Każdy się zgodzi, że silne hasło to podstawa wszelkiego bezpieczeństwa w sieci. Czy jednak każdy z nas potrafi stwierdzić, że jego hasło jest “silne”?
Wbrew pozorom nie jest to proste pytanie. Często można spotkać w wielu miejscach komputery oklejone żółtymi karteczkami zapisanymi przeróżnymi treściami. Oczywiście nie zawsze są to te feralne hasła, jednak… Czy jest to bezpieczny sposób przechowywania tych ważnych ciągów znaków? Prawdopodobnie większość z nas myśli “oczywiście, że nie”. Nierzadko jednak jest to pewien kompromis. Należy jednak zdać sobie sprawę, iż są zdecydowanie lepsze rozwiązania zapewniające zdecydowanie wyższe bezpieczeństwo, zarazem nie tracąc na “wygodzie żółtych karteczek” (choć w nieco innej prezencji…)
Przede wszystkim – hasło…
Zanim zacznie się rozmawiać o wygodzie, należy wspomnieć jakie samo hasło powinno być. Pojęcia stricte specjalistyczne, jak “silne”, “skomplikowane”, “32-, 64-, 128- (i więcej) -bitowe” brzmią bardzo mądrze, ale nie dla każdego są zrozumiałe. Dlatego warto zaznaczyć kilka ważnych cech dobrego hasła.
Po pierwsze: odrzucamy wszelkie hasła proste do zgadnięcia, tak zwane “słownikowe”, czyli złożone ze znanych słów. Każde haslo123, qwerty, kasia93 oraz abcdef są zupełnie nieakceptowalne z prostego powodu: nie trzeba być specjalistą, by odgadnąć taki ciąg znaków. Do nich podobnych jest więcej: password, [login]123... Widać tu pewną koncepcję? Takie hasła są zbyt oczywiste. To tak, jakby zapinać swój rower zapięciem z kombinacją 0-0-0. Pozbądź się takich haseł – to już będzie niesamowity skok naprzód w Twoim bezpieczeństwie w sieci!
…Silne hasło
Nie ma potrzeby pisać wielu zdań w tym temacie. Aby hasło było możliwie najlepsze powinno składać się z więcej niż 8 znaków. Zaleca się, żeby nie zawierało w sobie loginu oraz by posiadało zarówno małe, jak i WIELKIE litery, ale również cyfry oraz znaki specjalne. Do grupy takowych zaliczamy wszelkie piktogramy inne od liter i cyfr, zatem: znaki interpunkcyjne (choć często strony nie pozwalają na ich używanie) oraz “małpa” (@), dolar ($), procent (%) itp. Są to znaki powstające najprościej poprzez przytrzymanie SHIFT i stuknięcie jednej z cyfr. Widnieją one również bezpośrednio nad cyframi na klawiszu.
Idąc tym tropem można zaobserwować, że najlepsze hasła mogą wyglądać tak:
s!yW#Sd%Gs^nYz&Y$T
Zapamiętanie takich “potworków” jest chyba skrajnie niemożliwe, zwłaszcza w większej ilości. Dużo łatwiej zapamiętać coś podobnego do tego:
t0_Jest_S!ln3_h4sL0
Idea jest prosta: niech Twoje hasło będzie sensownym zdaniem (lub kilkoma wyrazami). Usuń między nimi spacje (bądź zamień ją na znak “_”), pewne litery ustaw jako wielkie, inne zamień na cyfrę (dla przykładu zamiast “E” można podać “3”, zamiast “A” – “4” itp.), jeszcze inne na znak specjalny (np. “i” na wykrzyknik “!”, “S” na dolar “$”). W ten sposób hasło będzie łatwiejsze do zapamiętania, a zarazem pozostanie mocne.
Aby hasło było najbardziej skuteczne warto jeszcze zapamiętać pewną mądrą radę: hasło jest jak Twoje klucze. Masz inny do domu, garażu, samochodu, skrzynki na listy, do biura… Zatem hasła też powinny być unikalne.
Zapisywanie haseł jest złą praktyką?
Przy takiej ilości kont do różnych stron, komputerów, aplikacji oraz usług liczebność haseł narasta drastycznie. Dlatego zapisywanie ich nie zawsze jest złą praktyką… Ale!
Zależy to oczywiście od metody zapisywania haseł. Feralne żółte karteczki odpadają, podobnie jak wszelkie notatniki (zarówno te fizyczne, jak i komputerowe). Dokument tekstowy na pulpicie zdecydowanie nie jest dobrą praktyką. Istnieje do tego specjalny rodzaj oprogramowania zwany menadżerem haseł. Programy te przetrzymują (najczęściej lokalnie, czyli na komputerze użytkownika) specjalny zaszyfrowany plik z bazą zapisanych kluczy. Plik ten szyfrowany jest – a jakże – hasłem (a niekiedy dodatkowo specjalnym kluczem lub nawet innym plikiem) . Przetrzymując taką bazę swoich haseł możemy zupełnie zapomnieć o pamiętaniu ( 😉 ) swoich haseł. Wystarczy znać jedno z nich, używanego do odblokowania pliku z hasłami w owym menadżerze. Pozostałe hasła mogą być nawet zupełnie losowymi ciągami alfanumerycznymi o dużych długościach – pozostaną silniejsze i trudniejsze do złamania. W ten sposób pozostaje nam zapamiętać tylko jedno silne hasło, a resztę po prostu kopiować z bazy i wklejać gdy jest taka potrzeba w polu logowania.
Przykładami menadżerów haseł mogą zostać aplikacje jak 1Password, KeePass czy LastPass, choć jest ich znacznie więcej.
Warto w tym miejscu pamiętać, aby przechowywać w innym miejscu kopię pliku takiej bazy haseł i co jakiś czas ją aktualizować. Utrata pliku z bazą bowiem zmusi użytkownika do resetowania każdego hasła. Kopia zapasowa na innym nośniku (np. na pendrive lub na dysku w chmurze) zabezpieczy przed stratą pliku z hasłami na przykład w wypadku awarii dysku twardego komputera.
Co więcej
Istnieje jeszcze kilka innych mechanizmów powiązanych z hasłami zwiększających bezpieczeństwo. Warto wiedzieć czym jest dwuskładnikowa weryfikacja. Dla zainteresowanych możemy polecić klucze USB, na przykład YubiKey. O tym wszystkim będzie jednak już innym razem.
Na zakończenie…
…ciekawostka: hasło jest jak bielizna.
- Nie noś go na widoku
- Zmieniaj je często
- Nikomu go nie pożyczaj
Dziękujemy za przeczytanie pierwszego wpisu na blogu Bezpieczna Firma. Zachęcamy do dalszego czytania 🙂
Pragniemy zaznaczyć: artykuł zawierał pewne uproszczenia, bowiem temat haseł jest niesamowicie rozległy. Prawdopodobnie w przyszłości pojawi się rozwinięcie tego wpisu. Nie chcesz czekać? Przeczytaj o aktualizacji PHP!
