Znamy najgorsze hasła. Lata mijają, nie zmienia się nic

Używanie słabego, łatwego do odgadnięcia hasła, można przyrównać do zamykania mieszkania na zasuwkę zamiast korzystania z zamka na klucz. Niby jest zamknięte, ale sforsowanie takiego zabezpieczenia jest niezwykle proste, a liczenie na to, że złodziejowi nie będzie się chciało sprawdzać, jest w najlepszym wypadku naiwne. Tymczasem okazuje się, że nic się nie zmienia i wciąż nierzadko korzystamy z bardzo słabych haseł. 

Firma NordPass co roku przedstawia ranking najgorszych haseł. To zestawienie najczęściej powtarzających się haseł spośród tych, które trafiły w niepowołane ręce. Pierwszą dziesiątkę w 2023 r. tworzą:

1. 123456
2. admin
3. 12345678
4. 123456789
5. 1234
6. 12345
7. password
8. 123
9. Aa123456
10. 1234567890

Ranking jest globalny i w Polsce pewnie hasło „password” nie należy do szczególnie popularnych. Nawet ważniejsza niż same ciągi znaków jest tutaj jednak pewna tendencja. Wprowadzanie logicznie następujących po sobie znaków (na przykład kolejnych cyfr albo liter tworzących prawdziwe słowa) jest proszeniem się o kłopoty, a widać, że to właśnie takie hasła dominują. 

A zatem jakie powinno być dobre hasło? Oto siedem ważnych zasad:

• Po pierwsze: unikalne (nie stosuj tego samego hasła w dwóch różnych miejscach)
• Po drugie: długie (najlepiej, gdy hasło ma min. 15 znaków – im dłuższe, tym trudniejsze do złamania)
• Po trzecie: oryginalne (dobrze, gdy hasło nie jest pojedynczym wyrazem słownikowym)
• Po czwarte: zróżnicowane (warto stosować małe i duże litery oraz cyfry i znaki specjalne)
• Po piąte: nieosobiste (hasło nie powinno zawierać osobistych informacji, takich jak imiona czy daty)
• Po szóste: łatwe do zapamiętania, ale też…
• Po siódme: trudne do odgadnięcia

Ciekawostką jest to, że NordPass podaje, ile czasu potrzeba na złamanie poszczególnych haseł z rankingu. Na wszystkie te, które znajdują się w pierwszej dziesiątce, nie potrzeba nawet jednej sekundy. Warto przy tym zaznaczyć, że na jedenastym miejscu znalazło się hasło UNKNOWN, które może i nie jest szczególnie wyszukane, ale i tak wydłuża czas łamania do 17 minut. 

Aby złamać Eliska81 (miejsce 40.) potrzeba 3 godz., a na admintelecom (54. miejsce) – już 23 dni. W tym drugim przykładzie wyraźnie widać większą liczbę znaków oraz brak pojedynczego wyrazu słownikowego. Jeszcze bardziej wydłużając to hasło i dodając inne znaki można by wydłużyć ten czas na tyle, by stało się ono praktycznie niemożliwe do złamania. 

Na telefonach – i nie tylko na nich – rolę haseł często przejmują kody PIN. Te także powinny reprezentować odpowiednio wysoki poziom. Podczas listopadowych obrad sejmu RP dużym echem odbiło się nagranie z Donaldem Tuskiem w roli głównej. Widzimy na nim jak lider Koalicji Obywatelskiej odblokowuje telefon kodem „555555”. Może i jest to szybka metoda, ale na pewno nie jest bezpieczna. Kiepskie hasło Tuska opisywane było w serwisie dobreprogramy.pl.

Kod PIN powinien być bardziej skomplikowany. Najlepiej zaś w ogóle zastąpić go inną metodę weryfikacji. Telefony coraz częściej umożliwiają potwierdzanie tożsamości poprzez odcisk palca lub skan twarzy – tego typu zabezpieczenia są zdecydowanie mocniejsze. 

Wracając zaś do haseł – bardzo dobrym pomysłem jest stosowanie weryfikacji dwuetapowej. Polega ona na tym, że po wpisaniu hasła trzeba jeszcze uwierzytelnić się w inny sposób. To może być przepisanie jednorazowego kodu przesłanego SMS-em lub e-mailem albo skorzystanie z fizycznego klucza U2F – urządzenia przypominającego pendrive, a znacząco poprawiającego prywatność. 

Źródło: TechSpot, NordPass, inf. własna