą elektroniczną, czytać artykuły, oglądać filmy, słuchać muzyki … Możliwości jest wiele, a stron internetowych, w których trzeba się logować – coraz więcej. Tak samo z komputerem. W przypadku większości komputerów system operacyjny wymusza na nas używanie hasła, dzięki którym można się zalogować i korzystać
z urządzenia.

Powiem Wam w zaufaniu, że w Atenie trwa fantastyczna akcja, której celem jest uświadomienie pracownikom wagi różnego rodzaju sytuacji związanych z niebezpieczeństwem czyhającym w sieci. Uwzględniając różne wątki, w bardzo przejrzysty i czytelny sposób osoby prowadzące mówią o konkretnych sytuacjach i rozwiązaniach. Ateńczycy wiedzą,
o czym mówię, natomiast osoby spoza firmy muszą uwierzyć na słowo, że akcja „Piątki z bezpiecznikami” jest prowadzona brawurowo z wykorzystaniem talentów artystycznych naszych kolegów z pracy, którzy świetnie odnajdują się w tej roli.

No dobrze, skoro już wiemy, że w różnych miejscach możemy się logować przy pomocy hasła dostępu, to jak możemy je zdefiniować? Otóż to nic innego jak ciąg znaków, pewna ich kombinacja, używany podczas logowania się do różnego rodzaju zasobów, systemów operacyjnych, baz danych, portali społecznościowych i oczywiście poczty elektronicznej. Musicie pamiętać i weźcie to sobie głęboko do serca, że hasło jest prywatne i Wasze. Z nikim nie należy się nim dzielić, nie można go zapisywać w widocznym miejscu, trzeba je chronić przed osobami trzecimi. Skutki udostępnienia hasła komuś niepożądanemu mogą być katastrofalne.

Pójdźmy krok dalej i zastanówmy się przez chwilę, dlaczego warto używać silnych haseł. Odpowiedź na te pytanie jest bardzo prosta: im bardziej hasło będzie złożone, bardziej skomplikowane, tym bardziej jego odszyfrowanie przez osobę niepożądaną będzie czasochłonne. Ba, nawet maszyna, która używa algorytmu bądź odpowiedniego programu, będzie musiała mocno się namęczyć, by odszyfrować hasło, dzięki któremu zyskają dostęp do Waszych kont pocztowych, danych osobowych i informacji prywatnych.

Pamiętajcie, proszę, że nawet gdyby wydawało by się Wam, że Wasze hasło jest mocne, nie możemy założyć, że nie będzie można go złamać. W dzisiejszych czasach – kiedy technologia poszła tak mocno do przodu, a komputery i ich oprogramowanie umożliwia nieskończenie wiele prób logowania się różnymi skomplikowanymi kombinacjami w bardzo krótkich odstępach czasowych – musimy założyć, że prędzej czy później i tak hasło zostanie złamane.

Jednym z istotnych elementów, który uniemożliwi w krótkim czasie złamanie naszego hasła, jest regularna jego zmiana.
W większości firm polityka bezpieczeństwa wymaga, by hasło było zmieniane co trzydzieści dni, ale nie częściej niż raz dziennie. Dzięki temu zabiegowi nawet w sytuacji, gdyby nasze hasło zostało skompromitowane i odczytane przez osoby niepożądane, skutecznie zabezpieczymy swoje dane, zmieniając hasło na nowe. Stare po prostu przestanie być przydatne.

Skoro i tę kwestię już sobie wyjaśniliśmy, czas przejść do istotnego zagadnienia, jakim jest sposób budowania bezpiecznego hasła. W internecie można znaleźć wiele różnych porad, generalnie jest tyle sposobów, ile osób się wypowiada na ten temat. Ważne, byście pamiętali o kilku złotych zasadach, zwiększających siłę hasła:

• hasło powinno składać się z minimum 9 znaków,
• hasło nie powinno zawierać polskich znaków,
• hasło nie powinno zawierać w sobie nazwy twojej usługi,
• hasło powinno zawierać małe i wielkie litery,
• hasło powinno zawierać cyfry,
• hasło powinno zawierać znaki specjalne (na przykład: #, *, {).

Warto zauważyć, że dobrą praktyką jest:

• wykorzystywanie i kombinacja małych i wielkich liter w haśle,
• zawieranie kilku słów oddzielonymi znakami specjalnymi,
• stosowanie znaków specjalnych na przemian z cyframi i literami,
• zastępowanie liter znakami specjalnymi, np. e-3, o-0, s-$, a-@, itp.,
• wykorzystywanie spacji pomiędzy cyframi i literami,
• wpisywanie słowa z celowym błędem, które w dalszym stopniu jest łatwe do skojarzenia i zapamiętania,
• wykorzystywanie zdań, cytatów, ulubionych tytułów piosenek, refrenów i zapisanie ich wykorzystując wyżej wymienionych praktyk.

W internecie dostępnych jest wiele narzędzi, aplikacji, programów, które pozwalają na wygenerowanie hasła, spełniającego wyżej wymiennie wymogi. Są to między innymi KeePass czy LastPass. Pojawiają się też narzędzia, które pozwalają sprawdzić siłę już posiadanego hasła.

Pamiętajcie, proszę, by nie podawać swojego hasła, jeśli nie znacie danej witryny internetowej, bądź jej wygląd czy korzyści, które są oferowane, budzą w jakikolwiek sposób Wasze wątpliwości. Jeżeli przy adresie strony nie pokazuje się zielona kłódka, a certyfikat jest niebezpieczny, zachowajcie szczególną ostrożność.

Dobrze, skoro już omówiliśmy, jakie zasady stosować przy generowaniu hasła, warto wspomnieć, czego nie stosować przy tworzeniu haseł. Nie mówię, że tak robicie, ale uwierzcie mi, że bardzo wiele haseł używanych przez użytkowników w internecie sprowadza się do podstawowego ciągu znaków, który zawiera informacje o nich samych. Zawierają bowiem takie dane, jak data urodzenia, numer pesel, imiona z cyfrą. Zdarzają się również, i to wcale nie tak rzadko, kombinacje popularnych kolejnych klawiszy mieszczących się na klawiaturze. Brzmi znajomo? 😉 Hasła tak skonstruowane, są oczywiste i łatwe do zapamiętania, ale też – co gorsza – dziecinnie proste do złamania.

Sugeruję, byście za wszelką cenę UNIKALI konstruowania haseł składających się z:

• frazy wykorzystanej do tworzenia loginu,
• informacji o użytkowniku, takich jak imiona, nazwiska, ważne daty,
• ciągów znaków złożonych z samych liter i cyfr,
• imion bliskich osób, zwierząt, przedmiotów mających dla nas wartość, nazw ulicy, wskazujących na otoczenie użytkownika tworzącego hasło,
• sekwencje ciągu klawisz na klawiaturze, np. qwerty123, zaq12wsx itp.,
• krótszych niż 9 znaków.

Kiedy mamy już nasze hasło i składa się ono z wystarczającej liczby znaków z wykorzystaniem różnych kombinacji, co dalej? Jak zadbać o hasło? Pamiętajcie proszę, że wszystko jest w Waszych rękach: bezpieczeństwo Waszych danych zależy od tego, czy macie głowę na karku.

• Unikajcie sytuacji, w której zapisujecie hasło na karteczkach, w notatniku, umieszczacie je pod klawiaturą, w miejscach, które są ogólnodostępne.
• Nie podawajcie swojego hasła osobom trzecim, czy to w pracy czy przez telefon.
• W serwisach internetowych, takich jak banki, czy innych systemach płatności elektronicznej, pamiętajcie o korzystaniu z silnych haseł oraz o ich aktualizowaniu.
• W portalach społecznościowych, na forach internetowych, portalach drugorzędnego znaczenia, nie stosujcie tych samych haseł, których używacie w pracy przy operacjach z płatnościami elektronicznymi.
• Stosujmy zasadę, że jedna witryna internetowa, program czy też system to jedno hasło. Dzięki temu jeśli w jakikolwiek sposób hasło wycieknie bądź zostanie skompromitowane, pozostałe hasła pozostaną bezpieczne.
• Korzystajcie w pracy i w domu z polityki bezpieczeństwa: zmieniajcie hasła regularnie, raz na trzydzieści dni i pamiętajcie, by się one nie powtarzały. Kombinacji z hasłami jest naprawdę dużo, nie ograniczajcie się tylko do jednego.
• Używajcie oprogramowania antywirusowego, które zapewni bezpieczeństwo w sieci oraz wyeliminuje ryzyko przechwycenia hasła.
• Nie wchodźcie na strony internetowe i nie podawajcie haseł na stronie, której nie znacie i wydaje się wam niebezpieczna, która nie posiada certyfikatu bezpieczeństwa.

Pozostaje jeszcze ostatnie bardzo ważne pytanie: skoro mamy mieć tyle haseł, ile programów, to jak je wszystkie spamiętać?! W dodatku jeszcze każą każde z nich zmieniać co trzydzieści dni! Przecież to niewykonalne! Spokojnie, tu z pomocą przychodzą menadżery haseł, których zadaniem jest wesprzeć nas wszystkich w generowanie silnych i dobrych haseł, pozwalających na przydzielenie każdego hasła do oddzielnego systemu, portalu, w którym hasło jest niezbędne do zalogowania się.

Aplikacje tego typu umożliwiają zapisywanie informacji dotyczących danych dostępowych, jak również adresach witryn internetowych. W większości przypadków dane dostępowe są zabezpieczone kluczem szyfrowanym, co daje nam komfortową sytuację zapamiętania tylko i wyłącznie tego jednego najważniejszego hasła, jakim jest hasło główne do naszego menadżera. Co więcej, mamy pewność, że wszystkie nasze hasła są bezpieczne i znajdują się w jednym miejscu. Nie musimy ich szukać ani zastanawiać się, które to hasło było i gdzie ja je zostawiłem.

Dobre menadżery haseł dodatkowo pozwalają na wygenerowania klucza, który może być przechowywany np. na nośniku danych typu PenDrive. W tym przypadku, aby uzyskać dostęp do bazy haseł, trzeba nie tylko wskazać hasło główne do programu, ale także wskazać plik (klucz), który pozwoli uzyskać dostęp do danych. Taka dodatkowa forma zabezpieczenia daje nam naprawdę spore zabezpieczenie, dzięki któremu możemy być bezpieczni i mieć pewność, że wiele czasu upłynie zanim niepożądana osoba odczyta nasze hasło.

Przykładowymi aplikacjami, polecanymi w sieci Internet, pozwalających na zarządzanie hasłami dostępu są:

·         KeePass

·         LastPass.

Mam nadzieję, że artykuł przypadł Wam do gustu. Jeżeli korzystacie z opisanych w nim rozwiązań, bardzo mnie to cieszy. Natomiast jeśli dotąd nie mieliście czasu czy okazji, by zagłębić się w ten temat, zróbcie to teraz. To naprawdę dobry moment!


Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

5 komentarzy do “Kilka słów o tym, po co nam hasło dostępu, oraz jak tworzyć dobre, bezpieczne i silne hasła

  • Avatar
    Mikołaj Michalik

    Bardzo ciekawy artykuł, jednak w kilku miejscach się nie zgodzę lub coś dopowiem. Po pierwsze – najlepsze hasło, to brak hasła. Powinniśmy dążyć do tego by uwierzytelniać się w inny sposób – certyfikaty, tokeny, klucze YubiKey, metody biometryczne, a hasło zostawiali jako metodę zapasową. Wtedy ma dużo większy sens generowanie zupełnie losowych i długich ciągów znaków, które następnie są zapisywane w menadżerze haseł. Robi tak chociażby LastPass w postaci aplikacji na telefony – pierw uwierzytelniasz się biometrycznie, a później masz dostęp do swoich haseł. Dodatkowo łatwiej użytkownikowi będzie wpiąć coś do komputera (karta inteligenta, YubiKey) albo coś do niego przyłożyć (NFC) i wpisać jedynie krótki i łatwy do zapamiętania PIN, niż wpisać/przepisać 20 znakowe hasło.

    Druga sprawa – owszem, większość firm ma politykę zmiany hasła co jakiś czas, ale nawet Microsoft w ostatnich zaleceniach bezpieczeństwa rezygnuje z wymogu zmiany hasła co pewien okres (https://blogs.technet.microsoft.com/secguide/2019/05/23/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903/). Z prostego powodu – gdy wymuszamy na użytkownikach nieobeznanych z IT zmianę hasła kończy się to albo żółtymi karteczkami z hasłem, albo notesami pełnymi danych uwierzytelniających, albo używaniem wszędzie tego samego hasła, albo jak w przypadku pewnej bardzo dużej firmy z pomorza, którą mieliśmy okazję „atakować” – hasłami typu MiesiąćRok!, np. Styczen18! – które de facto są zgodne z polityką bezpieczeństwa ;).

    No i ostatnia sprawa – tak jak wspomniałeś, obecnie moc obliczeniowa jest tak duża, że łamanie haseł jest bajecznie proste i szybkie. Istnieją nawet skrypty pozwalające wynająć dziesiątki maszyn w chmurze Amazonu lub Azure, aby masowo łamać hashe w jak najkrótszym czasie. Widać też to po tym, że minimalna długość hasła ciągle ewoluuje – jeszcze niedawno 6 znaków było wystarczające, obecnie nawet i 12 znakowe hasło nie jest uznawane za w 100% bezpieczne. W związku z tym my, jako bezpiecznicy, powinniśmy dążyć do tego, aby nasi użytkownicy byli bezpieczni – uczyć ich alternatyw, takich jak menadżery haseł (co robisz tym artykułem i chwała Ci za to!), ale też dać do ręki lepsze metody, takie jak chociażby bajecznie proste uwierzytelnianie dwuskładnikowe chociażby za pomocą aplikacji na telefonie – obecnie też jest podatne na phishing (za pomocą skryptów takich jak evilginx2 czy modlishka), ale w dużej części wypadków będzie wystarczającą ochroną dla zwykłego śmiertelnika, nawet jeśli ktoś pozna jego hasło. No i tokeny YubiKey – które jednoznacznie identyfikują osobę, która chce się gdzieś zalogować, a także pozwalają na zapisanie certyfikatów lub haseł, których użytkownik nawet nie musi znać – wystarczy, że je wygeneruje i zapisze, a zapamięta jedynie krótki PIN w przypadku certyfikatów.

    • Avatar
      Piotr Szafrański

      Witam 🙂
      Dziękuję, w końcu ktoś dodał komentarz 🙂
      Mikołaj, zgodzę się z Tobą z twoimi twierdzeniami, masz rację. Należy jednak zauważyć, że moim celem w tym artykule było napisanie o ogólnych zasadach tworzenia haseł, ze względu na fakt iż wielu użytkowników posiada różne stopnie doświadczenia i wiedzy informacyjnej jak również kierowałem go głównie do użytkowników domowych, użytkowników, którzy w domach raczej nie posiadają tokenów, kluczy YubiKey czy certyfikatów, nie ukrywajmy zwykły użytkownik swoją maszynę, jeśli ma już zabezpieczoną, to albo 4 pinowym hasłem albo prostym hasłem składającym się ze standardowym stopniem zaawansowania 🙂 Jeżeli zaś pójdziemy ciut dalej, to powiedz szczerze ilu twoich znajomych, którzy posiadają konta pocztowe, czy chociażby konta na platformach społecznościowych posiada hasła, które się nie powtarzają. W śród moich znajomych, niestety spora ilość osób, posiada jedno hasło do wszystkiego … i to jest złe i bardzo niebezpieczne, stąd właśnie taki artykuł, który miał zachęcić do przeczytania i pomyślenia, czego nie robić, jakie zasady stosować, jak wiesz tyle ile osób się wypowiada na temat bezpieczeństwa, tyle jest sposobów, sam korzystam z dwuskładnikowego uwierzytelnienia i bardzo je Sobie chwalę, przynajmniej mam pewność, że jestem bardziej bezpieczny, choć 100 % pewności jak dobrze wiesz nie ma … wszystko da się złamać, tylko trzeba mieć co do tego odpowiednie narzędzia, jak wspominałeś w komentarzu 🙂

    • Avatar
      Piotr Szafrański

      Dodatkowo bardzo bym chciał, by każdy użytkownik, czy to domowy, czy osoba pracującą w firmie, by była bardziej uświadomiona i korzystała z różnego rodzaju zabezpieczeń, jak również nie stosowała haseł typu słoneczko 18, misiu1990, Styczeń18! ( jak napisałeś ) itp., tylko bardziej wyrafinowane i złożone. Jeżeli po tym skromnym i dość prostym artykule, ludzie zaczną stosować bardziej wyrafinowane hasła, albo sięgną do narzędzi, które umożliwią im generowanie haseł bardziej skomplikowanych to będzie to mój mały sukces 🙂
      Natomiast bardzo było by mi miło, gdy ludzie pisali po krótce ich sposoby tworzenia hasła, by wyszła dyskusja, której celem było by sprawdzenie doświadczenia i stopnia zaawansowania tworzenia i generowania haseł 🙂 jak uważasz, ciekawy sposób ???

      • Avatar
        Mikołaj Michalik

        Zanim odniosę się do Twoich odpowiedzi, to na początku zaznaczę, że mi się artykuł podoba i uważam go za cenną dawkę wiedzy dla osób mniej technicznych i oby tak dalej 🙂

        Co do braku YubiKey, wiedzy o tokenach i certyfikatach – zgodzę się, ale może warto zapoczątkować trend, by z okazji świąt, czy może Dnia Bezpiecznego Internetu ;), sprezentować sobie taki YubiKey – jest to spory wydatek, ale chyba przyznasz, że nasze dane są dużo więcej warte 😉

        Owszem, mam znajomych, którzy wszędzie mają to samo albo podobne hasło, z tego co opowiadają, ale mam też znajomych, których nauczyłem, że nie mają klikać w linki w mailu, sprawdzać pasek przeglądarki i przy logowaniu do Google, Facebooka czy Instagrama mają czekać na smsa i/lub pytanie z aplikacji na telefonie. Bo o ile prawie nikt nie ma YubiKey, to każdy ma telefon. Nie jest to idealna metoda, ale zdecydowanie zwiększa bezpieczeństwo, nawet przy używaniu tego samego hasła. I tutaj leży też nasza odpowiedzialność, jako osób bardziej obeznanych z bezpieczeństwem.

        Kolejna sprawa – nie możemy mieć do tych ludzi pretensji, ani oczekiwać od nich więcej, bo przez lata byli uczeni jak powinno wyglądać hasło, a nie jak je utworzyć – to pierwsza rzecz, natomiast druga – że samo hasło wystarczy. Dzisiaj już powinniśmy się koncentrować na łączeniu tych rzeczy – nie ma hasła bez 2FA. Jeśli jakiś serwis nie pozwala nam używać uwierzytelniania wieloskładnikowego – to znaczy, że nie jest bezpieczny i powinniśmy go tak też traktować. Równie dobrze w tym momencie możemy ustawić w nim hasło Haslo123 (chociaż nadal zalecam użycie generatora haseł i zapamiętanie w menedżerze haseł ;), bo jak pokazuje przykład morele.net – te hasła prędzej czy później mogą wyciec i zostać złamane.

        Jak najbardziej miło by było, gdyby inni ludzie dali pod ocenę swój sposób tworzenia hasła/haseł, jednak tutaj uwaga, by go trochę zmienili/zmodyfikowali, nie chcemy w końcu poznać ich haseł 😉

        • Avatar
          Piotr Szafrański

          Dziękuję 🙂 cieszę się, że przypadł do gustu, choć daje duże pole manewru i można mocno go rozwijać 🙂
          Jak najbardziej, też jestem za tym, by propagować bezpieczeństwo i my jako bezpieczniki mamy za zadanie by kreować, wspierać i uświadamiać użytkowników. Jak wspomniałem wcześniej i ty również, duże grono naszych znajomych korzysta z jednego hasła i na dodatek często jest to hasło do maila … i tak jak ty, uświadamiasz bliskich tak samo i ja również staram się by moi znajomi korzystali z różnego rodzaju narzędzi wspomagających ( jak menadżer haseł ) albo chociaż podwójne uwierzytelnienie.

          Mikołaj, oczywiście, że nie możemy mieć pretensji do ludzi i nikt ich nie ma, że są nauczeni i robią jak potrafią, ale warto jak wspomniałeś, uświadamiać uczyć i pokazywać, jak również złych nawyków ich oduczać i uczyć nowych dobrych. W artykule na początku, wspomniałem, że w Atenie jest fajna akcja prowadzona i żałuję, że tylko w Ateńczycy mogą to oglądać, natomiast pozostałe grono z poza Ateny już tej przyjemności nie ma … a szkoda, bo ” Piątek z Bezpiecznikami ” jest na prawdę fajny i ludziom się podoba, tak trzymaj 🙂

          Masz fajny pomysł co do dnia bezpiecznego internetu, może uda się na następną imprezę przygotować kilka fajnych gadżetów, które sprawią, że ludzie będą otwarcie podchodzić do tego tematu 🙂