Jak bezpiecznie używać haseł w sieci? Warto na pewno zdobyć trochę wiedzy o zagrożeniach, przed którymi mają nas chronić hasła. Trzeba też mieć świadomość, że dobre hasło to nie wszystko. Należy je też bezpiecznie przechować. O tym i innych aspektach stosowania haseł podczas sieciowej aktywności traktuje ten artykuł, do przeczytania którego mocno zachęcamy.
Współcześnie dostęp zabezpieczony hasłem możemy spotkać wszędzie. Dotyczy to zarówno urządzeń, jak i różnego rodzaju serwisów online, począwszy od bankowości, poprzez media społecznościowe oraz konta e-mail na sklepach internetowych kończąc. Wszędzie tam zabezpieczamy możliwość dokonywania zmian lub wykonywania operacji przy pomocy haseł. Jak bezpiecznie używać haseł w sieci? Przede wszystkim należy tworzyć je w sposób znacznie utrudniający ich odgadnięcie, a także bezpiecznie przechowywać i uważać na sprytne sposoby wyłudzania ich przez przestępców.
Aby hasło było bezpieczne, przede wszystkim musi mieć odpowiednią długość. Kiedyś uważano, że bezpieczną liczbą znaków dla hasła, która daje mu odporność na złamanie metodą brute force, jest 8. Dziś przyjmuje się, że minimalna długość hasła to 12 znaków. Możemy spotkać się z różnymi wymaganiami co do znaków zawartych w haśle. Różne aplikacje, strony internetowe i organizacje mogą żądać stosowania wielkich i małych liter, cyfr, znaków interpunkcyjnych oraz specjalnych. Może się też zdarzyć, że ktoś wykluczy użycie pewnego typu znaków w haśle.
Bezpieczne hasło – możesz użyć całych fraz zamiast ciągów przypadkowych znaków
Dobrym pomysłem na hasło jest stworzenie go z całej frazy, która będzie dla nas łatwa do zapamiętania. Fraza składająca się na hasło powinna zawierać co najmniej 4 słowa i 15 znaków, a także spacje. Można utworzyć hasło z frazy metodą asocjacji, czyli połączenia z obiektami istniejącymi w rzeczywistości. Hasłem może być na przykład zdanie: „To jest buda rudego psa Fafika”. Widzimy, że hasło powstałe z takiej frazy ma 30 znaków ze spacjami oraz dwie wielkie litery.
Może się zdarzyć, że w miejscu, do którego dostęp wymaga podania hasła, nie ma możliwości stworzenia go z pożądaną liczbą znaków. Należy wtedy zbudować hasło najbardziej złożone jak to możliwe. Stosujemy wtedy wielkie i małe litery, cyfry, znaki specjalne i interpunkcyjne. Możemy utworzyć też hasło z pierwszych liter tworzących dłuższą frazę. Pomoże nam to w zapamiętaniu hasła.
Jak bezpiecznie używać haseł w sieci? Silne hasło kontra hasło słabe
Skutecznym sposobem zabezpieczenia kont, danych i urządzeń mogą być silne hasła. Przykłady takich haseł to: „4/GDpT2V~E9Iu0v&h#Lw” lub „Vx:&W#Q*b!:38Wu`4l$\”. Są to hasła dwudziestoznakowe, zawierające wielkie i małe litery, cyfry oraz znaki specjalne.
Z kolei błędne, a więc słabe hasła to te, które łatwo odgadnąć. Należą do nich hasła składające się z jednego słowa, kilku cyfr, imion, tytułów znanych książek czy filmów. Warto też pamiętać, że data urodzenia, nazwa geograficzna czy nazwa gatunku rośliny lub zwierzęcia to nie jest dobry pomysł na hasło.
PIN zamiast hasła
Zamiast hasła dostępu często stosujemy PIN. Jest to ciąg nie mniej niż czterech cyfr zazwyczaj pełniący dodatkową funkcję zabezpieczającą. Każdy PIN powinien składać się z losowo wybranych znaków. Aby uzyskać dostęp do zasobu zabezpieczonego PIN-em, najczęściej należy także wprowadzić hasło, a w przypadku urządzenia lub karty płatniczej mieć fizyczny dostęp do nich.
Ochrona haseł – na czym polega?
Coraz częściej zdarza się, że przestępcy próbują wyłudzić dane użytkowników przy pomocy wiadomości phishingowych. Polega to na podszywaniu się na rzeczywiście istniejące instytucje lub firmy, które w wiadomości proszą o podanie danych albo zapoznanie się z dokumentem z załącznika, który jest zainfekowany. Dane, które starają się zdobyć nadawcy fałszywych wiadomości, to często właśnie hasła dostępu. Nigdy nie należy podawać haseł na żądania zawarte w e-mailach. Prawdziwe instytucje lub firmy, takie jak banki nigdy nie proszą użytkowników o podanie haseł w wiadomościach e-mail.
Innym sposobem na poznanie haseł jest nieświadome zainstalowanie tzw. keyloggera, czyli programu, który potrafi odczytywać hasła wpisywane z klawiatury. Może być on częścią fałszywego pliku przysłanego e-mailem. Nie należy więc otwierać załączników od niezaufanych nadawców.
Nasze hasła, frazy, które służą do ich tworzenia, a także kody PIN należy bezwzględnie zabezpieczać przed dostępem osób postronnych. Poniżej kilka sugestii jak to robić skutecznie:
- podczas wprowadzania haseł lub kodów PIN należy zwracać uwagę na najbliższe otoczenie; może się zdarzyć, że jest ktoś, kto próbuje odczytać nasze hasło;
- w przypadku różnych kont i urządzeń należy stosować odmienne hasła dla każdego z nich; ta zasada ważna jest szczególnie dla haseł zabezpieczających informacje poufne;
- warto pamiętać, aby nigdy nie podawać haseł lub PIN-ów przez telefon albo w wiadomości e-mail;
- nie należy udostępniać haseł i PIN-ów innym osobom, nawet najbliższym;
- po skorzystaniu z urządzenia lub konta, zawsze należy się z nich wylogować;
- szczególnie w przypadku kont bankowych lub zawierających wrażliwe dane osobiste należy zawsze stosować najsilniejsze hasła.
Uwierzytelnianie dwuskładnikowe
Serwisy internetowe czy banki stosują często uwierzytelnianie dwuskładnikowe. Jest to metoda zabezpieczenia dostępu do zasobów polegająca na jednoczesnym użyciu dwóch czynników uwierzytelniających. Najczęściej jest to hasło oraz dodatkowy element, do którego ma dostęp tylko uprawniony użytkownik. Może to być specjalny token albo odcisk palca. Przy uwierzytelnianiu dwuskładnikowym dopuszczalne jest używanie krótszych i mniej złożonych haseł, ponieważ drugi czynnik zabezpieczający stanowi sam w sobie bardzo silną ochronę.
Dlaczego stosować się do zasad tworzenia bezpiecznych haseł?
Specjalne zasady tworzenia haseł odgrywają bardzo ważną rolę przy zapewnianiu bezpieczeństwa cennych zasobów. Bez stosowania się do tych reguł, dajemy przestępcom swobodę wyboru wśród wielu metod łamania prostych haseł. Pozwala im to bez przeszkód uzyskiwać dostęp do ważnych informacji czy nawet zgromadzonych środków finansowych.
Niektóre ze sposobów nieautoryzowanego dostępu polegają na wykorzystaniu tzw. skrótu hasła (hash), czyli jego zaszyfrowanej wersji. Hashowanie haseł jest wykorzystywane już praktycznie wszędzie przy ich zabezpieczaniu. Niestety nawet w takich przypadkach włamywacze znajdują sposoby do obejścia zabezpieczeń. Oto kilka metod na złamanie hasła i uzyskanie dostępu do chronionych zasobów:
- brute force, czyli metoda prób i błędów polegająca na wprowadzaniu ciągów przypadkowych znaków aż do trafienia na pasujące hasło; przy hasłach o długości 8 znaków i dłuższych trudno sobie wyobrazić skuteczność tego sposobu;
- metoda słownikowa, w której włamywacz wykorzystuje słowniki najczęściej używanych haseł; listy te zawierają setki tysięcy pozycji, dlatego prawdopodobieństwo, że nasze proste hasło się tam znajdzie jest bardzo duże;
- tablice tęczowe są zbiorem często stosowanych haseł i ich skrótów (hash); skróty zapisane są w specjalny sposób przyspieszający łamanie haseł.
W związku z powyższym nietrudno zauważyć przewagę haseł złożonych i długich nad prostymi i krótkimi. Te pierwsze na pewno mogą znacznie lepiej zabezpieczyć miejsca, w których przechowujemy cenne zasoby.
Menadżer haseł – program przechowujący hasła
Jeżeli nie wiedzieliście jak bezpiecznie stosować hasła w sieci, mamy nadzieję, że ten artykuł rozwiał wiele z waszych wątpliwości. Na koniec chcemy krótko omówić sposób, przy pomocy którego łatwo można przechować każde hasło. Google lub inne serwisy udostępniają aplikacje on-line w postaci tzw. menadżerów haseł. Są to rodzaje baz danych, w których zapisane są rekordy zawierające hasła oraz inne dane z nimi związane. Istnieją także menadżery haseł off-line instalowane na urządzeniach mobilnych lub komputerach.
Bez względu na to, jakiego typu jest to baza, należy pamiętać, że zawsze dostęp do niej zabezpieczamy silnym hasłem oraz drugim elementem zabezpieczającym jednocześnie, czyli uwierzytelnianiem dwuskładnikowym. Lepiej też do przechowywania haseł do banków i innych ważnych miejsc nie stosować zbiorczych menadżerów. Nietrudno wszak się domyślić, że po uzyskaniu dostępu do menadżera przed przestępcą stoją otworem wszystkie zasoby zabezpieczone hasłami, które w nim znajdzie.
