Poradnik: Hasło jak forteca

Standardowe hasła dostępowe do wielu urządzeń i usług mają dwie wady: po pierwsze są znane każdemu, kto zna dany sprzęt, po drugie – łatwe do złamania. W tym artykule podpowiemy jak jak stworzyć bezpieczne hasło.

Czy należy używać bezpiecznych haseł? To pytanie retoryczne. Mimo to olbrzymia rzesza użytkowników wciąż stosuje łatwe, a nawet bardzo łatwe do złamania hasła. Jak szybko takie hasło może być złamane? Odwiedź witrynę howsecureismypassword.net i wprowadź planowane hasło w pole tekstowe. W efekcie uzyskasz informację, ile czasu potrzebuje cracker dysponujący mocą współczesnego PC. Gdy wpiszesz jakiekolwiek imię (np. Monika), przekonasz się o słabości hasła nie tylko ze względu na jego długość (zaledwie 6 znaków), ale również na fakt użycia popularnego słowa, co oznacza natychmiastowe złamanie tego typu hasła. Podczas gdy np. ciąg znaków „sKdfj4/ asl230!D_a%Up” wymagałby 35 sekstylionów lat (35 x 1036). Jednak problemem jest zapamiętanie tak złożonego hasła, a dodatkowe utrudnienie polega na tym, że należy stosować różne hasła do różnych usług. Inne hasło do poczty w Windows, bankowości internetowej, sklepów online, aukcji, sieci społecznościowych itd.

Wyzwania codzienności

Co robić, gdy potrzebne jest bezpieczne hasło, które łatwo zapamiętać? W jaki sposób chronić dostęp do zasobu, by nikt niepowołany nie zdołał go ukraść? Błąd Heartbleed uzmysłowił nam, że użytkownik jest czasem zmuszony do wymiany wszystkich stosowanych haseł. Tego typu luki, a także przeprowadzane na wielką skalę ataki na usługodawców internetowych skutkujące wyciekiem danych (i haseł) użytkowników będą się powtarzać. Konieczna jest odpowiednia strategia!

Hasło idealne – zapamiętaj te zasady

1) Żadnej powtarzalności

Podstawowa zasada dla każdego, kto chcąc uzyskać dostęp do jakiegokolwiek zasobu, używa haseł, brzmi: nigdy nie stosuj tego samego hasła do różnych usług! Dzięki temu w razie ataku na jedną usługę łatwo można ograniczyć szkody.

2) Odpowiednie składniki hasła

Minimalna długość hasła to 8 znaków, ale dobrym pomysłem jest używanie haseł jeszcze dłuższych: 12-znakowych. Obowiązkowo należy używać zarówno wielkich, jak i małych liter. Dodatkowo zastosowanie cyfr i znaków specjalnych skutecznie utrudnia ataki brute force. Jak takie hasła mogą wyglądać? Łatwo to sprawdzimy, sięgając po jeden z licznych generatorów haseł online (np.

https://
generator.blulink.pl/

).

3) Wzory i mapy haseł zamiast tekstu

Widoczna obok karta to tzw. karta haseł firmy Savernowa, rozwiązanie znacznie bezpieczniejsze od klasycznej listy haseł. Tego typu karty zawierają zestaw znaków w układzie tabelarycznym. Aby „pamiętać” hasło, wystarczy zapamiętać punkt początkowy (musi być inny dla każdej usługi, jego lokalizacja definiowana jest przez współrzędne widoczne na brzegu karty, np. A7) i wzór tworzący hasło (np. 6 liter w prawo + 6 liter w dół; ten z kolei może być taki sam dla każdej usługi, a hasła będą różne). To znacznie łatwiejsze zadanie dla naszej pamięci.

4) Strategia modułowa

Ponieważ wiele usług wymaga okresowej (np. comiesięcznej) zmiany haseł, niektórzy proponują, by hasła do każdego serwisu tworzyć według tego samego wzorca. Na przykład hasło składa się z nazwy serwisu pozbawionej samogłosek, przeplatanej comiesięczną datą zmiany hasła i uzupełnioną o znaki specjalne właściwe dla klawiszy cyfr i poprzedzające je. Przykładowo dla Facebooka, w którym hasło zmieniane jest 5. dnia każdego miesiąca, wrześniowe hasło może wyglądać następująco: )0F%5c)0b(9k. Zatem najważniejsza do zapamiętania jest tutaj metoda, a nie samo hasło.

5) Odpowiednie oprogramowanie

Dobrą alternatywą dla samodzielnych prób poradzenia sobie z zapamiętaniem kilkudziesięciu haseł jest skorzystanie z programu typu menedżer haseł. Dostęp do zaszyfrowanej bazy haseł chroniony jest jednym (bardzo silnym) hasłem głównym. Zaleta rozwiązania polega na tym, że trzeba pamiętać wyłącznie ów klucz główny. Bardzo dobrym menedżerem haseł jest udostępniany bezpłatnie program KeePass Password Manager.

6) Użycie generatora haseł

KeePass Password Manager oferuje generator losowych haseł. Jest on dostępny w menu »Narzędzia«, pozycja »Generuj Hasło«.

Hasła na wielu PC i hasła tymczasowe

1) Dostęp do haseł na wielu urządzeniach

Jeżeli korzystasz z kilku komputerów, polecamy sięgnięcie po przenośną (portable) wersję programu KeePass Password Manager. Jest on dostępny jako archiwum ZIP, które można rozpakować np. na dysk USB i zawsze mieć przy sobie. Inną metodą jest użycie przedstawionej na poprzedniej stronie strategii modułowej lub specjalnej karty haseł.

2). Synchronizacja pomiędzy urządzeniami

Ci, którzy chcą korzystać z menedżerów haseł na platformach mobilnych i jednocześnie mieć możliwość synchronizacji zaszyfrowanej bazy haseł, mają do dyspozycji takie narzędzia jak LastPass czy 1Password. Są to jednak programy płatne. Alternatywą jest użycie aplikacji MiniKeePass (iOS) lub Astro File Manager (Android), które rozpoznają plik bazy haseł bezpłatnego KeePass Password Managera, co pozwala korzystać z tej samej, zaszyfrowanej i chronionej silnym hasłem bazy haseł również na smartfonie lub tablecie.

3. Jednorazowe hasło lepsze niż Facebook

Jeżeli chcesz tylko wypróbować jakąkolwiek usługę internetową, która oprócz standardowego logowania oferuje możliwość logowania za pomocą posiadanego konta w serwisie społecznościowym, zawsze wybieraj standardowe logowanie i używaj banalnego hasła tymczasowego (np. 123abc). Takiego hasła nie zapomnisz, a przy tym nie przyznasz niepotrzebnie nieznanej jeszcze usłudze dostępu do twojego konta na Facebooku czy Twitterze. Gdy wypróbujesz usługę i zdecydujesz się z niej korzystać częściej, natychmiast zmień hasło na silniejsze.

4. Większe bezpieczeństwo

Bardzo dobrym pomysłem na zwiększenie bezpieczeństwa logowania do wybranej usługi jest skorzystanie z dwuetapowego uwierzytelniania. Tego typu rozwiązanie wymaga, by osoba, która chce uzyskać dostęp do chronionego zasobu, podała nie tylko hasło, ale również dodatkową tajną informację, np. hasło jednorazowe generowane przez aplikacje-tokeny zainstalowane na smartfonie (jak Google Authenticator) czy specjalny kod PIN ważny przez krótki czas i przesłany SMS-em do logującego się użytkownika.

5. Szybki reset

Nie ma tygodnia, by nie pojawiła się informacja o kolejnym włamaniu do popularnego serwisu internetowego oraz kradzieży danych (w tym haseł) użytkowników zaatakowanego serwisu. W takim przypadku jedyną metodą jest jak najszybsza zmiana hasła. Jeżeli korzystasz z KeePass Password Managera masz uproszczone zadanie. Aby wywołać dany serwis w celu zmiany hasła, kliknij wpis prawym przyciskiem myszki i wybierz z menu kontekstowego pozycję »Open URL(s)«. Pamiętaj, że bez względu na sytuację wszystkie hasła trzeba zmienić przynajmniej raz w roku.

0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.