Mamy dziesiątki, czasami setki różnych kont – ale jak do nich stworzyć bezpieczne hasła? I jak je potem zapamiętać, jeżeli jest ich tak dużo? Co możemy zrobić, by zmniejszyć nasze ryzyka związane z posiadaniem tak wielu kont – i tak wielu haseł? Podpowiadam!
Gdzie się nie obrócimy, ktoś chce, byśmy założyli kolejne konto. A to sklep internetowy, a to serwis informacyjny, a to platforma e-learningowa. Do tego jeszcze mamy konto w pracy, hasło do naszego rutera wi-fi, konta na wszelkich mediach społecznościowych czy u wujka Google. No i oczywiście w naszym banku.
W sumie większość z nas kont z hasłami posiada co najmniej kilkadziesiąt, być może choćby kilkaset. Jak nad tym wszystkim zapanować, by nie dać się hakerom, a jednocześnie nie zwariować?
Jak stworzyć bezpieczne hasło? Unikaj najpopularniejszych haseł!
Pierwszą, podstawową zasadą jest unikanie najpopularniejszych haseł. Listy takich haseł bez trudu znajdziesz w internecie, na przykład tutaj, z 200 najpopularniejszymi hasłami na świecie i 20 najpopularniejszymi w Polsce. Takie listy powinny nam z grubsza uświadomić, jakich haseł raczej nie należy używać.
Czemu to takie ważne? To nie jest tak, iż hakerzy usiłują się włamać na nasze konto, wypróbowując po kolei hasła z listy najpopularniejszych. Większość serwisów zablokowałaby – permanentnie lub przynajmniej czasowo – próby logowania do konta po co najwyżej kilku nieudanych próbach. jeżeli więc nie mamy najpopularniejszego na świecie hasła ‘123456’, to raczej nie musimy się z tej strony obawiać zagrożeń.
Gorzej, jeżeli haker włamie się do systemu informatycznego firmy, w której mamy konto. Wtedy prawdopodobnie może dostać dostęp do pliku, w którym przechowywane są hasła.
Czytaj też: W 2027 r. komputer kwantowy odszyfruje twoje hasła. Co zrobić?
Dlaczego nie należy stosować popularnych haseł w internecie?
No ale przecież hasła są szyfrowane, prawda? Prawda. Ale zwykle przy pomocy standardowych narzędzi. Nasze zaszyfrowane hasło to po prostu ciąg znaków, a hakerzy mają słowniki z zaszyfrowanymi wersjami najpopularniejszych haseł. Więc jeżeli użyjemy jednego z popularnych haseł, to haker gwałtownie je pozna.
Serwisy internetowe często temu zapobiegają, stosując tak zwane „solenie” haseł (ang. password salting), które polega na tym, iż do hasła dodawany jest ciąg znaków, co znacznie zmniejsza podatność na tego typu ataki. Niestety nie wszystkie serwisy stosują „solenie” – wyciek z 2012 roku pokazał, iż nie robił tego tak szacowny serwis jak LinkedIn. Z którego wyciekły dane, według niektórych szacunków o, bagatela, około 100 milionów kont.
Recykling jest dobry, ale nie w hasłach — dlaczego należy regularnie zmieniać hasła?
Drugą podstawową zasadą, po niestosowaniu najczęstszych haseł, jest unikanie ich recyklingu. Czyli nigdy nie używajmy tego samego hasła w kolejnym serwisie.
Powód jest, jak się wydaje, jasny. jeżeli kiedyś zdarzy nam się, iż hakerzy w ten czy inny sposób zdobędą nasze hasło, czy to rozszyfrowując je, czy zgadując, czy na przykład czytając je na mediach społecznościowych (to przytyk do tych, którzy przyklejają hasło do np. monitora w pracy – wystarczy jeden nierozważny post „na fejsie”, by nasze hasło poznał cały świat) – to mogą próbować zalogować się na nasze dane w dowolnej liczbie serwisów.
A to recepta nie na jedno nieszczęście, ale całą ich serię.
Czytaj też: Passkeys w Twojej organizacji? Będzie łatwiej dzięki FIDO
Długość (hasła) ma znaczenie
No dobrze, to jakie w takim razie jest to dobre, bezpieczne hasło? Przez lata przekonywano nas, iż hasło powinno zawierać duże i małe litery, cyfry i jeszcze znaki specjalne. No i zmieniać się co kilka miesięcy. Efekt? Nie jesteśmy w stanie zapamiętać naszych haseł i stąd te wszystkie, wspomniane powyżej karteczki z hasłem przyklejone do monitora czy do etui telefonu.
Badania naukowe zaskakują: te zalecenia – a czasem wręcz wymagania – zupełnie nie mają sensu. O wiele lepiej od ośmioliterowego hasła z wszystkimi cyframi i znakami specjalnymi jest wybrać czternastoliterowe, które będzie nam łatwo zapamiętać, a które jest kompletnie nieoczywiste dla innych. Na przykład ulubione powiedzonko babci czy zrozumiały tylko dla rodziny żart. Coś osobistego – niech to lepiej nie będzie pierwsza linijka inwokacji z Pana Tadeusza.
Czemu długość jest tak ważna? Jak szacuje amerykański instytut NIST, haker w ciągu sekundy jest w stanie „wyprodukować” zaszyfrowane wersje dla około 100 miliardów haseł. To, przy niecałych 100 znakach dostępnych dla nas z klawiatury naszego komputera, oznacza, iż wszystkie hasła do 6 znaków można rozszyfrować w ciągu sekund, a przy 8 znakach – w ciągu minut lub co najwyżej godzin. Tymczasem hasło dłuższe, 14–15-literowe, choćby jeżeli składa się tylko z małych liter, zajmie hakerowi jakieś 10 tysięcy razy więcej. Lata zamiast minut.
Oczywiście z tą metodą związane są dwa istotne problemy: jak w ten sposób zapewnić unikalność haseł i jak zaspokoić wymagania tych serwisów, które – wbrew zaleceniom – wciąż od nas wymagają dużych liter, liczb czy znaków specjalnych?
Metoda jest w miarę prosta – gdzieś w tej naszej frazie wprowadzamy dodatkowe ciągi znaków. Na przykład na początku frazy umieszczamy trzy pierwsze litery nazwy serwisu, to (niemal zawsze) zapewnia nam unikalność hasła. A powiedzmy na końcu jakieś łatwe do zapamiętania połączenie dużej litery, cyfry i znaku specjalnego. jeżeli informatycy wymagają, byśmy zmieniali hasło co 3 miesiące, to zmieniamy znak specjalny na kolejny na klawiaturze. Jest ich 32, starczą na ładnych parę lat zmian haseł.
Czy wystarczy jedno hasło, czyli bezpieczne hasła w menadżerze
No dobrze, ale jeżeli jednak nie chce nam się tego wszystkiego zapamiętywać? Na szczęście istnieją menadżery haseł. To genialne w swojej prostocie rozwiązanie. Program (a tak naprawdę zwykle wtyczka do naszej Ulubionej Przeglądarki), który zapamiętuje wszystkie nasze hasła. I, co więcej, zaproponuje nam całkowicie bezpieczne hasła, lepsze, niż sami byśmy wymyślili.
To jest, i owszem, świetne rozwiązanie i stosuję je od wielu lat. Ale jest parę rzeczy, o których musimy pamiętać.
Po pierwsze kwestia bezpieczeństwa. Taki menadżer haseł to skarbnica wielu Twoich sekretów – i musi być dobrze chroniona. Pamiętaj więc, by była chroniona hasłem zawsze, kiedy nie jesteś przy komputerze. Zwłaszcza w miejscu publicznym, na przykład w Twoim zakładzie pracy.
Po drugie: zastanów się, czy chcesz korzystać z propozycji haseł Twojego menadżera? Większość tych programów przechowuje dane w chmurze i to generalnie jest w miarę bezpieczne. Ale jeżeli jednak coś tym danym się stanie tak, iż nie będą do odzyskania? Może jednak warto mieć własną metodę tworzenia haseł – owszem, zapisanych w menadżerze, ale takich, które łatwo sobie przypomnisz?
No i w końcu ostatnia kwestia – ktoś może się włamać do systemów komputerowych firmy oferującej menadżera haseł. Nie jest to częste, ale zdarzyło się co najmniej raz – w 2022 roku ofiarą ataku hakerskiego stał się jeden z najbardziej znanych menadżerów haseł LastPass. Jest to jeden z powodów, dla których nigdy nie używam menadżera haseł dla mojej aplikacji bankowej.
Mimo wszystko polecam używanie tego typu serwisów – to na pewno bezpieczniejsze niż wiele alternatyw. Listę najlepszych znajdziesz tutaj. jeżeli szukasz darmowej opcji, to moim zdaniem Bitwarden jest doskonałym wyborem.
Czytaj też: Jak zadbać o cyberbezpieczeństwo? Prosty poradnik
A może by tak bez haseł? Jak działa passkeys
A czy możliwe jest życie bez haseł? Hasła łatwo zapomnieć, są podatne na phishing, kradzież i niefrasobliwość użytkowników… Na to pytanie świat technologii szukał odpowiedzi od pewnego czasu i ona się pojawiła – w postaci tak zwanych kluczy dostępu, czyli passkeys.
Jak to działa? Klucz dostępu umożliwia użytkownikowi logowanie się do aplikacji i stron internetowych dzięki tego samego procesu, którego używasz do odblokowania urządzenia takiego jak telefon – na przykład biometrii (odcisk palca, rozpoznawanie twarzy), kodu PIN lub wzoru. Po prostu serwis, zamiast prosić nas o hasło, łączy się z naszym telefonem, prosząc o uwierzytelnienie. Następnie my – na przykład przykładając palec do czytnika – potwierdzamy naszą tożsamość.
Zalety? Zero haseł i kompletna niewrażliwość na phishing. Wady? jeżeli stracimy urządzenie, to stracimy możliwość logowania się. To nie musi być kradzież – wystarczy, iż telefon nam się popsuje.
Dodatkowo wsparcie dla passkeys nie jest powszechne – więc wciąż musimy mieć hasła i korzystać z menadżerów haseł. A jeżeli już i tak mamy menadżery haseł, to po co sobie komplikować życie i wprowadzać passkeys? Być może dlatego technologia ta wciąż nie wyparła haseł – i to pomimo tego, iż specyfikacja FIDO 2, czyli technologii, na której jest oparta, została opublikowana już dość dawno temu, w roku 2018. A jej wprowadzenie wspierają giganci.
Nie przegap najważniejszych trendów w technologiach!
Zarejestruj się, by otrzymywać nasz newsletter!
Pamiętaj, bezpieczne hasła są ważne! Jak stworzyć bezpieczne hasło? Krótka lista!
Na koniec chciałbym podkreślić jedno – waga haseł jest nie do przecenienia. Nie traktuj ich jak zła koniecznego, tylko jak istotną część Twojego bezpieczeństwa. Tak jak nie chciałbyś mieć w drzwiach wejściowych zamka, który otworzy każdy menel, tak nie pozostawiaj niezabezpieczonego Twojego życia cyfrowego.
Pamiętaj:
- hasła nie mogą być trywialne,
- hasła nie mogą być takie same w różnych serwisach,
- im dłuższe hasło, tym lepsze,
- …ale lepiej by było łatwe do zapamiętania,
- menadżer haseł to Twój przyjaciel,
- …choć może kiedyś go zastąpi passkey; ale jeszcze nie teraz!
I jeszcze jedno — jeżeli serwis oferuje uwierzytelnianie wieloskładnikowe, to koniecznie z niego skorzystaj.
Źródło grafiki: Sztuczna inteligencja, model Dall-E 3
