Dziś światowy dzień hasła. Jak je stworzyć, by było dobre?
Internet

Dziś światowy dzień hasła. Jak je stworzyć, by było dobre?

przeczytasz w 5 min.

Dobre hasło to podstawa bezpieczeństwa w Internecie. Ciągiem znaków chronimy dostępu do naszych informacji i prywatnych treści. O jakich zasadach należy pamiętać, by wymyślić dobre hasło i co tak naprawdę kryje się pod tym określeniem?

Wojtek95 albo benchmark2022? Nie, to tak samo złe hasła jak „hasło”

Spora część nazego życia toczy się dziś w Internecie. W różnych częściach sieci przechowujemy od groma informacji i raczej nie chcielibyśmy, by trafiły one w niepowołane ręce. Nie chcielibyśmy też, żeby ktoś uzyskał dostęp do naszego konta w banku, do komunikatorów internetowych czy też w ogóle do komputera. Ochronę zapewnia nam w tym kontekście dobre hasło – no właśnie: sprawdza się tylko wtedy, gdy jest dobre. Jakie powinno być i jak je stworzyć, by zrobić to jak należy?

hasło ekran

Zacznijmy od… końca. Jako hasło NIE jest dobrym hasłem?

Zanim przejdziemy do konkretów, pozwól, że przedstawię ci Billa Burra. Nie, nie tego komika, lecz byłego menedżera Narodowego Instytutu Standaryzacji i Technologii w USA. Niecałe dwie dekady temu pracodawca poprosił go o opracowanie wskazówek dotyczących tworzenia mocnego i bezpiecznego hasła. Właśnie wtedy powstał poradnik sugerujący, że dobre hasło musi mieć co najmniej 8 znaków, w tym minimum 1 małą literę, 1 dużą literę, 1 cyfrę i 1 znak specjalny. 

Rady Burra szybko zostały podchwycone i jeszcze do niedawna sądzono, że trudne do złamania hasło to właśnie takie. Dziś wiemy jednak, że… wcale tak nie jest. Amerykanin nie był specjalistą od cyberbezpieczeństwa i pewnie miał dobre chęci (tak jak autor wyskakujących okienek, które wcale nie miały prowadzić do plagi irytujących reklam czy autor „łapki w górę”, która nie miała być powodem depresji wśród nastolatków). Sam w 2017 roku przyznał, że się mylił i przeprosił za to. A zatem… 

Jakie jest dobre hasło? Pamiętaj o tych zasadach

Choć wielu pracodawców i właścicieli serwisów nadal stosuje się do wytycznych wskazanych przez Billa Burra, to specjaliści od cyberbezpieczeństwa są raczej zgodni, co do tego, że czas na zmiany. Należy zapomnieć o tamtych zasadach tworzenia dobrego hasła i nauczyć się nowych. I nie jest to trudne zadanie, bo na dobrą sprawę wszystko ogranicza się do zaledwie kilku elementów:

Dobre hasło jest długie i proste

Oczywiście może zdarzyć się, że ktoś będzie próbować po prostu odgadnąć twoje hasło. Znacznie bardziej prawdopodobna jest jednak sytuacja, w której maszynie zostanie zlecone sprawdzenie wszystkich możliwych kombinacji liter, cyfr i znaków specjalnych, wstawianych na kolejne miejsca (to tak zwany atak typu brute-force). W związku z tym siła hasła jest tak duża, jak liczba wykorzystanych znaków (innymi słowy: długość ma znaczenie). Doskonale tłumaczy to ta starusieńka już grafika:

XKCD hasło
ilustracja: XKCD (CC BY 2.5)

Przykładowo tohasloniemazadnychznakowspecjalnychanicyfr, a i tak zapewni ci większe bezpieczeństwo niż m0j3H@sŁ0 (choć znaki specjalne i cyfry są jak najbardziej wskazane). To wyjaśnia, dlaczego hasło powinno być możliwie najdłuższe, a dlaczego ważne jest, by było proste? Tu dochodzimy do drugiej zasady: 

Twórz hasła, które łatwo zapamiętać, ale trudno odgadnąć

Tworząc hasło, zadbaj o to, by z czymś ci się kojarzyło. Równocześnie jednak postaraj o to, by trudno je było odgadnąć – zawierało coś, o czym wiesz tylko ty i co tylko ty zrozumiesz. Wtedy nikt inny się go nie domyśli, dla ciebie zaś będzie zupełnie oczywiste. 

Nie masz pomysłu na hasło? Możesz na przykład wykorzystać fragment swojej twórczości (np. wiersza lub piosenki). Możesz też mieć zapisane hasło w pokoju, ...choć nikt o tym nie będzie wiedzieć. Rzecz w tym, by nie zapisywać go na karteczce i nie przywieszać na tablicy korkowej, lecz wykorzystać to, co już masz, na przykład układ przedmiotów na biurku czy mebli w pomieszczeniu. Dobre hasła są zapisane wokół ciebie. Tylko nie rób tego w oczywisty sposób: nie przepisuj numeru rejestracyjnego samochodu czy nazw własnych.

Prawda jest taka, że nietrudno jest wymyślić hasło długie na przeszło 20 znaków, ale z zapamiętaniem go możesz już mieć niemały problem – dlatego dobrze przemyśl temat. Szczególnie, że będziesz potrzebować ich więcej. Zasada trzecia brzmi bowiem: 

Dobre hasło wykorzystujesz tylko raz

Krótko mówiąc: w miarę możliwości nie używaj tego samego hasła do logowania w różnych serwisach czy usługach – wtedy wyciek hasła w jednym miejscu nie stwarza aż tak dużego zagrożenia. A jeśli już musisz powtarzać hasła, to zadbaj przynajmniej o to, by w niepowtarzalny sposób chroniony był dostęp do kont bankowych, profili w serwisach społecznościowych, skrzynek mailowych oraz samego komputera. 

Przykłady haseł – tych złych i tych dobrych

  • 123456, 111111, 123123, 654321 itp. – to złe, a bardzo często stosowane hasła. Logiczne ciągi cyfr to zawsze zły wybór, 
  • hasło, haslo, password, a nawet P@SSW0RD – to jedne z najczęściej wykorzystywanych haseł, nigdy ich nie stosuj, 
  • qwerty, abc123, zaq1@WSX itp. – podobnie jak w przypadku cyfr: tego typu ciągi znaków to zły pomysł na hasło, 
  • imię wybranki, data urodzenia, imię i nazwisko itp. – wyraźnie powiązane z tobą hasła są proste do odgadnięcia, nie są więc dobrym wyborem,
  • konstantynopolitańczykowianeczka – nie jest dobrym hasłem. Choć jest wystarczająco długie, to zawiera jeden wyraz słownikowy (a to błąd), 
  • KALENDARZz4PIESKAMIwŁATKI – to przykład dobrego hasła: długiego, zawierającego różne znaki, nawiązującego do czegoś w otoczeniu i łatwego do zapamietania,
  • szafaKOMODAregał&2witrynki – to inny przykład dobrego hasła, obrazujący układ mebli, ale nie w całkowicie czytelny sposób.

Generator haseł, czyli daj się wyręczyć – czy to dobry pomysł?

Jeśli nie masz pomysłu na hasło, możesz pozwolić się wyręczyć. W sieci znajdziesz wiele generatorów haseł, które wymyślą je za ciebie. Nie będziemy promować tutaj żadnego konkretnego rozwiązania – wspomnimy jedynie, że w takie narzędzia są wyposażone najpopularniejsze przeglądarki internetowe i programy antywirusowe. Wybierz, to, któremu ufasz. Wszystkie one działają na tej samej zasadzie: po prostu samodzielnie tworzą hasło.

generator haseł
Generowanie hasła na przykładzie Google Chrome.

Hasło stworzone przez generator nie będzie jednak proste do zapamiętania. I tutaj dochodzimy do kolejnego narzędzia, mianowicie menedżera haseł. Są zewnętrze programy tego typu, ale rozwiązania takie znajdziesz także w przeglądarkach WWW i pakietach bezpieczeństwa. To sejf, w którym możesz przechowywać wszystkie swoje hasła, do których dostęp zabezpieczany jest szyfrem. Takie aplikacje najczęściej oferują także automatyczne uzupełnianie, więc o nic nie musisz się martwić – wystarczy, że stworzysz i zapamiętasz jedno główne hasło (hasło dostępu do sejfu). 

Podsumujmy: jak stworzyć dobre hasło – zasady:

  • zakładasz nowe konto – wymyśl nowe hasło
  • dobre hasło nie powinno mieć mniej niż 15 znaków
  • dobrze, gdy hasło zawiera duże i małe litery oraz cyfry i znaki specjalne
  • hasło nie może zawierać żadnych informacji osobistych (imion, dat…)
  • bezpieczne hasło nie jest jednym wyrazem słownikowym (niezależnie od długości)
  • dobre hasło jest łatwe do zapamiętania…
  • …ale trudne do zgadnięcia (nawet dla bliskiej osoby)

Światowy dzień haseł powinien być codziennie – garść porad na co dzień

Bezpieczne hasło to podstawa, ale warto też zdecydować się na aktywację logowania dwuetapowego. Oznacza to, że po wpisaniu hasła należy się uwierzytelnić jeszcze w inny sposób: na przykład w aplikacji mobilnej lub podając kod SMS. Dowiedz się więcej na ten temat z naszego poradnika: Niewygodna, ale skuteczna - dlaczego warto używać weryfikacji dwuetapowej.

hasło 2FA

A czy hasło trzeba zmieniać regularnie? To kolejna zasada z gatunku tych, które nie są już uznawane. Zmiana hasła co 30, 90 czy 360 dni na niewiele tak naprawdę się zdaje, a jedynie utrudnia spamiętanie wszystkich haseł. Jeśli więc będziesz stosować się do obowiązujących zasad, nie musisz wymyślać nowego ciągu znaków co trzy miesiące. 

Kiedy więc jest właściwa pora na zmianę hasła? Koniecznie trzeba je zmienić, gdy otrzymasz informację o wycieku haseł – potwierdzonym lub potencjalnym. Wtedy zmień swoje hasła na wszystkich stronach, we wszystkich aplikacjach i we wszystkich usługach, do których logowałeś się, używając tego, które mogło trafić w niepowołane ręce. 

Pamiętaj również o zasadzie, że z zabezpieczeniem jest jak z łańcuchem – jest tak mocne, jak jego najsłabsze ogniwo. Dlatego nigdy nie zapisuj swoich haseł w zeszytach czy na luźnych kartkach ani w plikach na komputerze. 

A jeśli system oferuje ci „pytanie pomocnicze” do przypominania lub resetowania hasła – nigdy nie mów prawdy (w końcu nietrudno znaleźć nazwisko panieńskie twoje matki czy imię pierwszego psa). Najlepiej zaś zrobisz, jeśli w ogóle nie będziesz korzystać z tego typu podpowiedzi. 

W przyszłości pewnie zrezygnujemy z haseł. Czy będzie to dobra zmiana?

Cóż, prawda jest taka, że nawet najlepsze hasła nie zapewniają pełnej ochrony, ponieważ co do zasady da się je złamać. A że często nie stosujemy się do zasad tworzenia ich we właściwy sposób, to z tym naszym bezpieczeństwem bywa różnie. 

Rozwiązaniem tych problemów będą zabezpieczenia biometryczne: za pomocą skanu twarzy czy też odcisku palca. To formy wykorzystujące nasze unikalne cechy, przez co nie da się tego ominąć (a przynajmniej nie da się, gdy system jest pozbawiony błędów). Ale to nie tylko poprawa bezpieczeństwa – takie zabezpieczenia zwiększają także wygodę (bo raz, że nie musisz pamiętać haseł, a dwa – ich wprowadzanie trwa ułamek sekundy). 

hasło skan

I choć ponad 150 milionów użytkowników Windows już korzysta z bezhasłowych form zabezpieczeń, to nadal mówimy o nich jak o rozwiązaniu przyszłościowym – szczególnie, że wciąż jest wiele niekompatybilnych serwisów i usług. Z czasem jednak pewnie wejdziemy na ten wyższy poziom bezpieczeństwa. 

Oczywiście nie ma róży bez kolców i tak też bezhasłowe zabezpieczenia mają swoje wady. Te objawiają się jednak raczej w ekstremalnych sytuacjach. Wszak można bowiem siłą zmusić kogoś do odblokowania urządzenia. 

Komentarze

12
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    5
    Jak zwykle polecam aplikację KeePass - wymyśla hasła i je przechowuje
    • avatar
      Janisz
      2
      Hasło do telefonu, hasło do kompa i kompa w pracy, kilka haseł do różnych kont pocztowych, kilka do sklepów, kilka do aplikacji i serwisów, vodów, banku itd. Ktoś liczył ile musiał by tych haseł zapamiętać - mi się nie chce nawet liczyć... TAK - WIEM jak tworzyć bezpieczne hasła, tak jak wie to pewnie większość ludzi, tylko CO Z TEGO?.. Trzeba sobie stworzyć priorytety istotności - nie będę tworzył 30to znakowego hasła do jakiejś durnej stronki, albo serwisu VOD!... Wystarczy to zrobić dla swojego głównego (można również dla pomocniczego) konta pocztowego, do banku i telefonu - raptem 3;4 hasła. Z pomocą przychodzi trochę upierdliwa, ale jakoś tam podnosząca bezpieczeństwo modna i stosowana powszechnie weryfikacja dwuetapowa. Zadbaj o bezpieczeństwo telefonu, konta w banku i głównego konta pocztowego - to są priorytety. Konieczność używania znaków specjalnych i skomplikowanych haseł na g..o wartych serwisach z badziewnymi usługami, to prowokowanie ludzi do nagminnego używania wszędzie tego samego hasła - taka ludzka natura niestety i złodzieje zdają sobie z tego sprawę.
      • avatar
        zeniu
        1
        Przypominam że w wielu serwisach już po trzeciej nieudanej próbie logowania następuje blokada.
        • avatar
          Warmonger
          0
          Ktoś kiedyś podpowiedział mi dobry patent:

          1. Wygeneruj tablicę losowych znaków w układzie np. 5 x 5, zapisz na kartce.
          2. Zapamiętaj ciąg w postaci "wężyka" - takiego, jak na telefonie.

          Voila! Możesz trzymać kartkę na wierzchu, ale tylko Ty będziesz umiał odczytać z niej hasło. Po drugie, zmiana hasła ogranicza się do zmiany kartki. Kształt wężyka pozostaje taki sam, bardzo łatwo zapamiętać go na zawsze.
          • avatar
            que_pasa
            0
            Hasło ma być długie i łatwe do zapamiętania. Kombinacje z wielkością liter, znakami specjalnymi to głupota. Idiotycznego zdania składającego się z 30 znaków nic nie odgadnie, nawet nie będzie nikt próbował. Im bardziej skomplikowane hasło tym częściej na karteczce ląduje.
            • avatar
              pawluto
              0
              najlepsze hasło "admin01"... :)
              • avatar
                digitmaster
                0
                Najlepsze hasło to brak hasła jako takiego. Obecnie najlepszym połączeniem jest PKI w postaci pary kluczy (prywatny i publiczny) w połączeniu z mechanizmem challenge-response dostępnym w kluczach sprzętowych np. Yubikey. Oczywiście w takim rozwiązaniu pojawiają się inne problemy (np. umiejętność bezpiecznego posługiwania się swoim kluczem prywatnym, który też można skonfigurować tak, aby do użycia wymagał hasła), ale taki klucz w tradycyjny sposób jest ekstremalnie trudny do złamania, a w połączeniu z mechanizmem challenge-response, który najczęściej bazuje na HMAC-SHA1, którego nie da się podsłuchać jest w zasadzie zabezpieczeniem nie do przejścia. Trzeba by wykraść nośnik/urządzenie zawierające klucz prywatny, ukraść drugi składnik uwierzytelniania (czyli klucz sprzętowy), wyciągnąć hasło do klucza prywatnego i na końcu powiązać to wszystko z odpowiednimi usługami.
                Głównym problemem jest jednak to, że szary użytkownik nie ma za bardzo gdzie wykorzystać takich metod. Powoli się to zmienia, ale tempo to jest przerażająco wolne.