Światowy Dzień Hasła to idealna okazja, by zreflektować się nad swoimi nawykami dotyczącymi bezpiecznego korzystania z komputera i internetu. Regularne zmienianie haseł, stosowanie długich kombinacji i aktywacja uwierzytelniania dwuetapowego to dziś podstawy.
Czasy, w których do wygodnego korzystania z internetu konieczne było zapamiętanie jedynie hasła do poczty e-mail i ulubionego forum bezpowrotnie minęły. Od lat logujemy się „do wszystkiego”, w tym do smartfonów, bankowości elektronicznej, pakietu biurowego, sklepów, serwisów streamingowych z filmami i muzyką, czy samej przeglądarki internetowej i szeregu komunikatorów.
Wszystkie te usługi to pole do popisu dla atakujących, którzy chcą przejąć dane logowania. Zwykle otwiera im to drogę nie tylko do kradzieży danych, ale także do realizacji kolejnych ataków, podszywania się pod inne osoby i przede wszystkim – kradzieży pieniędzy z kont bankowych. Aby nie stracić danych i pieniędzy, wypada poświęcić chociaż chwilę na poznanie podstawowych zasad tworzenia dobrych haseł, a 6 maja i Światowy Dzień Hasła jest do tego idealną okazją.
„123456” i „password” to nie hasła
Podstawą jest tworzenie takich haseł, które po prostu trudno jest odgadnąć. W świecie komputerów oznacza to przede wszystkim długie kombinacje, które są zlepkami wielu liter, cyfr i symboli. Dzięki temu hasła będą bardziej odporne na taki typu bruteforce. Chodzi o sytuacje, w których atakujący wykorzystuje słownik, by maszynowo wypełniać formularz logowania i jako hasło wprowadzać popularne wyrazy lub powszechnie (i nieodpowiedzialnie) stosowane kombinacje.
Jak bowiem wykazują raporty bezpieczeństwa, takich przypadków jest zaskakująco dużo. Pod koniec ubiegłego roku jedno z badań wykazało, że w Polsce najpopularniejsze hasło w sieci to kombinacja „123456”. Inne opcje na liście to m.in. „qwerty”, „password” czy „123qwe”. Skoro na pomysł ich zastosowania wpada masa osób, przestają być unikalne i z definicji tracą sens. Nie należy ich używać.
Co więcej, hakerzy mają w zakresie ich stosowania dokładnie taką samą (jak nie większą) wiedzę, co sami badacze. Stworzenie narzędzia, które automatycznie włamie się do kont losowych osób, stosując tylko wymienione wyżej kombinacje, to kilka chwil. Rozwiązanie – stosowanie skomplikowanych kombinacji, które nie są oczywiste.
Za dobre hasło uznaje się najczęściej kombinację, która ma przynajmniej kilkanaście znaków, w tym litery (zarówno małe, jak i duże), cyfry i znaki specjalnie. Skrajny przypadek to po prostu losowa kombinacja, której raczej nie da się zapamiętać w głowie. Wygodniejsze (i w praktyce równie skuteczne) będzie samodzielne stworzenie ciągu słów, cyfr i symboli, które będą proste do zapamiętania. Metoda słownikowa w przypadku ataku i tak niewiele tu pomoże. Generalnie im dłuższe hasło – tym lepsze.
Uwierzytelnianie dwuetapowe – włączaj, gdzie się da
Istotny element bezpieczeństwa w sieci to także uwierzytelnianie dwuetapowe, w skrócie znane jako 2FA. Chodzi o wykorzystanie dodatkowego elementu weryfikacji, który pozwala uwierzytelnić użytkownika i w praktyce uodpornić konto na ataki, nawet jeśli ktoś pozna autentyczny login i hasło.
Najczęściej spotykane opcje to dodatkowe hasło jednorazowe (wysyłane np. SMS-em), kod odczytywany z aplikacji generującej odpowiednie ciągi czy elementy biometrii, takie jak wizerunek twarzy i odcisk palca. W praktyce użytkownik podaje login i hasło, a następnie proszony jest np. o kod z wiadomości SMS. Tego z kolei nie da się zdobyć, nie mając fizycznie w ręku smartfonu użytkownika. Włamanie na konto bez wcześniejszej kradzieży telefonu jest więc niemożliwe – nawet, jeśli atakujący zna login i hasło.
Sposób dla zapominalskich: menedżer haseł
W kontekście haseł warto pamiętać o istnieniu menedżerów. To aplikacje, które pozwalają zapamiętać hasła do szeregu serwisów i usług, a wymagają pamiętania tylko jednego, głównego hasła, by nimi zarządzać. W czasach, kiedy użytkownicy niestroniący od elektronicznych usług mają do zapamiętania kilkadziesiąt (jak nie więcej) haseł do różnych serwisów, menedżery haseł wydają się w zasadzie koniecznością.
Argument o dyskusyjnym bezpieczeństwie menedżerów haseł (teoretycznie przez błąd w programie lub wyciek hasła głównego, ktoś mógłby zdobyć dostęp do wszystkich pozostałych) nie jest do końca trafny. Niektóre menedżery mają otwarte źródła i co do zasady są programami tworzonymi z poszanowaniem wszelkich zasad bezpieczeństwa. Przykładem może być KeePass, który przechowuje dane w zaszyfrowanym pliku.
Pamiętaj o phishingu
Nawet najdłuższe, skomplikowane i dobrze zapisane hasła okażą się nieskuteczne, jeśli użytkownik zdecyduje się wprowadzić je do spreparowanego formularza. Dbając o bezpieczeństwo w sieci należy więc uważać przede wszystkim na phishing – szereg metod podszywania się pod wiarygodnych nadawców i wyłudzanie danych logowania.
Takie ataki popularne są szczególnie w zawodowych skrzynkach e-mail, ale także w zwykłych SMS-ach. Powszechne są bowiem ataki, w których ktoś deklaruje na przykład niedopłatę do rachunku, a później zachęca do jej uregulowania pod podanym linkiem.
Jeśli odbiorca wiadomości nie zorientuje się, że trafił na fałszywy formularz bankowy, w praktyce przekaże dane logowania wprost w ręce atakujących. Świetne hasło w tym przypadku w niczym nie pomoże. Warto więc zachować rozsądek i pamiętać, że w sieci można szczególnie łatwo dać się na coś nabrać.
