X

Najlepsze kasztany, czyli o hasłach

Gdzie są najlepsze kasztany i co ma z nimi wspólnego Zuzanna, to z pewnością wszyscy od dawna wiemy*. To, że tamto hasło służyło agentowi J-23 i niestety zostało dość szybko skompromitowane – także pamiętamy 🙂
Dziś trochę więcej o hasłach, ich bezpieczeństwie i nieświadomym ujawnianiu. A także o niektórych innych cechach haseł, czasem niezauważanych lub co najmniej niedocenianych.

[aktualizacja: 04.05.2022]

Hasło – moje, dobre, silne.

Zacznijmy od tego, że moje hasło znam tylko ja.
Jeżeli ktokolwiek je poznał – zobaczył gdy wpisywałem, zapisałem je na kartce i położyłem na biurku, sam mu je podałem lub namówił mnie do podania – to to już nie jest moje hasło. Takie hasło nadaje się tylko do zmiany. To jasne, prawda? I dotyczy to także tzw. haseł tymczasowych, które ktoś mi dostarczył jako pierwsze hasło do dowolnego systemu. Jeżeli ktoś mi je podał to znaczy, że je zna? Oczywiście. Zmieniam je więc jak najszybciej, aby nowe hasło stało się „moim”.

Hasła mają swoją „dobroć”. Dobre hasło to takie, które trudno odgadnąć osobie trzeciej. Nie jest imieniem nikogo z moich bliskich, marką auta, którym jeżdżę, nazwą bieżącego miesiąca, nie jest podobne do mojego identyfikatora ani do poprzednio używanych przeze mnie haseł itp.

Dobre hasło powinno być trudno nie tylko zgadnąć, ale także odkryć stosując zaawansowane metody łamania. Czyli:

  • powinno składać się ze znaków różnego typu – małe i wielkie litery, cyfry, znaki specjalne,
  • nie powinno być jednym ze słów, które można znaleźć w słowniku,
  • musi być odpowiednio długie: w zależności od zastosowania powinno to być 8-12 znaków i więcej.

I teraz wracamy do „hasła dobrego”. Weźmy np. takie: Gh2ygKlo86$dFhtgt#%kjh3df. To jest silne hasło, ale to też (raczej) niemożliwe do zapamiętania, więc trzeba je zapisać na kartce… 🙁
Niedobrze, pamiętaj, że dobre hasło to takie, które jesteś w stanie zapamiętać.

Popatrz z kolei na takie hasło – BpGbW15s! – wbrew pozorom wcale nie jest takie trudne do zapamiętania. Do jego stworzenia użyłem tzw. frazy kodującej (ang. passphrase), która jest przykładem mnemotechniki. Zacząłem od zdania „Bitwa pod Grunwaldem była w 15. stuleciu!”, wykorzystałem pierwsze litery z każdego słowa, na przemian duże i małe litery, a dodatkowo cyfry i znaki specjalne. W ten sposób powstało dobre i silne hasło, które łatwo zapamiętać, bo… pamiętam oryginalne zdanie.

Ale dobrym hasłem jest także BitwaPodGrunwaldem-15w! Wybór należy do Ciebie.

Skompromitować/ujawnić hasło jest niestety dość łatwo.

O sytuacji, gdy kartka z hasłem leży na biurku nawet nie wspominam! To jest z pewnością pełna kompromitacja (właściciela też…). Ale zauważ także inną sytuację – ile razy wpisywałeś identyfikator i hasło, nie patrząc na ekran, i na koniec okazywało się, że obie wartości wpisałeś w jedno pole, właśnie to, którego zawartość cały czas widać na ekranie? Hasło widać było na ekranie, więc można je było podejrzeć. Ujawnione? Tak. Zapisało się także w logach systemu (wewnętrznych rejestrach operacji), więc stało się znane wszystkim, którzy do tych logów mają dostęp (i zarchiwizuje się na wiele lat…). Hasło jest do natychmiastowej zmiany.

A ile razy używałeś tego samego hasła do wielu różnych serwisów? Do bankowości elektronicznej, do sklepu internetowego, poczty elektronicznej, Facebooka czy innego Snapchata? Masz wszędzie różne czy to samo hasło? Bo bardzo złą praktyką jest używanie tego samego. Dlaczego? W takiej sytuacji np. dostęp do twoich pieniędzy jest tak samo chroniony, jak dostęp do konta w sklepie z upominkami. Poziomy zabezpieczeń we wszystkich tych serwisach są bardzo różne: bankowe – bardzo silne, w innych – zwykle słabsze. Jeżeli ktoś złamie zabezpieczenia jednego z nich to pozna „wszystkie twoje hasła” czyli to jedno, którego wszędzie używasz… Najsłabsze ogniwo się kłania.

Na koniec

A gdy już pozmieniasz swoje hasła na dobre, silne, unikalne, może nawet będziesz je nawet co pewien czas zmieniał na nowe, to zwróć też uwagę na PIN-y – do kart płatniczych, telefonów, systemów alarmowych itp. Koniecznie zadbaj, aby były znane tylko tobie 🙂

*kto nie wie skąd pochodzi ta historia, tego zachęcam do obejrzenia 11. odcinka serialu „Stawka większa niż życie” lub przeczytania książki Andrzeja Szypulskiego i Zbigniewa Safjana pod tym samym tytułem.