Amerykański rząd mówi, jak tworzyć hasła w internecie, żeby były bezpieczne. Oto wytyczne
Nie wysługiwanie się menedżerami haseł, ani nawet tradycyjne "mała litera, wielka litera, cyfra i znak specjalny" - eksperci wypowiedzieli się, jakie hasła tworzyć.
Amerykański Narodowy Instytut Standardów i Technologii zabrał głos na temat rekomendowanych praktyk dotyczących tworzenia haseł przez członków tamtejszego rządu.
Pomimo powszechności autoryzacji dwuetapowej oraz weryfikacji biometrycznej, hasła wciąż pozostają głównym zabezpieczeniem praktycznie każdego konta - od bankowego, poprzez media społecznościowe, a kończąc na grach.
Pomimo upływu lat wciąż istnieje duża presja ze strony ekspertów cyberbezpieczeństwa, byśmy używali haseł bardziej skomplikowanych niż "1234567890" czy "dupa1234". Najlepiej wygenerowanych przez menedżera haseł, który zwykle uraczy nas propozycją całkowicie unikalnego, długiego i skomplikowanego hasła. Jednak amerykański Narodowy Instytut Standardów i Technologii ma trochę inne zdanie.
Jak wygląda silne hasło? Tak wyglądają obecne wytyczne dla amerykańskiego rządu
Amerykańskie wydanie Forbesa dotarło do najnowszych wytycznych dotyczących bezpieczeństwa rządowych systemów informatycznych, opublikowanych przez amerykański Narodowy Instytut Standardów i Technologii (NIST). Wśród rekomendacji znalazły się także nowe zasady tworzenia haseł i zabezpieczania dostępu do kont i profili w różnych systemach rządowych. Co było dość dużym zaskoczeniem, bo te, według relacji dziennika, pozostawały niezmienne od lat.
Hasła stosowane przez członków amerykańskiego rządu i jego administracji muszą mieć długość przynajmniej ośmiu znaków, lecz zalecane jest przynajmniej piętnaście. Hasła nie powinny odpowiadać na pytania specyficzne dla użytkownika (np. "Jak nazywał się twój pierwszy zwierzak?"), ani nie powinny być ponownie używane po tym jak hasło wyciekło - niezleżnie czy z usługi rządowej czy prywatnej. Nie powinno także zawierać słów specyficznych dla usługi rządowej, do której loguje się użytkownik (np. "ministerstwoobrony123").
Może zainteresować cię także:
Jednocześnie wytyczne podważają słuszność używania wszelkiego typu generatorów haseł. Nie dlatego, że narzędzie je generujące może łamać zasady bezpieczeństwa, lecz dlatego, że... tak wygenerowane hasła mogą być po prostu za długie.
W swoich wytycznych NIST wyjaśnia, że ilość korzyści płynących ze złożoności haseł ma się nijak do ilości wad tego rozwiązania. Instytut zaznacza, że użytkownicy prawdopodobnie nigdy nie zapamiętają hasła, które składa się z losowego zlepku cyfr, liter i symboli. W rezultacie prawdopodobnie skończy się na zapisaniu go lub przechowywaniu w miejscu, do którego haker lub osoba o mało pozytywnych zamiarach może uzyskać dostęp w przyszłości.
Wysoce złożone hasła wprowadzają nową potencjalną podatność na zagrożenia: jest mniej prawdopodobne, że zostaną zapamiętane i bardziej prawdopodobne, że zostaną zapisane lub przechowywane elektronicznie w niebezpieczny sposób. Chociaż praktyki te niekoniecznie są podatne na ataki, niektóre metody rejestrowania takich tajemnic będą. Jest to dodatkowa motywacja do niewymagania zbyt długich lub złożonych haseł.
Zrobienie z "hasła" "Hasła1!" wcale nie czyni go silnym
Ponadto NIST zaznaczyło, że obecne standardy "wielka litera, mała litera, cyfra i znak specjalny" - wbrew pozorom - nie przynoszą ze sobą zwiększenia bezpieczeństwa użytkownika. Jako przykład Instytut przytoczył przykład jednego z najbardziej nadużywanych (a więc i mało bezpiecznych) haseł: słowa "password" ("hasło"). Użytkownik, który wybrał "password" jako swoje hasło, z dużym prawdopodobieństwem wybierze "Password1", jeśli wymagane jest podanie wielkiej litery i cyfry lub "Password1!", jeśli wymagany jest również symbol.
Ludzie mają ograniczoną zdolność do zapamiętywania złożonych, arbitralnych sekretów, więc często wybierają hasła, które można łatwo odgadnąć. Aby rozwiązać wynikające z tego obawy dotyczące bezpieczeństwa, usługi online wprowadziły zasady zwiększające złożoność tych haseł. Najbardziej godną uwagi formą są reguły kompozycji, które wymagają od użytkowników wybierania haseł skonstruowanych przy użyciu kombinacji typów znaków (np. co najmniej jednej cyfry, wielkiej litery i symbolu). Analizy naruszonych baz danych haseł ujawniają jednak, że korzyści płynące z takich reguł są mniej znaczące niż początkowo sądzono, a wpływ na użyteczność i zapamiętywalność jest poważny.
Tak więc w myśl nowych wytycznych NIST, hasła powinny być dłuższe niż złożone. Eksperci w uzasadnieniu odwołali się do entropii w teorii informacji, która jest miarą nieprzewidywalności - w tym przypadku entropia to liczba kombinacji (haseł), które można utworzyć przy użyciu znaków. Im większa liczba kombinacji, tym trudniej jest atakującym złamać hasło za pomocą ataków brutalnej siły lub metod zgadywania.
Chociaż złożoność hasła może przyczynić się do wzrostu entropii, długość odgrywa znacznie większą rolę. Dłuższe hasło z większą liczbą znaków ma wykładniczo więcej możliwych kombinacji, co utrudnia atakującym odgadnięcie, nawet jeśli same znaki są prostsze.
Na wiele ataków związanych z używaniem haseł nie ma wpływu ich złożoność i długość. Rejestrowanie naciśnięć klawiszy, phishing i ataki socjotechniczne są równie skuteczne w przypadku długich i złożonych haseł, jak i prostych. [...] Użytkownicy powinni być zachęcani do tworzenia haseł tak długich, jak chcą, ale w granicach rozsądku. Ponieważ rozmiar hashowanego hasła jest niezależny od jego długości, nie ma powodu, aby zabraniać używania długich haseł (lub fraz), jeśli użytkownik sobie tego życzy. Niezwykle długie hasła (być może megabajtowe) mogą wymagać zbyt długiego czasu przetwarzania, więc rozsądne jest wprowadzenie pewnego limitu.
Więc jak powinno wyglądać silne hasło?
Według ekspertów amerykańskiego Instytutu o wiele lepszym rozwiązaniem jest używać długiego ciągu słów, które można faktycznie zapamiętać, a które nie mają osobistej wartości dla użytkownika (np. nazwa zwierzaka, nazwisko panieńskie matki, data i miejsce ślubu). W ten sposób jest mniej prawdopodobne, że użytkownik będzie musiał przechowywać hasło w innym miejscu, które jest podatne na atak (np. notatki w telefonie lub pliki tekstowe na komputerze) lub używać go ponownie do znudzenia i ryzykować, że w wyniku jednego wycieku utraci wszystkie konta.
Jako przykład hasła skonstruowanego na podstawie wytycznych NIST, Forbes podaje "big dog small rat fast cat purple hat jello bat" ("duży pies mały szczur szybki kot fioletowy kapelusz galaretka nietoperz"), zbite razem jako "bigdogsmallratfastcatpurplehatjellobat". Hasło ma aż 38 znaków, które są niczym jak ciągiem niepowiązanych ze sobą (ani użytkownikiem) słów. Hasło jest na tyle długie, że będzie stanowić wyzwanie dla każdego algorytmu próbującego go rozgryźć - tzw. atak brute-force. Ponadto kombinację można zapamiętać stosunkowo łatwo dzięki kilku rymom ukrytym w treści.