| Data
8 lutego 2015

Lepiej tworzyć trudne hasła niż płakać po włamaniu na konto

Autor Robert Kramer

Ostatnio były dwa głośne wydarzenia związane z hasłami. Pierwsze to wyciek nagich zdjęć (mniej lub bardziej znanych aktorek np. Jennifer Lawrence) pochodzących z chmury Apple. Drugie, krótko później, to wyciek pięciu milionów haseł do kont Google (poczta Gmail). Oba wywołały duże poruszenie w internecie. Do tego miałem naoczny przykład, delikatnie mówiąc lekkiej ignorancji dotyczącej haseł do poczty e-mail. Dlatego chcę poruszyć temat haseł także na nietechnologiczni.pl, ponieważ jest to bardzo istotne zagadnienie, a niestety przez bardzo dużo osób całkowicie ignorowane.

Od czasu do czasu jestem proszony o pomoc w konfiguracji konta, często pocztowego. Gdy proszę o zalogowanie się na konto bym mógł przejrzeć ustawienia, w odpowiedzi słyszę hasło. Zadziwiające jest, że znaczna część ludzi nie ma żadnego oporu, by podać swoje hasło, gdy oczekuje ode mnie pomocy. Być może wynika to z zaufania do mnie, co mogłoby mnie cieszyć, gdyby rzeczywiście tak było. Jednak nie zawsze znamy się tak dobrze, by mógł ktoś wiedzieć, że nie wykorzystam tej informacji w sobie znanym celu - choć ja wiem, że nigdy tego nie zrobię. Gdy zwracam uwagę na to, że hasła nie muszę i nawet nie powinienem znać, często słyszę "to tylko poczta i nie ma tam niczego ważnego". Gdy sugeruję zmianę hasła na nowe i trudniejsze, słyszę, "do tego już jestem przyzwyczajony i łatwo mi je pamiętać". Obawiam się, że dochodzi jeszcze jeden czynnik, często przemilczany - "takie hasło mam ustawione wszędzie".

Zabezpieczenie poczty e-mail i weryfikacja dwuetapowa

Przede wszystkim chciałbym zauważyć, że hasło do poczty jest jednym z najważniejszych haseł z jakim mamy do czynienia (poza hasłem do banku). Jest tak, ponieważ posiadając dostęp do czyjegoś konta pocztowego możemy bez większego trudu przejąć większość innych kont, które zakładane były z wykorzystaniem tego adresu e-mail. W wielu przypadkach odzyskiwanie zapomnianego hasła działa w taki sposób, że link do resetowania hasła wysyłany jest właśnie na adres e-mail. Nic nie stoi zatem na przeszkodzie, by kliknąć w link "Nie pamiętam hasła", a następnie wygenerować tylko sobie znane hasło i na przykład zmienić adres e-mail do danej usługi. Jest to najprostszy sposób na przejęcie konta. W taki sposób można zmienić hasło na przykład na Facebooku. Skompromitować później kogoś jest bardzo łatwo.

Znacznie lepszym zabezpieczeniem jest włączenie weryfikacji dwuetapowej, jeżeli usługa taką opcję oferuje (np. Facebook, Gmail, Microsoft, Dropbox). Zabezpieczenie w ten sposób swojego konta znacznie zwiększa jego bezpieczeństwo, gdyż oprócz hasła konieczny jest na przykład kod SMS. Tak jest w przypadku konta Google, a więc też poczty Gmail. W przypadku zabezpieczonego konta w ten sposób, po wpisaniu hasła konieczne będzie też wpisanie kodu SMS, który Google wyśle na zdefiniowany wcześniej numer telefonu. Inaczej zalogowanie nie będzie możliwe. Zabezpieczenie tego typu często wykorzystywane jest w bankach i nawet jeżeli nie zawsze przy logowaniu do konta, to z pewnością przy próbie wykonania przelewu, czy zmianie danych. Tak robi na przykład mBank, z którego korzystam.

W przypadku kont Google, czy Facebook nie trzeba wpisywać kodu SMS przy każdym logowaniu. Można tak ustawić parametry usługi, by kod ten był potrzebny tylko w przypadku nowej przeglądarki lub komputera. Logując się więc w domu na swoim komputerze, nie będzie wysyłany kod SMS. Więcej na temat weryfikacji dwuetapowej dla wybranych usług znajdziesz na poniższych stronach:

Uruchomienie weryfikacji dwuetapowej na koncie Google

Zatwierdzanie logowania, czyli weryfikacja dwuetapowa na koncie Facebook

Informacje na temat weryfikacji dwuetapowej dla konta Microsoft

Inne hasło do każdej usługi i stopień trudności hasła

Drugą kwestią jest problem posiadania jednego hasła do wielu usług. W przypadku, gdy wszędzie logujemy się jednym hasłem istnieje zagrożenie, że w przypadku wycieku hasła do jednej usługi, stosunkowo łatwo będzie przejąć inne konto tego samego użytkownika. Wystarczy bowiem wpisać poznane już hasło z innej usługi. Z tego powodu powinniśmy wykorzystywać różne hasła. Z pewnością wiele osób zniechęca problem pamiętania haseł. Przy obecnej ilości różnych kont na jakie się logujemy jest to praktycznie niemożliwe. Dlatego za chwilę pokażę sposób na stosunkowo łatwe poradzenie sobie z tym zagadnieniem.

Podobnym problemem jest trudność hasła. Tworząc długie hasła z różną kombinacją znaków specjalnych, liter i cyfr, zwiększamy bezpieczeństwo hasła. W ten sposób znacznie zmniejszamy szanse odgadnięcia takiego hasła nawet przez programy napisane do tego celu. Warto zauważyć, że najczęściej włamanie na czyjeś konto jest wynikiem właśnie zbyt prostego hasła, a nie błędnie działającej usługi. Dlatego gorąco namawiam, by nie ignorować tego tematu i nie tworzyć zbyt prostych haseł. Niestety bardzo dużo osób ciągle tworzy hasła, które składają się ze swojego nazwiska z cyfrą na końcu lub są datą urodzin najbliższych - żony, czy dzieci. Zdecydowanie nie są to trudne hasła.

Przykładowa instrukcja na tworzenie różnych i trudnych haseł dla każdej usługi, których do tego nie musimy pamiętać oraz wykorzystywać żadnych programów wspomagających typu 1Password.

Jak tworzyć trudne hasła?

W pierwszym etapie musimy ułożyć sobie wzór. Będzie to schemat, który wykorzystamy za każdym razem przy tworzeniu hasła i później wpisywaniu go na stronie internetowej. Jest to najtrudniejszy etap, na który powinniśmy poświęcić trochę czasu. Myślę, że jakieś dwadzieścia minut wystarczy na utworzenie ciekawego wzoru i jego wstępne zapamiętanie. Idea jest taka, by ułożyć sobie pewien algorytm tworzenia hasła. Będzie to nasz wzór, jeden dla wszystkich haseł. Jedyną rzeczą, która będzie różniła hasła będzie słowo, na podstawie którego tworzymy dane hasło. Wiem, że w tej chwili wydaje się to bardzo skomplikowane, ale ostatecznie takie nie jest. Najlepiej opisać to na przykładzie. Za słowo - klucz niech posłuży domena nietechnologiczni.pl.

Opierając się na tym słowie tworzymy nasz algorytm. Ciąg znaków jaki powstanie powinien być jak najbardziej przypadkowy i składający się z wielkich i małych liter, cyfr i znaków specjalnych jak @, #, $, %, *, (, ) itp.

Ustalanie kolejnych znaków w przykładowym haśle:

  • Pierwszy znak w moim haśle jaki sobie wymyśliłem to znak specjalny @
  • Dalej stawiam ciągle tę samą wielką literę A
  • Kolejnym znakiem niech będzie pierwsza litera mojego słowa "nietechnolgoiczni", ale napiszę ją wielką, czyli N
  • Czwarty znak utrudniam i daję kolejną literę, która występuje w alfabecie po mojej trzeciej literze w słowie. Trzecią literą w słowie nietechnologiczni jest e, a kolejną literą w alfabecie jest f, więc moja litera to f.
  • Następny znak to . (kropka)
  • Teraz znak specjalny #
  • Następnie druga litera mojego słowa nietechnologiczni od końca, czyli n
  • Na końcu na przykład stały ciąg cyfr 548

Z powyższego przykładu wychodzi następujące hasło: @ANf.#n548

W ten sposób powstaje hasło składające się z dziesięciu znaków, które zawiera trzy znaki specjalne, małe i wielkie litery oraz cyfry. Zmienne są te znaki, które powstały na bazie słowa nietechnologiczni. Stałe znaki służą do wydłużenia hasła i wstawiania znaków specjalnych. Ułatwiają też zapamiętanie wzoru, gdyż w każdym haśle będą takie same.

W celu zapamiętania wzoru można go zapisać w skróconej formie: @A 1Z 3z+1 .# -2z 548

gdzie,
@A - stałe znaki w haśle
1Z - pierwsza litera (znak) słowa, ale zapisany wielką literą, więc zapisuję 1Z
3z+1 - trzecia litera (znak) słowa, ale +1, czyli kolejna litera w alfabecie. W tym przypadku zapisana małą literą, więc zapisujemy 3z+1 (małe z)
.# stałe znaki w haśle
-2z - minus oznacza liczenie od tyłu, więc drugi znak w słowie liczony od tyłu zapisany małą literą
548 - stałe znaki w haśle
Spacje między znakami są tylko po to, by wzór był bardziej czytelny, ale w zapisywanym haśle je ignorujemy.

Jest to bardzo prosty przykład żeby zobrazować o co chodzi. W Twoim haśle powinno znaleźć się więcej liter z głównego słowa, a najlepiej kolejne litery w alfabecie (jak w przypadku czwartego znaku) - domeny, nazwy marki, które wykorzystujemy do budowania hasła. Ponieważ słowo to jest nazwą marki lub domeny, na której się logujemy, nie musimy go zapamiętywać. Celowo użyłem słowa “nietechnologiczni”, gdyż właśnie tak mogłoby wyglądać hasło logowania na tej stronie.

Gdyby ten sam wzór zastosować do utworzenia hasła na stronie kramkom.pl uzyskalibyśmy takie hasło: @AKb.#o548

Łatwo zauważyć, że dla tego przykładowego wzoru tylko trzy litery są zmienne. Dlatego do ostatecznego wzoru powinniśmy wykorzystać więcej liter opartych na słowie kluczu. Dobrze też gdyby hasło miało przynajmniej trzynaście znaków. W ten sposób możemy zbudować całkiem mocne hasło, którego nie musimy pamiętać - wystarczy, że nauczymy się sposobu budowania hasła.

Gdyby okazało się, że wzór ten muszę zastosować do domeny składającej się tylko z dwóch znaków, to okaże się, że w czwartym znaku pojawia się konflikt, ponieważ buduję tam znak oparty na trzeciej literze słowa. W takim przypadku wykonujemy liczenie zapętlając słowo i tak na przykład dla domeny az.pl trzecim znakiem od początku będzie a, bo a - pierwszy znak, z - drugi znak, a - trzeci znak. Kolejną literą w alfabecie jest b, więc b jest moją literą wykorzystaną w haśle, a utworzone hasło będzie miało postać @AAb.#a548

Zdaję sobie sprawę, że cała ta procedura wygląda na bardzo zawiłą. Nauczenie się takiego wzoru też nie jest bardzo łatwe i na początku może irytować. Efekt jednak przychodzi bardzo szybko, a po kilku dniach używania takiego wzoru w praktyce, budowanie i odtwarzanie dowolnego hasła staje się bardzo naturalne i proste. W ten sposób możemy mieć nawet kilkadziesiąt haseł, żadne nie jest spisane i tak naprawdę żadnego nie pamiętamy. Jednak, gdy przychodzi do wpisania na dowolnej stronie wiemy co robić, a słowo klucz widoczne jest na pasku adresu strony internetowej. Zachęcam do wypróbowania tego sposobu i tworzenia bardziej złożonych haseł oraz używania weryfikacji dwuetapowej tam, gdzie jest to możliwe.

© Arto - Fotolia.com
Robert Kramer

Disqus Comments Loading...

Strona wykorzystuje pliki cookies do celów analitycznych. Korzystając ze strony wyrażasz zgodę na używanie cookies zgodnie z aktualnymi ustawieniami przeglądarki. Jeżeli nie chcesz, by strona zapisywała pliki cookies, zmień ustawienia przeglądarki.