Ostatnio pisałam o phishingu jako najpopularniejszym ataku cybernetycznym. Wspomniałam także, że silne i dobrze zbudowane hasła, systematycznie zmieniane i użytkowane wyłącznie do jednego konta mogą nas nieco wspomóc w tej nierównej cyberwojnie. Dziś chciałabym rozwinąć temat haseł i tego jak z nimi postępować, by przynosiło to nam korzyść.
Silne hasła – zasady tworzenia
W dobie coraz większej dostępności zasobów cyfrowych, szybszych procesorów, upowszechnienia się sieci botnetów i popularyzacji nauki programowania nasze hasła można łamać szybciej i efektywniej. Od czego więc zacząć? Przede wszystkim kluczowa będzie długość hasła. Potem użycie różnych rodzajów znaków (litery, cyfry, znaki specjalne). A już na samym końcu sprawdź czy takie hasło będzie odporne na tzw. atak słownikowy. No i unikaj kompilowania haseł ze swoich danych lub danych najbliższych, więc od razu powiem – odpada nazwisko, imię, data urodzenia, imię męża lub ukochanego psa.
Stwórzmy silne hasło
Jak? Do wyboru masz kilka możliwości. Użyj generatora haseł, ale uważaj, w dobie zbierania wszystkich danych taki generator może zapisywać wygenerowane przy jego użyciu hasła. Możesz też samodzielnie stworzyć hasło przy wykorzystaniu zasad, o których napisałam powyżej. Spróbujmy więc …
Hasło ma mieć nie mniej niż 8 znaków, zawierać małe, duże litery, cyfry i znaki specjalne. Czy zatem hasło „trAwnik7&” jest ok? No średnio, prawda? Jak widać takie hasło zawiera całe słowo niczym nie przerywane, tylko jedną cyfrę i tylko jeden znak specjalny. Jeśli jakiś cyberzbój będzie próbował złamać takie hasło to jest spora szansa, że przy wykorzystaniu ataku słownikowego jednak mu się uda. A gdybyśmy dodali w naszym haśle dodatkową cyfrę i dodatkowy znak specjalny? To nasze hasło mogłoby wyglądać tak „tr*Awn4ik7&”. Już lepiej. Wydłużając hasło zdecydowanie wydłużamy czas potrzebny do jego złamania, a wszystkie znaki specjalne i cyfry stanowią dodatkowe utrudnienia.
Higiena silnych haseł
Część z Was ma pewnie teraz wyraz lekkiego zdziwienia na twarzy – o co chodzi? Oczywiście chodzi o pewne zasady dotyczące tego jak często zmieniać hasła, gdzie je przechowywać. Jeśli chodzi o odpowiedź „jak często” to niektóre systemy same wymagają zmiany haseł co miesiąc. Ja pracuję na systemach bankowych i hasła muszę zmieniać co 30 dni. Unikam zmiany haseł według jakiegoś klucza, więc jeśli w styczniu miałam hasło „2022Przykl4d0w301” to zamiana go w lutym na „2022Przykl4d0w302” nie musi być najmądrzejszym posunięciem. Ile haseł muszę zmienić haseł w ciągu miesiąca? Około 50-ciu. Co miesiąc 50 nowych haseł, nie zawsze w tym samym czasie – jak to ogarnąć? Niektóre z systemów nie dopuszczają też sytuacji, w których obok siebie występują dwa takie same znaki, lub hasło nieznacznie różni się od używanego ostatnio. Ba, niektóre z nich nie mogą być podobne do 10-ciu ostatnio użytych. Dużo tego, by to wszystko spamiętać, więc korzystam z generatorów haseł. Przykład takiego narzędzia znajdziecie też na naszej stronie (https://www.unovalab.com/download/).
Menadżery do silnych haseł
Jak spamiętać tak dużą liczbę dziwnych haseł? Można je przechowywać w menadżerach haseł. W takiej sytuacji wystarczy pamiętać tylko jedno hasło (do menadżera), a on tam w środku spamiętuje te wszystkie długie ciągi. Niestety menadżery haseł to też tylko narzędzia cyfrowe stworzone przez człowieka i może się okazać, że z rozwiązań chmurowych nastąpi jakiś wyciek danych. W takiej sytuacji czeka Cię żmudna zmiana wszystkich haseł do wszystkiego.
Klucze U2F
Ciekawym rozwiązaniem jest zastosowanie klucza sprzętowego u2f. Ma też dodatkowy atut w postaci ochrony przed phishingiem. Po prostu klucz sprzętowy nie pozwoli Ci zalogować się na fałszywej stronie. Nawet wtedy, gdy wprowadzisz poprawny login i hasło. Klucze sprzętowe u2f z czasem stają się bardziej przystępne cenowo. Dobrą praktyką jest posiadać dwa klucze z tymi samymi danymi (jeden podstawowy, drugi jako kopia schowana gdzieś w bezpiecznym miejscu na wypadek utraty tego pierwszego). Niestety w bankowości klucze u2f nie są wykorzystywane. Nie można się zalogować przy użyciu tego klucza do aplikacji bankowej na telefonie. Mam nadzieję, że jednak jakiś bank się wyłamie i dostosuje swój system do tych narzędzi wzmacniając niesamowicie bezpieczeństwo danych konsumentów.
