Bezpieczne hasła

Hasło jest kluczem do tego, czego nie chcemy pokazać całemu światu. Gdy połączymy je z nazwą użytkownika powstaje nam najłatwiejszy sposób weryfikacji tożsamości i zalogowania się do danego systemu czy portalu internetowego. Niestety bardzo często znaczna grupa użytkowników Internetu lekceważy ten element i wykorzystuje hasła typu „qwerty”, „123456” albo co gorsza rok kanonizacji św. Dominika przez papieża Grzegorza IX. Wykorzystywanie takich haseł niesie za sobą ogromne ryzyko nieuprawnionego dostępu do naszego konta. Musimy też pamiętać, że również hasła łatwe do odgadnięcia pod katem socjotechniki nie będą dobrym pomysłem. Chodzi tutaj o imiona najbliższej rodziny, pupila czy nazwę ulubionego zespołu. Te dane, zazwyczaj w bardzo łatwy sposób, można wyczytać z naszych portali społecznościowych. Zresztą sami zamieszczamy. Kradzież tych danych może doprowadzić do nieuprawionego dostępu do naszego portalu społecznościowego, naszej poczty, czy nawet zasobów naszego pracodawcy, powodując przy tym bardzo kosztowne straty.

By czuć się bezpieczniejszymi (i w gruncie rzeczy nimi być) musimy pamiętać o tym, by budować silne hasła. Ataki na hasła to przeważnie ataki słownikowe, które polegają na wstawianiu zebranych o nas danych i wykonaniu próby logowania. Przykładowo jeśli posiadamy syna o imieniu Antoni, który urodził się w 1 czerwca 2012 roku, przestępca w pierwszej kolejności będzie próbował się logować do naszego konta wykorzystując różne wariacje zdobytych danych, np.:

„antoni2012”, „Antoni2012”, „antoni162012”, „Antoni162012”, „antoni01062012” itd.

Kolejną metodą jest jeden z moich ulubionych ataków, brutal-force. Polega ona na wykorzystaniu wszystkich możliwych kombinacji danego hasła. Przykładem jest czterocyfrowy pin do blokady telefonu. Przestępca rozpocznie procedurę włamania od podstawowych kodów, przykładowo „0000”, „1111”, „1234”, 0123”, a następnie wypróbuje wszystkie kolejne kombinacje, czyli: „0001”, „0002”, „0003” aż do „9999”. Między innymi z tych powodów, silne hasła powinny być pozbawione elementów ułatwiających przestępcy szybkie ich odgadnięcie lub złamanie. Silne hasło powinno zawierać ciąg znaków, którego nie znajdziemy w słowniku, a także powinno być na tyle długie, aby atak „na ślepo” nie przyniósł żadnego efektu dla przestępcy. Pamiętajmy, że dobre hasło powinno składać się z co najmniej jednej cyfry, zawierać co najmniej jedną dużą literę i co najmniej jeden znak specjalny. Ilość znaków takiego hasła nie powinna być mniejsza niż dwanaście.

Czytając powyższe rady wydaje się to być bardzo trudne, ale istnieje bardzo duża ilość porad jak generować swoje silne hasła. Najprostszą z nich jest ta, wykorzystująca mnemotechnikę prostą, którą opiszę na szybkim przykładzie. Zapisując się na studia wyższe musiałem założyć sobie konto w systemie uczelnianym WU. Nazwą użytkownika automatycznie jest numer indeksu, ale hasło musiałem nadać sobie samodzielnie. WU nie jest platformą, która przechowuje moje wrażliwe dane, ale jednak są w niej zawarte moje dane osobowe, indeks z ocenami, dane finansowe itd. Uzupełniając kwestionariusz powiedziałem sobie zdanie, które może być kluczem do zbudowania hasła:

W 2018 roku skończę WSB w DG

Na podstawie tego bardzo łatwego zdania możemy zbudować silne hasło. Wykorzystajmy tylko pierwsze znaki z każdego z wyrazów oraz wszystkie liczby. Otrzymamy wtedy:

W2018rsWSBwDG

Dodatkowo, jeśli chcemy, możemy je jeszcze bardziej skomplikować, dodając znaki specjalne w miejsce daty, a w miejsce liter cyfry. Przykładowo, możemy napisać datę trzymając przycisk SHIFT, a litery zmienić na „odpowiedniki” cyfrowe (S=5, B=8, G=9). I w taki sposób powstanie nam:

W@)!*r5W58wD9

Budowanie silnego hasła to jednak nie wszystko. Warto również wiedzieć jak je wykorzystać i jak je przechowywać. Pamiętajmy, by nigdy nie wykorzystywać tych samych haseł do różnych miejscach. Musimy też pamiętać, że nasze hasło, nawet gdy włożymy dużo trudu by było niemożliwe do odszyfrowania, przechowywane w postaci żółtej karteczki pod klawiaturą komputera nigdy nie będzie dobrym pomysłem. Nie podawajmy nikomu swojego hasła – nawet administratorom portalu czy informatykowi w pracy. Nigdy nie wykorzystujmy komputerów publicznych do logowania się do wrażliwych miejsc, np. banków czy konta e-mail. Komputery w hotelach czy lotniskach zazwyczaj są słabo zabezpieczone i szczególnie narażone na zainfekowanie oprogramowaniem typu keylogger.

W momencie gdy posiadamy większą liczbę kont, które wymagają podania nazwy użytkownika i hasła, z pomocą może nam przyjść menadżer haseł. Przykładem takiego oprogramowania jest KeePass.

Warto tylko pamiętać, by hasło „matka” było bardzo skomplikowane i przekraczało nawet osiemnaście znaków. Coraz częściej można też spotkać portale, które oferują dwuetapową weryfikację (lub dwuskładnikowe uwierzytelnianie). Jest to nic innego jak podanie drugiego hasła, które jest wysyłane przez system np. w postaci smsa na podany wcześniej numer telefonu. Pamiętajmy, że zawsze powinniśmy korzystać z tych silniejszych metod uwierzytelniania.

 

Fragment pracy dyplomowej
Zagrożenia z cyberprzestrzeni w życiu codziennym i biznesie.
Autor: Konrad Kowalczuk