O tworzeniu hasła
Hasła są ważne
Pomyśl przez chwilę o swoim kluczu do drzwi wejściowych. Ile różnych drzwi otwiera ten klucz? Czy byłbyś zadowolony z używania uniwersalnego klucza, aby dostać się do swojego domu? Hasła są właśnie jak ten unikalny klucz, są skutecznym sposobem identyfikacji i uwierzytelniania tego, kim jesteś. Jest to pierwsza, a czasem jedyna warstwa, która stoi pomiędzy Tobą a dostępem do Twoich pieniędzy, danych, kont w mediach społecznościowych i poczty elektronicznej lub dostępem kogoś innego do tych aktywów i podszyciem się pod Ciebie, kradzieżą lub zablokowaniem Cię.
Najczęstsze hasła to nadal: password, password1 i 12345678. Nawet hasło składające się z 8 znaków może zostać złamane w ciągu około 5 godzin przy użyciu standardowego komputera biurowego, a wiele haseł, które składają się z dat urodzenia, imion zwierząt domowych i dzieci, ulubionego zespołu lub drużyny piłkarskiej, można łatwo zgadnąć, czytając Twoje strony w mediach społecznościowych lub wyszukują Cię w Internecie.
Jedno hasło – jedno konto
Jednym z największych zagrożeń bezpieczeństwa systemów w firmach jest ponowne wykorzystanie haseł przez pracowników. Jeśli hasło dostępu do konta w pracy jest takie samo jak hasło do mediów społecznościowych, potencjalny wyciek z takiego serwisu (lub innych kont, na których używasz tej kombinacji nazwa użytkownika-hasło) może stanowić duży problem bezpieczeństwa dla Twojej organizacji.
Kiedy firma internetowa zostaje zaatakowana, tysiące informacji o klientach może zostać skradzionych, w tym adresy e-mail i hasła. Cyberprzestępcy korzystają z takich wycieków i natychmiast testują jak najwięcej kont (np. firmy użyteczności publicznej, sklepy internetowe, inne serwisy społecznościowe, usługi poczty internetowej) próbując kombinacji „nazwa użytkownika-hasło” w nadziei na przejęcie konta do dalszych przestępstw. To jest powód, dla którego potrzebujesz osobnego hasła dla każdego konta online.
Twój adres e-mail jest bramą dla wszystkich innych kont i miejscem, w którym resetujesz swoje hasła do innych serwisów. Mając to na uwadze, jeśli przestępca uzyska dostęp do Twojego konta e-mail, może przejąć kontrolę nad większością innych kont użytkownika, które posiadasz. W związku z tym do swojego konta e-mail posiadaj złożone i unikalne hasło, którego nikt nie będzie w stanie odgadnąć. Długość i złożoność hasła określa, ile czasu może zająć złamanie hasła przez cyberprzestępcę.
Cyberprzestępcy mogą używać komputerów do odgadywania haseł i włamywania się na konta, dosłownie przeszukując słownik, aż znajdą odpowiednie kombinacje słów, które zadziałają. Niektóre programy są wystarczająco wyrafinowane, aby wyszukać logiczne zamienniki, takie jak „4” dla „A”, „I” dla „1” itp. Z tego powodu zaleca się używanie hasła o długości ponad 8 znaków, a jeszcze lepiej 12 znaków lub więcej. Hasło powinno być złożone i trudne do odgadnięcia, a jeśli taka opcja jest możliwa, należy zablokować dostęp do konta po określonej liczbie nieudanych prób logowania.
Ważne jest by wymyślić unikalne bezpieczne hasło dla każdego z kont użytkowników, a także je zapamiętać.
Jak stworzyć silne hasło?
CERT Polska proponuje wiele przydatnych porad dotyczących haseł. Zaleca używanie pięciu losowych słów, które można zapamiętać, ale które naturalnie nie idą ze sobą w parze lub wymyślonego zdania.
Silne hasło można zbudować na podstawie jakiejś frazy, zdania (ale nie dosłownego cytatu!), która np. przedstawia wymyśloną przez nas scenkę, np. Cztery-Zielone-Słonie-Leżą-Na-Kanapie. Dobrym pomysłem jest również użycie w haśle cyfr i znaków specjalnych (*&%FŁ), lub dodatkowego słowa z języka obcego, a także kombinacji dużych i małych liter. Im dłuższe hasło, tym lepiej. Zaleca się wybieranie najdłuższych (12 i więcej znaków) haseł do kont administratora i innych ważnych kont w systemie (np. konto e-mail, konto bankowe) oraz tam, gdzie nie można zastosować uwierzytelnienia wieloskładnikowego (MFA).
Ważne!
Nie udostępniaj nikomu swojego hasła, to są prywatne informacje.
Dbaj o swoje hasła
Dobra wiadomość jest taka, że nie musisz pamiętać tych wszystkich długich i skomplikowanych haseł. Możesz użyć oprogramowania zwanego menedżerem haseł. Być może zauważyłeś, że Twoja przeglądarka już pyta Cię, czy chcesz, aby tworzyła i przechowywała dla Ciebie hasła. Jest to zintegrowany z przeglądarką menedżer haseł i można go bezpiecznie używać do celów osobistych, jednak istnieją problemy związane z bezpieczeństwem tego rodzaju menedżera haseł.
Zaleca się używanie niezależnego, samodzielnego menedżera haseł. Przeanalizuj menedżery haseł renomowanych firm i użyj tego, który uważasz za najbezpieczniejszy. Często wymaga to jedynie pobrania oprogramowania z ich strony internetowej i zarejestrowanie się przy użyciu adresu e-mail. Będziesz musiał zapamiętać tylko jedno, naprawdę dobre, złożone hasło do programu menedżera haseł, a następnie program ten zapamięta Twoje nazwy użytkowników oraz utworzy i zapamięta wyjątkowo bezpieczne hasła dla każdego z Twoich kont. Będzie mógł działać na wielu urządzeniach i w różnych przeglądarkach, można go również poprosić o zapamiętanie dodatkowych informacji, takich jak adresy, kody Wi-Fi, karty kredytowe, paszporty; wszystko w formie zaszyfrowanej. Menedżery haseł zapewniają opcję skonfigurowania uwierzytelniania wieloskładnikowego, aby zapewnić kolejną warstwę bezpieczeństwa.
Kolejna warstwa bezpieczeństwa
Innym świetnym sposobem na dodanie warstwy bezpieczeństwa do hasła jest użycie uwierzytelniania dwuskładnikowego (2FA) lub uwierzytelniania wieloskładnikowego (MFA). Proces ten jest coraz częściej stosowany i polega na wykorzystaniu odcisku palca, skanu siatkówki oka lub kodu wysyłanego do osobnego urządzenia, np. telefonu komórkowego, w celu dalszej weryfikacji Twojej tożsamości. Jeśli masz szansę korzystania z 2FA lub MFA, używaj ich w miarę możliwości. (patrz O uwierzytelnianiu dwuskładnikowym)
Czy Twoje hasło zostało już upublicznione?
Jeśli chcesz dowiedzieć się, ile razy Twoje dane logowania (adres e-mail i hasło) były ujawniane w wyniku naruszeń bezpieczeństwa, możesz sprawdzić to na stronie: haveibeenpwned.com. Jeżeli znajdziesz swoje dane w bazie, nie ma powodu do nadmiernego niepokoju, ponieważ wiele adresów e-mail było już narażonych na wycieki. Niemniej jednak ważne jest, aby zmienić swoje hasło, jeśli uważasz, że mogło ono zostać naruszone. Jeśli podejrzewasz, że masz wirusa w systemie, jeśli producent powiadamia Cię o podatności bezpieczeństwa w swoim produkcie lub ktoś z Twojej listy kontaktów dostaje od Ciebie e-maile, których nie wysłałeś, natychmiast wejdź na odpowiednie konta i zmień hasło. Nie zapominaj o aktualizacji haseł w menedżerze haseł.
Więcej o hasłach znajdziesz na stronach CERT Polska.