Dobre hasło to podstawa. Tylko co to w ogóle znaczy?
Bezpieczeństwo

Dobre hasło to podstawa. Tylko co to w ogóle znaczy?

Wojciech Kulik | Redaktor serwisu benchmark.pl
22 komentarze Dyskutuj z nami

Dobre hasło to podstawowy środek bezpieczeństwa w Internecie. Ale czy wiesz, jak je stworzyć? Podpowiadamy, co jest kluczowe w tym temacie i wyjaśniamy, co zrobić, by wymyślić hasło, które jest proste do zapamiętania, ale trudne do odgadnięcia.

Kamil92 albo benchmark2021? Zapomnij!

W Internecie przechowujemy od groma informacji i co do sporej części z nich mamy pewność, że nie chcielibyśmy, by trafiły w niepowołane ręce. Nie chcielibyśmy też, żeby ktoś uzyskał dostęp do naszego konta w banku, do komunikatorów internetowych czy też w ogóle do komputera. Dlatego tak ważne jest to, by zadbać o odpowiednie zabezpieczenia do internetu. W przyszłości pewnie będziemy mogli w pełni przerzucić się na ochronę biometryczną (skany siatkówki oka czy odciski palców), ale do tej pory kluczowe jest ono: dobre hasło. Jakie powinno być i jak je stworzyć? 

Hasło grafika

Jakie hasło (nie) jest dobrym hasłem? 

Zanim przejdziemy dalej, pozwól, że przestawię ci Billa Burra – możesz kojarzyć to nazwisko z komikiem, lecz nie o tego Billa Burra chodzi, ale o byłego menedżera Narodowego Instytutu Standaryzacji i Technologii w USA. Niecałe dwie dekady temu pracodawca poprosił go o opracowanie wskazówek dotyczących tworzenia mocnego i bezpiecznego hasła. Właśnie wtedy powstał poradnik sugerujący, że dobre hasło musi mieć co najmniej 8 znaków, w tym minimum 1 małą literę, 1 dużą literę, 1 cyfrę i 1 znak specjalny. 

Rady Burra szybko zostały podchwycone i jeszcze do niedawna sądzono, że trudne do złamania hasło to właśnie takie. Dziś wiemy jednak, że… wcale tak nie jest. Amerykanin nie był specjalistą od cyberbezpieczeństwa i pewnie miał dobre chęci (tak jak autor wyskakujących okienek, które wcale nie miały prowadzić do plagi irytujących reklam czy autor „łapki w górę”, która nie miała być powodem depresji wśród nastolatków). Sam w 2017 roku przyznał, że się mylił i przeprosił za to. A zatem… 

Jakie powinno być dobre hasło? 

Specjaliści od cyberbezpieczeństwa są raczej zgodni w tej kwestii, że czas już zapomnieć o tamtych zasadach tworzenia dobrego hasła i nauczyć się nowych. Są dwie (no, właściwie trzy, ale do tej ostatniej przejdziemy nieco później). 

Zasada pierwsza: dobre hasło jest długie i proste

Oczywiście może zdarzyć się, że ktoś będzie próbować po prostu odgadnąć twoje hasło. Znacznie bardziej prawdopodobna jest jednak sytuacja, w której maszynie zostanie zlecone sprawdzenie wszystkich możliwych kombinacji liter, cyfr i znaków specjalnych, wstawianych na kolejne miejsca. W związku z tym siła hasła jest tak duża, jak liczba wykorzystanych znaków (innymi słowy: długość ma znaczenie)

Hasło XKCD
ilustracja: XKCD (CC BY 2.5)

Przykładowo tohasloniemazadnychznakowspecjalnychanicyfr, a i tak zapewni ci większe bezpieczeństwo niż [email protected]Ł0 (choć znaki specjalne i cyfry są jak najbardziej wskazane). To wyjaśnia, dlaczego hasło powinno być możliwie najdłuższe, a dlaczego ważne jest, by było proste? Tu dochodzimy do drugiej zasady, która brzmi… 

Zasada druga: łatwo je zapamiętać, ale trudno odgadnąć 

Nietrudno wymyślić hasło długie na przeszło 20 znaków, ale z zapamiętaniem go możesz już mieć niemały problem (szczególnie gdy masz ich kilka czy kilkanaście). Dlatego właśnie ważne jest, by dobrze to sobie przemyśleć. Tworząc hasło, zadbaj o to, by z czymś ci się kojarzyło. Równocześnie jednak postaraj o to, by trudno je było odgadnąć – zawierało coś, o czym wiesz tylko ty i co tylko ty zrozumiesz. Wtedy nikt inny się go nie domyśli, dla ciebie zaś będzie zupełnie oczywiste. 

Nie masz pomysłu na hasło? Możesz na przykład wykorzystać fragment swojej twórczości (np. wiersza lub piosenki). Możesz też mieć zapisane hasło w pokoju, ...choć nikt o tym nie będzie wiedzieć. Rzecz w tym, by nie zapisywać go na karteczce i nie przywieszać na tablicy korkowej, lecz wykorzystać to, co już masz, na przykład układ przedmiotów na biurku czy mebli w pomieszczeniu (szafakomodaregałwitrynkawitrynka). Dobre hasła są zapisane wokół ciebie. Tylko nie rób tego w oczywisty sposób: nie przepisuj numeru rejestracyjnego samochodu czy nazw własnych. 

A może by tak dać się wyręczyć?

Jeśli już naprawdę nie masz pomysłu, to możesz pozwolić się wyręczyć. W sieci znajdziesz wiele generatorów haseł, które wymyślą je za ciebie. Nie będziemy promować tutaj żadnego konkretnego rozwiązania – wspomnimy jedynie, że w takie narzędzia są wyposażone najpopularniejsze przeglądarki internetowe i programy antywirusowe. Wybierz, to, któremu ufasz. Wszystkie one działają na tej samej zasadzie: po prostu samodzielnie tworzą hasło.

hasło generator
Generowanie hasła na przykładzie Google Chrome.

Hasło stworzone przez generator nie będzie jednak proste do zapamiętania. I tutaj dochodzimy do kolejnego narzędzia, mianowicie menedżera haseł. Są zewnętrze programy tego typu, ale rozwiązania takie znajdziesz także w przeglądarkach WWW i pakietach bezpieczeństwa. To sejf, w którym możesz przechowywać wszystkie swoje hasła, do których dostęp zabezpieczany jest szyfrem. Takie aplikacje najczęściej oferują także automatyczne uzupełnianie, więc o nic nie musisz się martwić – wystarczy, że stworzysz i zapamiętasz jedno główne hasło (hasło dostępu do sejfu). 

Menedżery haseł mają duże znaczenie także w kontekście trzeciej zasady tworzenia dobrych haseł. Oto jak ona brzmi… 

Zasada trzecia: dobre hasło wykorzystujesz tylko raz

Chodzi mianowicie o to, by przyjąć zasadę: 1 konto = 1 hasło. W miarę możliwości nie używaj tego samego hasła do logowania w różnych serwisach czy usługach – wtedy wyciek hasła w jednym miejscu nie stwarza aż tak dużego zagrożenia. A jeśli już musisz powtarzać hasła, to zadbaj przynajmniej o to, by w niepowtarzalny sposób chroniony był dostęp do kont bankowych, profili w serwisach społecznościowych, skrzynek mailowych oraz samego komputera. 

Jeszcze kilka istotnych kwestii

A czy hasło trzeba zmieniać regularnie? To kolejna zasada z gatunku tych, które nie są już uznawane. Zmiana hasła co 90 dni na niewiele tak naprawdę się zdaje, a jedynie utrudnia spamiętanie wszystkich haseł. Jeśli więc będziesz stosować się do obowiązujących zasad, nie musisz wymyślać nowego ciągu znaków co trzy miesiące. 

Kiedy więc jest właściwa pora na zmianę hasła? Koniecznie trzeba je zmienić, gdy otrzymasz informację o wycieku haseł – potwierdzonym lub potencjalnym. Wtedy zmień swoje hasła na wszystkich stronach, we wszystkich aplikacjach i we wszystkich usługach, do których logowałeś się, używając tego, które mogło trafić w niepowołane ręce. 

Na koniec – pamiętaj również o zasadzie, że z zabezpieczeniem jest jak z łańcuchem – jest tak mocne, jak jego najsłabsze ogniwo. Dlatego nigdy nie zapisuj swoich haseł w zeszytach czy na luźnych kartkach ani w plikach na komputerze. Jeśli system oferuje ci „pytanie pomocnicze” do przypominania lub resetowania hasła – nigdy nie mów prawdy (w końcu nietrudno znaleźć nazwisko panieńskie twoje matki czy imię pierwszego psa). 

hasło niszczarka

W przyszłości zrezygnujemy z haseł. Dlaczego to będzie dobra zmiana?

Prawda jest taka, że nawet najlepsze hasła nie zapewniają pełnej ochrony, ponieważ co do zasady da się je złamać. A że często nie stosujemy się do zasad tworzenia ich we właściwy sposób, to z tym naszym bezpieczeństwem bywa różnie. 

Rozwiązaniem tych problemów będą zabezpieczenia biometryczne: za pomocą skanu twarzy czy też odcisku palca. To formy wykorzystujące nasze unikalne cechy, przez co nie da się tego ominąć (a przynajmniej nie da się, gdy system jest pozbawiony błędów). Ale to nie tylko poprawa bezpieczeństwa – takie zabezpieczenia zwiększają także wygodę (bo raz, że nie musisz pamiętać haseł, a dwa – ich wprowadzanie trwa ułamek sekundy). 

hasło skan

I choć ponad 150 milionów użytkowników Windows już korzysta z bezhasłowych form zabezpieczeń, to nadal mówimy o nich jak o rozwiązaniu przyszłościowym – szczególnie, że wciąż jest wiele niekompatybilnych serwisów i usług. Z czasem jednak pewnie wejdziemy na ten wyższy poziom bezpieczeństwa. 

Czytaj dalej o bezpieczeństwie: 

Komentarze

22
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    IgiPL
    7
    @Wojciech Kulik - Dobra robota, dobrze, że cała ta wiedza pojawiła się w miejscu odwiedzanym przez osoby, dla których OWASP to najwyżej "O, osa". Co do biometrii nie zgodzę się, że będzie "wybawieniem", ma jedną poważną wadę: łatwo zmusić człowieka np. do odblokowania urządzenia przez złapanie palucha i przyłożenie go do czytnika na siłę (z hasłem jest trochę trudniej i zawsze można próbować wydać nieprawdziwe hasło).
  • avatar
    Ahura
    5
    debilizm. Jeśli każda strona by z tego korzystała to wystarcz jeden wyciek, żeby wszyscy którzy się logowali na danej stronie takim skanem, byli narażeni na utratę wszystkiego. Po uzyskaniu bazy danych biometrycznych to jakim problemem byłoby zalogowanie się na każdą stronę na którą logowała się dana ofiara, skoro wszędzie byłby tylko odcisk palca (który atakujący już ma). Idiotyczna teoria.
  • avatar
    Abigail
    5
    Wyciek z Morele zapewnił mi spam maili o bitcoinach... także przydało by się by jeszcze maile były kodowane.
  • avatar
    4
    zasada czwarta: logowanie dwuetapowe
  • avatar
    piotr.potulski
    4
    Biometria ma jedną ogromna wadę - w przeciwieństwie do hasła nie da się zmienić odcisków palca, czy innych danych biometrycznych. Jeżeli te dane wyciekną (a nie jest to trudne, bo przecież nie chronimy naszego kształtu twarzy, czy odcisków), to jeżeli tylko ktos będzie w stanie znaleźć metodę przedstawiania się takimi danymi cały misterny plan legnie w gruzach. Na swoje potrzeby mam system polegający na zabezpieczeniu najważniejszych serwisów: banku, poczty, managera haseł, unikalnymi, silnymi hasłami, które pamiętam + ustawienie MFA. Cała reszta ma generowane losowo hasła typu "To9vWjSv^!grtF^AKHzVyjycq^[email protected]" przechowywane w szyfrowanym managerze haseł.
  • avatar
    aaadi
    3
    Ooo, jaki sensowny artykuł. Ciekawe kiedy to zdroworozsądkowe podejście (długie hasło lepsze od pokomplikowanego znakami specjalnymi, bezsens regularnej zmiany haseł) dotrze do korporacyjnego IT i twórców systemów np ERP. Obawiam się, że potrwa to dziesięciolecia...
  • avatar
    mikrofonkameragps
    1
    Menadżer haseł tyle w temacie.
    Co do tych biometrycznych wynalazków to odsyłam dohttps://reclaimyourface.eu/pl/
  • avatar
    Klops
    1
    Czym dłuższe z większej puli znaków, do tego brak wyrazów w jakimkolwiek języku. Optymalnie, Wielka litera, dwa znaki, dwie cyfry i więcej niż osiem bitów. A to jak zapamiętać takiego potwora, to inna kwestia ;)
  • avatar
    adamgr
    0
    Wszystko pięknie tylko że mamy konta na 1000 różnych stron plus do tego hasło w pracy zmieniane co miesiąc.