Zdjęcie przedstawia zestaw najczęściej używanych haseł, które są wypróbowywane na początku ataku.

1 Używając tej techniki, zapamiętamy wiele trudnych do złamania haseł

Istnieje technika, dzięki której dla każdej usługi możemy utworzyć łatwe do zapamiętania, a jednocześnie  bardzo silne hasło. Wystarczy do tego jedno mocne hasło podstawowe, które zawsze w ten sam sposób łączymy z elementami danej usługi. Przykład: hasło podstawowe to „pct-2jHgX” i chcemy utworzyć nowe do konta w Gmail. Adres tej usługi internetowej to gmail.com. Modyfikujemy hasło podstawowe, dodając jako prefiks cyfrę odpowiadającą liczbie znaków w adresie i wstawiając na końcu drugą literę adresu URL. Hasło do naszego konta w gmail.com będzie więc brzmiało: ”8pct-2j!HgXm”. Utworzone w ten sam sposób hasło do Facebooka (facebook.com) miałoby postać: „11pct-2j!HgXa”.

2 Hakerzy wykradają również bardzo mocne hasła 

Nawet jeśli dysponujemy silnym hasłem, korzystanie z niego nie musi zapewniać bezpieczeństwa. Kiedy wpisujemy je na obcym komputerze, ten może je zapamiętać i wyjawić postronnej osobie. Służą do tego programy zwane keyloggerami. Ale możemy je wywieść w pole, używając przy wprowadzeniu hasła klawiatury ekranowej Windows – wystarczy wpisać »osk« w Pasek wyszukiwania systemu. Wprowadzane znaki hasła są domyślnie zastępowane czarnymi kropkami lub gwiazdkami. Nie rezygnujmy z tego – niektóre keyloggery mogą wysyłać zrzuty ekranowe, ale przy takiej konfiguracji nie wyjawią one żadnych informacji. Pamiętajmy też, żeby tam, gdzie to możliwe, korzystać z protokołu SSL (https na początku adresu URL), który zapobiega przesyłaniu hasła przez Internet otwartym tekstem.

3 W atakach siłowych najważniejsza jest długość hasła dostępowego

 

Warto czuć respekt przed możliwościami obliczeniowymi kart graficznych. ATI Radeon HD 5970 przyspiesza nie tylko gry – może służyć również do sprawdzania 103 000 danych dostępowych na sekundę. Ataki słownikowe, w których hasło jest porównywane z tymi najczęściej używanymi, to dla tej karty kwestia sekund. Ale nawet jeśli mamy hasło losowe, nie może ono być zbyt krótkie, ponieważ wtedy narażamy się na atak siłowy – algorytm wypróbowuje wszystkie kombinacje z określonego zestawu znaków. Ale liczba możliwych układów rośnie wykładniczo wraz z każdym kolejnym znakiem hasła. Dlatego hasła powinny być długie: co najmniej osiem lub więcej znaków.

4 Generatory haseł nie mają osobistych upodobań

Utworzyliśmy kod dostępu z początkowych liter wyrazów zdania oraz dodaliśmy znaki specjalne i liczby. Choć utworzone w ten sposób hasło jest stosunkowo bezpieczne, to hakerzy mogą skrócić czas ataku metodą algorytmu siłowego, wykluczając znaki, o których wiedzą, że prawie nigdy nie są używane przy tworzeniu kodów dostępu. Ryzyko to wyeliminujemy, korzystając z generatora haseł. Narzędzie traktuje tak samo wszystkie znaki, a w zapamiętaniu tak powstałego kodu pomoże zbudowanie zdania z jego kolejnych elementów.

5 Naprawdę mocne hasła nie mają termimu przydatności do użycia

Teoretycznie haseł nigdy nie trzeba zmieniać. Jeśli dostępu do aplikacji lub usługi sieciowej broni naprawdę silny kod, to po latach będzie on tak samo bezpieczny jak w dniu utworzenia. Mimo to banki, pracodawcy i usługi online domagają się czasami zmiany hasła. Powodem są zagrożenia wynikające ze stosowania i zapisywania danych dostępowych przez użytkowników, np. na serwetce w kawiarni albo w emailu do znajomego. Aby zredukować te zagrożenia, od czasu do czasu serwisy wymuszają zmiany danych dostępowych. Administratorzy wyświadczają sobie jednak niedźwiedzią przysługę, jeśli wymagają ich w zbyt częstych odstępach, to standardową reakcją jest dodawanie do hasła nazwy miesiąca lub daty. Skutek jest taki, że hakerzy za pomocą specjalnych algorytmów mogą zrekonstruować pierwotną wersję danych dostępowych.