Hasła są w erze cyfrowej kluczowym elementem ochrony naszych danych osobowych, finansowych i zawodowych. Jak zatem tworzyć hasła, które skutecznie chronią? Specjaliści z zespołu CERT Polska, działającego w instytucie NASK, przygotowali rekomendacje, które porządkują i aktualizują dotychczasowe zasady.
Hasło to pierwsza linia obrony przed nieautoryzowanym dostępem do naszych kont. Słabe hasło może zostać łatwo złamane przez cyberprzestępców i doprowadzić do kradzieży danych, pieniędzy, a nawet tożsamości.
Powtarzane dotąd jak mantra zasady tworzenia bezpiecznych haseł nie są już aktualne. Wszystko przez to, że zmieniają się urządzenia, pojawiają się nowe usługi, a dotychczasowa wiedza na temat skuteczności procedur uwierzytelniania prowadzi do nowych wniosków.
Wbrew pozorom częste, profilaktyczne zmienianie haseł nie jest zalecaną przez CERT Polska metodą ochrony swoich kont, ponieważ prowadzi do ustalania coraz prostszych haseł. Stosowanie znaków specjalnych i cyfr także nie podnosi poziomu bezpieczeństwa. Nie ma potrzeby okresowej zmiany hasła, chyba że mamy podejrzenie, że ktoś je poznał. Wtedy należy je niezwłocznie zmienić.
Eksperci z CERT Polska przygotowali nowe rekomendacje, które porządkują i odświeżają dotychczasowe żelazne zasady. Zalecenia te bazują na ich specjalistycznej wiedzy i uwzględniają doświadczenia zgromadzone w ostatnich latach.
Cechy bezpiecznego hasła
Aby hasło było trudne do złamania, powinno spełniać kilka kryteriów:
- Długość: Im dłuższe hasło, tym lepiej. Zaleca się, aby miało co najmniej 12 znaków. Jednocześnie warto, by hasła były dłuższe, budowane w oparciu o całe zdanie.
- Unikalność: Nie używaj tego samego hasła w różnych serwisach. Jeśli jedno z nich zostanie złamane, inne konta pozostaną bezpieczne.
- Brak oczywistości: Unikaj oczywistych słów, takich jak “hasło”, czy zbitek znaków jak “123456” czy “qwerty”. Nie używaj też informacji osobistych, jak imię, data urodzenia czy nazwa ulicy.
Silne hasło można stworzyć na różne sposoby. Najprostszym jest wylosowanie długiego ciągu znaków i zapisanie go w menedżerze haseł. Takie rozwiązanie jest jednak mało praktyczne, ponieważ trudno zapamiętać skomplikowane hasło.
Jak stworzyć własne, trudne do złamania hasło?
Przede wszystkim korzystaj z zasady pełnych zdań. Unikaj bezpośredniego używania znanych cytatów czy powiedzeń, choć po ich kreatywnej modyfikacji mogą one posłużyć ci jako inspiracja. Takie hasło powinno składać się z co najmniej pięciu słów, np. WlazlKostekNaMostekIStuka – to przykład silnego (choć teraz już nie) i łatwego do zapamiętania hasła.
Innym skutecznym sposobem jest tworzenie haseł na podstawie opisu wyimaginowanej sceny, która jest łatwa do zapamiętania i ma charakterystyczne elementy, np. zielonyParkingDla3malychSamolotow – opisuje nietypową, abstrakcyjną scenę. Ważne, aby scena była nierealistyczna lub zawierała coś abstrakcyjnego, ponieważ ludzie mają tendencję do wykorzystywania elementów, które ich otaczają lub które ostatnio widzieli. Taki nawyk może ułatwić atakującym dostosowanie słowników do konkretnych osób, co zmniejsza bezpieczeństwo hasła.
Kolejną ciekawą metodą jest użycie słów z kilku języków, np. DwaBialeLatajaceSophisticatedKroliki – siła tego hasła wynika z trudności w łamaniu zdań mieszających słowa z różnych języków. Słowniki używane w takich atakach zazwyczaj opierają się na jednym języku, co utrudnia złamanie tak skonstruowanego hasła.
Dobre hasło to nie wszystko
Włącz weryfikację dwuetapową wszędzie tam, gdzie to możliwe. Polega ona na wprowadzeniu znanego tylko nam hasła lub PIN-u oraz dodatkowej autoryzacji, np. kodem jednorazowym, potwierdzeniem w aplikacji na naszym urządzeniu lub użyciem dedykowanego klucza USB. Korzystanie z tego rozwiązania sprawia, że atakujący, nawet jeśli uzyska nasz login i hasło, nie będzie w stanie zalogować się do usługi, chyba że zdobędzie także drugi wymagany składnik uwierzytelnienia.
Notes, pamięć czy menedżer haseł?
Z kolei w zarządzaniu hasłami mogą pomóc menedżery haseł. Są to narzędzia, które ułatwiają zarządzanie danymi logowania, eliminując konieczność zapamiętywania wielu haseł. Mogą działać jako funkcje przeglądarek lub aplikacje w chmurze. Umożliwiają bezpieczne przechowywanie, generowanie mocnych haseł i automatyczne logowanie. Najpopularniejsze są menedżery wbudowane w przeglądarki, które są proste i wygodne. Warto jednak pamiętać o ryzyku utraty danych przy awarii urządzenia, zwłaszcza bez kopii zapasowej. Aplikacje oparte o rozwiązania chmurowe są w tym względzie bezpieczniejsze, ponieważ przechowują dane online, niezależnie od sprzętu użytkownika.
Co wynika z wycieków danych
Analiza upublicznionych haseł z wycieków danych dostarcza cennych informacji na temat nawyków użytkowników. Badania wskazują, że ponad połowa haseł ma długość nieprzekraczającą 8 znaków, co czyni je podatnymi na ataki. Ponadto, wśród najczęściej używanych haseł dominują proste ciągi znaków, takie jak “123456” czy “qwerty” oraz popularne imiona. Takie hasła są łatwe do odgadnięcia i nie zapewniają odpowiedniego poziomu bezpieczeństwa.
Tworzenie silnych i unikalnych haseł to podstawowy krok w ochronie naszych danych w sieci. Stosując się do powyższych wskazówek, znacznie zwiększamy swoje bezpieczeństwo i minimalizujemy ryzyko nieautoryzowanego dostępu do naszych kont.