Na nic trudne hasło, jeśli wybrałeś pytanie pomocnicze takie jak te
Wielu internautów nie traktuje poważnie kwestii bezpieczeństwa i prywatności w Sieci. Trudno jednoznacznie wskazać najważniejsze elementy, na które należy zwrócić największą uwagę chcąc zadbać o prywatność i pewność, że nasze dane nie trafią w niepowołane ręce. Jednak jeśli stworzyć listę takich dobrych praktyk i przydatnych wskazówek, to mocne hasła i polityka bezpieczeństwa z nimi związana były by w tym zestawieniu bardzo wysoko.
Jak stworzyć dobre hasło?
Mamy szczęście, że mieszkamy w Polsce i mówimy po polsku. A to dlatego, że Polakom jest łatwiej zrozumieć, czym jest hasło, albo czym ono powinno być.
Już pierwsze ze znaczeń sugeruje, że hasłem jest zwięźle sformułowana myśl. Hasło dla Polaka to pewien slogan, frazes, maksyma, motto.
Amerykanie mają w tej kwestii nieco utrudnione zadanie. W języku angielskim hasło to password. A password składa się ze zbitki dwóch innych wyrazów: pass i word, co po przełożeniu na język polski oznacza: przepustkę i słowo.
Dlatego jestem wstanie zrozumieć, że Amerykanie i Anglicy mają słabe hasła np. do usług sieciowych. Bo jeśli w ich ojczystym języku hasło (password) oznacza jedno słowo będące przepustką, to efekty dosłownego zrozumienia tego pojęcia mogą być opłakane w skutkach.
Tak wygląda TOP 20 najpopularniejszych haseł w Sieci w 2014 roku według firmy Splashdata:
- 123456
- password
- 12345
- 12345678
- qwerty
- 1234567890
- 1234
- baseball
- dragon
- football
- 1234567
- monkey
- letmein
- abc123
- 111111
- mustang
- access
- shadow
- master
- michael
Dlatego Amerykanie i Anglicy tworzący hasła internetowe powinni myśleć o nich nie jako o pass+word lecz jako pass+phrases, czyli passphrases. Polacy mają ułatwione zadanie, dla nas hasła powinny być hasłami, czyli sloganami lub frazesami.
Hasła takie jak: qwerty, baseball, dragon, football czy monkey nie sią dobre. Hasło powinno być odpowiednio długie, najlepiej, żeby składało się z kilku wyrazów, w które wplecione zostaną wielkie i małe litery oraz cyfry i tzw. znaki specjalne. Tworząc mocne hasło możemy wyjść od ulubionego fragmentu jakiejś piosenki, tytułu filmu lub czegoś co jest nam bliskie i łatwe do zapamiętania.
Na potrzeby tego tekstu wymyślimy mocne hasło zbudowane na bazie tytułu jednego z najpopularniejszych seriali ostatnich lat, "Gry o tron". Samo hasło graotron jest słabe, ale możemy je jakoś zmodyfikować np. przez dodanie do niego ulubionej postaci. Wybieram Jona Snowa.
Mamy więc hasło: graotronjonsnow. Fajnie, ale nadal za słabo. Dlatego zamiast zapisu graotronjonsnow proponuję taką formę: graoTRONjonSnow. Teraz wystarczy wpleść do hasła kilka cyfr. Można zrobić to np. na zasadzie zastępowania liter podobnych do cyfr właśnie tymi cyframi. W myśl zasady, ze 1 to i, 3 to E, 4 to A itd.
Mamy więc hasło gr4oTRONj0nSnow. To już całkiem mocne hasło, ale możemy je jeszcze zmodyfikować. Sugeruję dodać jakiś znak lub znaki specjalne, takie jak: !, #, $, %, ^ itp.
Aby hasło wyglądało dobrze, a co za tym idzie było łatwe do zapamietania proponuję zastąpić literę w dwoma znakami ^^ (Shift + 6). W ten sposób powstało hasło gr4oTRONj0nSno^^. Trudne jak diabli i stosunkowo łatwe do zapamiętania, a jeśli nie do zapamiętania to do łatwego przypomnienia/odtworzenia.
Jak mocne jest takie hasło?
Tutaj z pomocą przychodzi strona HowSecureIsMyPassword.net, która mierzy siłę hasła na podstawie czasu, jaki potrzebuje przeciętny domowy komputer do jego odgadnięcia.
Tworzenie hasła zaczynaliśmy od "Gry o tron" i brzmiało ono tak: graotron. Według witryny How Secure Is My Password takie hasło zostanie złamane w ciągu 52 sekund.
Finalna wersja hasła brzmi gr4oTRONj0nSno^^ i według tej samej strony komputer będzie potrzebował… 12 bilionów lat na jego odgadnięcie. Brzmi bezpiecznie.
Więcej o tworzeniu mocnych haseł i sposobach na radzenie sobie z wymogami ich systematycznej zmiany znajdziesz w Poradniku “Jak skonstruować dobre hasło?" przygotowanym przez Przemysława Jaroszewskiego z CERT Polska.
Mocne hasło to nie wszystko
Może zdażyć się tak, że ktoś wykradnie dane od usługodawcy, u którego mamy konto. Może to być operator komórkowy, bank, ale również e-sklep, forum internetowe, serwis społecznościowy lub notatnik, który przechowuje dane w chmurze.
Jeśli będziemy mieli pecha, to nasze hasło trafi w niepowołane ręce. Dlatego warto pamiętać o dwóch rzeczach. Po pierwsze nie należy stosować jednego lub małej liczby haseł do wszystkich usług sieciowych. Zabezpieczymy w ten sposób inne konta w przypadku wycieku danych z jednej z usług. Po drugie należy korzystać z weryfikacji dwustopniowej wszędzie tam, gdzie jest to możliwe.
Czym jest weryfikacja dwustopniowa, zwana również logowaniem (uwierzytelnianiem) dwuetapowym, wyjaśnił ostatnio Maciek w jednym z odcinków Spider’s Web TV.
Więcej na temat logowania dwuetapowego przeczytasz tutaj.
Co z tymi pytaniami pomocniczymi?
Tworząc konta w różnych usługach internetowych jesteśmy często proszeni o udzielenie odpowiedzi na tzw. sekretne pytanie. Przeważnie możemy wpisać własne lub wybrać gotowe z listy. Wybieranie pytania pomocniczego z listy niesie ze sobą spore ryzyko. Łatwe pytanie z łatwą odpowiedzią może zostać wykorzystane do szybkiego przejęcia kontroli nad kontem internetowym.
Dużo światła na skalę tego ryzyka rzucają dane opublikowane przez Google Polska. Według badań haker dokonujący jednej (!) próby ataku na konta anglojęzycznych użytkowników miałby aż 19,7% szans na odgadnięcie odpowiedzi na pytanie “Jaka jest twoja ulubiona potrawa?”. Tym hasłem w ⅕ przypadków jest “pizza”.
Dobrym sposobem na zabezpieczenie się przed takim atakiem jest stosowanie unikalnych i bardzo osobistych pytań oraz odpowiedzi. Google pospowiada, że takie pytania to np. “Jaki jest numer twojej karty bibliotecznej?” i “Jaki numer ma twoja karta stałego pasażera?”. Co ciekawe, według raportu nie cieszą się one zbyt dużą popularnością. Zamiast tego wybierane są oklepane pytania, na które zdecydowana większość osób potrafi bez trudu podać odpowiedź.
Najlepszym rozwiązaniem jest wymyślenie własnego pytania lub wybranie takiego, na które liczba poprawnych odpowiedzi jest stosunkowo duża. Dodatkowo należy pamiętać, że pytania o imię psa, kolejne imiona rodziców, czy nazwisko panieńskie matki w czasach tryumfu serwisów społecznościowych tracą rację bytu. Większość odpowiedzi na takie pytania osoba atakująca bez trudu znajdzie na naszym Facebooku, Twitterze lub Instagramie.
Jak sporo informacji można wyczytać z czyjegoś Instagramu? Tylko zobacz.
Dlatego:
- ustaw mocne hasła,
- włącz logowanie dwuetapowe,
- zmień pytania pomocnicze na bardziej osobiste, pamiętając przy tym, że istnieje Facebook, Twitter i Instagram.
Powodzenia.
* Grafika: Shutterstock