Hasło – temat dobrze znany, i to nie tylko w kręgach branży IT. Mimo to, niezmiennie bagatelizowany przez wielu użytkowników. Dlaczego bezpieczne hasło jest tak ważne i jak je wymyślić w taki sposób, żeby było jak najtrudniejsze do złamania?

Serwisy internetowe wyszły naprzeciw naszemu niedbalstwu, wymagając od naszego hasła minimalnej ilości znaków oraz zazwyczaj przynajmniej jednej wielkiej litery i cyfry. Mimo to, hasła wciąż są tworzone po linii najmniejszego oporu. Przykład? Hasło składa się z imienia, pisanego wielką literą i dołączonego na końcu roku urodzenia. Uwierz, że złamanie takiego hasła to żaden problem. Inne ciekawe przykłady znajdziesz w poniższym materiale:

W czołówce pozostają też hasła takie jak “123456” (pamiętasz “Kosmiczne Jaja” Mela Brooksa?) i oczywiście “password”. Możemy się oczywiście bronić mówiąc, że hasła trudne i niesłownikowe są niemożliwe do zapamiętania, ale prawda jest taka, że na tym etapie naszym największym wrogiem jest zwykłe lenistwo 😉

 

Ale dlaczego hasło musi być skomplikowane, niepowtarzalne i bezpiecznie przechowywane?

Jeśli hasło jest słabe lub niewłaściwie przetrzymywane, to hakerzy nie będą mieli żadnego problemu z dostępem do Twoich poufnych danych lub innych serwisów, jeśli tego samego (lub podobnego) hasła używasz dla więcej, niż jednej witryny. Na nic zdadzą się skomplikowane algorytmy szyfrowania czy świetnie uzbrojone systemy, gdy Twoim hasłem dostępowym do witryny banku jest imię Twojego chomika. Tak, two factor authentication może utrudnić tego typu atak, ale o tym w następnym artykule.

Pseudo-komplikowanie hasła może wydawać się kuszące, ale nie wzmocni znacząco Twojego hasła. Zastępowanie litery A znakiem @, S – znakiem $, czy L – cyfrą 1, gdy Twoje hasło wciąż pozostaje “słownikowe”, to nie problem dla programów łamiących, takich jak John the Ripper. Problemem może być za to zapamiętanie, które znaki zostały zamienione i na co, a które nie.

Warto wiedzieć, że Edward Snowden (były pracownik CIA, który zasłynął ujawnieniem niepokojących dokumentów z baz NSA, ale znany również z tego, że swoje hasła wpisuje ukryty… pod kocem) w wywiadzie z Johnem Olivierem mówi, że złamanie prostego ośmio-znakowego hasła to kwestia sekundy. Co możemy zrobić, żeby łamanie hasła zajęło atakującemu dłuższą chwilę? Zaleceniem Snowdena jest zmiana myślenia z password (hasło) na pass-phrase (hasło-zdanie). Lepiej wybrać wyrażenie lub całe zdanie, które łatwo jest zapamiętać i jest zbyt długie, żeby można je było szybko złamać przy pomocy metody brute force (czyli metody prób i błędów). Jeszcze lepiej, jeśli do tworzenia naszego pass-phrase użyjemy zdania w języku polskim lub jakimkolwiek, który nie jest angielskim. stoi-na-stacji-Lokomotywa-nr20 może być przykładem hasła, które łatwo nam zapamiętać, a dla hakera łamanie go może się okazać zwyczajnie nieopłacalne.

Za niewłaściwe przechowywanie hasła uznajemy:

  • zapisanie go na karteczce na biurku lub w notesie, nawet jeśli ukryjesz je dodatkowo pod klawiaturą
  • zapisanie go na tablicy w pokoju
  • przechowywanie go w niezaszyfrowanym pliku na komputerze lub w chmurze
  • przekazywanie hasła słownie przy osobach trzecich

 

Co czyni hasło bezpiecznym?

  • Minimum 12 znaków – innymi słowy, fraza lub zdanie. Jeżeli jest to jedno słowo to nie powinno ono występować w słowniku
  • Przynajmniej jedna wielka litera – postaraj się nie umieszczać wielkiej litery na początku lub końcu frazy, ponieważ programy łamiące hasła sprawdzają te pozycje na początku działania.
  • Przynajmniej jedna cyfra – hasło powinno zawierać cyfry, ale takie, które nie są związane z datą urodzenia, bieżącym rokiem, ani nie są ustawione w przewidywalnej kolejności, jak 12345, czy 0000.
  • Użycie znaku specjalnego – podpowiadamy, że nie utrudnisz pracy hakerowi, dodając na końcu hasła wykrzyknik. Pomyśl o innych znakach specjalnych i dodaj je wewnątrz hasła.
  • Użycie unikatowego hasła do każdej usługi – hasła wyciekają. Skąd i kiedy wyciekły Twoje hasła (a wyciekły prawie na pewno) sprawdzisz na stronie ‚;–have i been pwned?. Nie pozwól, żeby wyciek jednego hasła zagroził wszystkim Twoim kontom. Pamiętaj, że hasło nie może być też skonstruowane na zasadzie hasłopodstawowe*gmail, hasłopodstawowe*facebook itd.

 

W jaki sposób przechowywać tak skomplikowane hasła?

Dobrym rozwiązaniem jest używanie jednego z managerów haseł. To program, który przechowuje wszystkie dodane do niego hasła w zaszyfrowanym pliku, zwykle wraz z serwisem i loginem, którego dane hasło dotyczy. Najczęściej manager haseł ma również swoją dedykowaną wtyczkę do przeglądarek, która nie tylko pozwala na łatwe i szybkie uzupełnianie danych do logowania na stronach, ale także ostrzeże Cię przed stronami podszywającymi się pod serwisy, w których masz konta.

Masz więc swój sejf z hasłami – teraz musisz wymyślić do niego bardzo mocne hasło główne. Najlepiej ponad 24-znakowe spełniające wszystkie wcześniejsze wymagania. Ale głowa do góry! To będzie jedno z zaledwie dwóch haseł, które powinieneś pamiętać. Drugim będzie hasło do Twojej skrzynki mailowej – to jedyne hasło do konkretnej usługi, które polecamy pamiętać mimo używania managera. Oczywiście również powinno być stworzone według wszystkich wcześniejszych wymagań, ale musi być też zupełnie inne, niż hasło główne do managera haseł.

Istnieje szansa, że korzystasz już z managera haseł – większość przeglądarek (np. Chrome, Firefox, Safari) domyślnie oferuje tę funkcję. Jeżeli chcesz z niej korzystać, to upewnij się, że masz mocne hasło do konta pod którym działa dana przeglądarka.

Na większą uwagę zasługują jednak offline’owe managery haseł, takie jak KeePaas. Posługujemy się właśnie tym przykładem, ponieważ KeePass jest dostępny na wszystkie platformy oraz jako jedyny pozwala trzymać hasła we własnym koncie chmurowym, niekoniecznie na serwerach usługi. Pozwala to zminimalizować ryzyko ewentualnego wycieku, ale niestety przy tym zmusza użytkownika do poświęcenia czasu na odpowiednie ustawienie managera na początku jego użytkowania. Jest oczywiście wiele innych programów, z których możesz skorzystać, np. HashiCorp Vault, 1Password,  AWS Secrets Manager, LastPass. Oprócz funkcji sejfu, możesz w nich skorzystać z takich opcji, jak współdzielenie haseł lub przesyłanie haseł jednorazowych. Dlatego sam powinieneś dokonać najodpowiedniejszego dla siebie wyboru.

Pamiętaj, że nawet bardzo mocne hasło powinno być co jakiś czas zmieniane. Jednak nie warto robić tego zbyt często. W niektórych firmach panuje przekonanie, że hasła powinno się zmieniać co miesiąc. Niestety zwykle kończy się to obniżaniem bezpieczeństwa systemu, zamiast jego podnoszenia. Hasła, które w ten sposób powstają, najczęściej opierane są o wariacje z użyciem jednego słowa bazowego – jeśli hasło kwietniowe brzmiało calineczkA-04, to w maju pracownik zmieni je na calineczkA-05. Jeśli jedno z haseł z jakiegoś powodu wyciekło, hakerowi łatwo będzie się dostać do konta nawet po kilku miesiącach.

Mamy nadzieję, że udało nam się przekonać Cię do używania mocnych haseł i bezpiecznego ich przechowywania. Jeśli masz pytania lub własne przemyślenia na ten temat, to gorąco zachęcamy do pozostawienia komentarza 🙂