Co wpływa na siłę hasła?
Najlepsze hasło powinno robić wrażenie przypadkowej zbitki znaków. Trzeba unikać haseł prostych – wyrazów ze słownika, imion, tytułów filmów. Dążąc do utworzenia silnego hasła, warto kierować się kilkoma ważnymi kryteriami:
Słowa i zwroty tworzące hasło powinny być trudne do odgadnięcia dla osób postronnych i jednocześnie łatwe do zapamiętania dla ich twórcy. Jeśli mimo wszystko obawiamy się, że zapomnimy nasze hasło, najlepiej zapisać je na kartce papieru. Bezpieczeństwo naszych danych zależy wówczas od wspomnianej kartki, ale wbrew pozorom nie jest to aż tak niebezpieczne, o ile zapisane hasła są odpowiednio przechowywane.
Istnieją również specjalne programy do zarządzania hasłami, które zwykle przechowują hasła w pliku zaszyfrowanym przez kolejne hasło (i tylko to hasło musimy wówczas pamiętać). Można tez stworzyć kopie zapasową tego zaszyfrowanego pliku z hasłami, na wypadek ewentualnej awarii systemu. Wielu uważa jednak, że zapisywanie haseł na papierze jest mniej ryzykowane niż hasła przechowywane przez oprogramowanie witryn sieci Web, menedżery haseł i inne narzędzia programowe.
Hasło powinno być długie. Dobre hasło nie może być krótkie; im więcej znaków w haśle, tym trudniej je złamać. Najlepiej tworzyć hasła składające się z 14 lub więcej znaków, na pewno nie powinny one liczyć mniej niż 8 znaków.
Ułatwieniem stosowanym w wielu systemach jest używanie spacji w hasłach – to pozwala na tworzenie fraz zbudowanych z większej liczby słów. To tak zwane frazy zabezpieczające. Często łatwiej jest je zapamiętać niż krótsze hasła, a jednocześnie są silniejsze i trudniejsze do złamania.
W haśle powinny znajdować się zróżnicowane znaki. Hasło zbudowane nie tylko z liter, ale także za pomocą cyfr i symboli jest zdecydowanie trudniejsze do odgadnięcia.
Gdy utworzenie hasła zawierającego symbole jest niemożliwe, to dla zagwarantowania sobie odpowiedniej ochrony należy stworzyć znacznie dłuższe hasło. Długie hasło złożone z samych liter i cyfr jest równie dobre, jak krótkie hasło stworzone za pomocą całej klawiatury. Jak łatwo się domyślić, hasło idealne byłoby jednocześnie długie i jak najbardziej zróżnicowane.
Warto też nie ograniczać się do typowych znaków, czyli tych tworzonych za pomocą klawisza Shift i klawiszy cyfr. Siła hasła znacznie wzrośnie, jeśli użyjemy symboli oraz znaków interpunkcyjnych innych niż te tworzone z użyciem górnego rzędu klawiszy.
Jak tłumaczy Piotr Jaroszewski z CERT Polska, kod ASCII zawiera 256 znaków, z czego ponad 200 może być użyte w haśle. Używając tylko małych liter łacińskich, wykorzystujemy zaledwie 26 spośród tej liczby. Przy kombinacji małych i wielkich liter oraz cyfr dysponujemy już 62 znakami. Przy ośmioliterowym haśle mamy ponad tysiąc razy więcej kombinacji, tak więc potrzeba ponad tysiąc razy więcej czasu, by takie hasła odgadnąć. Dorzucając kilka znaków specjalnych, np. $, ! czy +, uzyskujemy naprawdę mocne hasło.
Jak utworzyć silne hasło?
Przestrzegając poniższych wskazówek, można szybko i sprawnie utworzyć bezpieczne hasło:
Wybierz zdanie, które będzie podstawą hasła lub frazy zabezpieczającej. Najlepsze są łatwe do zapamiętania zdania, takie jak: Kupiłem nowy samochód w listopadzie 2008 roku.. Jeśli system umożliwia korzystanie z fraz zabezpieczających (czyli wspomnianych wyżej haseł ze spacjami), najlepiej jest utworzyć właśnie takie hasło wykorzystując nasze łatwe do zapamiętania hasło. Można też wykorzystać frazę czy cytat ze znakami interpunkcyjnymi (dwukropki, przecinki czy wykrzykniki dodatkowo skomplikują hasło) Jeżeli system nie pozwala tworzyć haseł ze spacjami, należy przekształcić frazę w hasło – można utworzyć pozbawione znaczenia słowo z pierwszych liter słów wybranego zdania (czyli w przypadku naszego przykładu „knswl2008r” – lub „knswldtór”). Skomplikuj hasło, wprowadzając cyfry oraz wielkie i małe litery. Zmieniając w ten sposób frazę zabezpieczającą, mamy duże pole do popisu – można napisać jedno ze słów z błędem ortograficznym („samochud”), użyć cyfry 2 zamiast słownego zapisu „dwa”. Zwiększanie złożoności hasła krótszego, bez spacji jest trudniejsze, ale również możliwe: np „kNswL2008r”. Zamień część liter i cyfr w haśle na znaki specjalne – stosowanie symboli wyglądających jak litery (np „&” zamiast cyfry „8”), łączenie wyrazów (kupiłemnowy). Zastępowanie części znaków w ten sposób działa również w krótszym haśle – zamiast „kNswL2008r”.wpisujemy „| Na koniec wypróbuj swoje nowe hasło za pomocą Narzędzia do sprawdzania haseł – to funkcja witryny sieci Web, oceniająca siłę hasła w miarę jego wpisywania. Nie rejestruje żadnych informacji, więc jest bezpieczne. Dzięki takim narzędziom można szybko przekonać się, czy nasze nowe hasło wymaga dalszych modyfikacji.
Jakich błędów unikać?
Często użytkownicy Internetu stosują przy tworzeniu haseł własne sprawdzone strategie, które prowadzą do powstania słabych, łatwych do odgadnięcia haseł. Najpowszechniejsze wśród tych błędnych strategii to:
przechowywanie danych online albo na podłączonym do sieci komputerze. Jest to bezmyślne działanie, ponieważ jeśli ktoś znajdzie tak przechowywane hasła, będzie miał wolny dostęp do wszystkich danych. tak zwana metoda słownikowa, czyli stosowanie wyrazów zawartych w słowniku dowolnego języka. Złodzieje haseł dysponują zaawansowanymi narzędziami pozwalającymi im na odgadnięcie haseł będących wyrazami z dowolnego słownika (włącznie z wulgaryzmami). Podstawowe utrudnienia (takie jak dodanie jednej lub kilku cyfr na końcu wyrazu) też nie są już problemem dla atakujących. Trzeba też unikać prostych, popularnych haseł typu „login123”, „123login”, imiona z „a” zastąpionym przez 4 (j4cek), czy po prostu „hasło” wykorzystywanie powtórzeń lub sekwencji znaków (metoda znana jako bruteforce). Ciągi typu „jklmnop” czy „66666” w żaden sposób nie poprawiają siły hasła. Na podstawie badania kilkudziesięciu tysięcy skradzionych haseł okazało się, że to właśnie tego typu ciągi wybieramy najczęściej przy tworzeniu haseł. Dotyczy to również bardzo popularnego hasła „qwerty” (kolejne klawisze na polskiej klawiaturze). stosowanie wciąż tego samego hasła. Jest to bardzo ryzykowne – jeżeli w różnych systemach używamy cały czas tego samego hasła ( z przyzwyczajenia lub dlatego, że jest łatwe do zapamiętania), przestępca, który je odkryje, automatycznie zdobędzie dostęp do wszystkich naszych danych. zamienianie liter i cyfr na znaki wyglądające podobnie jako jedyna metoda „komplikowania” hasła. Przestępcy również dobrze znają sposoby zamieniania liter i cyfr na symbole i łatwo poradzą sobie z tak oczywistą zamianą, jak na przykład „#@sł0” zamiast zwykłego „hasło”. Dlatego zamianę należy stosować w połączeniu z innymi utrudnieniami (takimi jak tworzenie bardzo długiego hasła, duże i małe litery, błędy ortograficzne). wykorzystywanie w haśle swoich danych lub danych bliskich osób, takich jak imię, nazwisko, data urodzenia, numer PESEL itd. Imiona właścicieli kont lub ich bliskich stanowią kilkanaście procent słabych i łamanych haseł. Osoba próbująca złamać nasze hasło na pewno sprawdzi podstawowe informacje dotyczące nas i w ten sposób sami ułatwimy jej zadanie. unikajmy też haseł opartych na popkulturze (takich jak pseudonimy i nazwiska gwiazd, imiona ulubionych bohaterów postaci filmowych albo tytuły znanych filmów, seriali czy piosenek: popularne przykłady to Ironman czy Matrix).
Zabezpieczanie haseł
Nawet najsilniejsze hasło lub fraza zabezpieczająca musi być odpowiednio chronione. Powinniśmy o to dbać w równym stopniu, w jakim dbamy o zabezpieczenie danych, które te hasła chronią. O czym należy pamiętać?
jeśli zapisujesz hasła na kartce papieru lub innym nośniku, dbaj o ich ochronę, nie zostawiaj ich bez opieki i nie powierzaj nikomu nie korzystaj w przeglądarce internetowej z funkcji automatycznego uzupełniania haseł i logików. nie ujawniaj swoich haseł innym osobom, nawet najbliższym. Hasła należy chronić szczególnie przed dziećmi, które mogą je nieostrożnie przekazać osobom postronnym. Jeśli koniecznie musisz podać komuś hasło, zmień je później. Powinniśmy dzielić się hasłami jedynie wtedy, gdy jest to konieczne (np w przypadku wspólnego z mężem/żoną konta bankowego online) często zmieniaj hasła. Dotyczy to szczególnie haseł krótkich i niezbyt skomplikowanych – już po tygodniu hasła o długości poniżej 8 znaków nie dają prawdziwej silnej ochrony. Natomiast hasła długie i utworzone z pomocą reguł, które wymieniono wcześniej, mogą przetrwać nawet kilka lat. Na wszelki wypadek lepiej jednak zmieniać hasła co 3-6 miesięcy, nawet jeśli wydają się silne. Jeżeli decydujemy się często zmieniać hasła, pomocne może być wprowadzenie części stałej i zmiennej w haśle. Przykładowo zmieniając hasło co tydzień, można dorzucić na końcu cztery czy sześć znaków stanowiących datę przypadającą w sobotę czy czwartek ubiegłego tygodnia. Tę zmienną część hasła, czyli datę, również można zapisać za pomocą liter czy znaków specjalnych, dodatkowo zwiększając siłę hasła. nie wpisuj haseł podczas korzystania z „obcych” komputerów. Komputery w kafejkach, poczekalniach na lotnisku, dostępne w bibliotekach i na uczelniach czy na konferencjach nie są nigdy do końca bezpieczne i powinniśmy w miarę możliwości unikać wpisywania na nich haseł do poczty, konta online i chroniących inne cenne dla nas dane. Osoby dążące do złamania haseł mogą łatwo zakupić i zainstalować urządzenia służące do rejestracji sekwencji naciskanych klawiszy i w ten sposób zdobyć wszystkie informacje wpisywane za pośrednictwem klawiatury danego komputera. Wpisuj swoje hasła tylko na zaufanych komputerach albo zmieniaj je później, jeśli konieczne było skorzystanie z „obcego” komputera. nie podawaj nigdy swoich haseł w mailu ani nie odpowiadaj na takie żądanie wysłane pocztą elektroniczną. Jest to bardzo niebezpieczne, ponieważ wszelkie prośby o przesłanie hasła są zwykle oszustwem i próbą wyłudzenia, które może się dla nas skończyć ujawnieniem naszych danych. Nie przesyłajmy haseł nawet, jeśli prosi nas o to zaufana osoba lub instytucja: mail z hasłem może łatwo zostać przechwycony, a samo żądanie może pochodzić od podszywacza.
Jak postępować w wypadku kradzieży hasła?
Nawet jeżeli posiadamy silne hasła, należy zadbać o kontrolę informacji chronionych przez nie – czyli sprawdzać wyciągi finansowe, raporty kredytowe i dane kont w sklepach internetowych. Może się przecież zdarzyć, że przestępca włamie się do systemu przechowującego hasła, wchodząc tym samym w posiadanie nawet najsilniejszych haseł. Dlatego trzeba kontrolować sytuację i jak najszybciej poinformować odpowiednie władze w razie podejrzeń, że ktoś uzyskał dostęp do naszych danych.