Bankowość osobista, ważne dokumenty firmowe, kartoteka zdrowotna czy profil w mediach społecznościowych – dostęp online do każdego z tych miejsc jest dziś powszechny. Możemy zalogować się do nich, gdziekolwiek jesteśmy, aby wykonać transakcję czy wygenerować potrzebny dokument.
Wraz z rozwojem technologii ułatwiających życie pojawiają się zagrożenia takie jak utrata danych, środków na koncie czy nawet kradzież tożsamości, dlatego tak ważne jest, by do miejsc, w których przechowujemy prywatne dane, dostęp miały wyłącznie osoby uprawnione. Aby to zagwarantować, używa się haseł zabezpieczających i stosuje uwierzytelnianie, czyli potwierdzanie tożsamości użytkownika. Jak stworzyć bezpieczne hasło? Poniżej przedstawiamy kilka wskazówek, które pozwolą Ci uniknąć typowych błędów i poprawić bezpieczeństwo w internecie.
Dlaczego silne hasło jest tak istotne?
Hasło zdefiniować można jako kod zabezpieczający, po wpisaniu którego uzyskamy dostęp do urządzenia, programu lub dokumentu. Ma ono chronić zawartość i blokować dostęp postronnym osobom. Od jego skuteczności zależy bezpieczeństwo danych użytkowników prywatnych i instytucji. Silne hasło to takie, które jest trudne do złamania przez cyberprzestępców lub programy do łamania haseł. Każdy, kto korzysta ze skrzynki mailowej prywatnie i służbowo, robi zakupy online lub płaci rachunki przez internet, powinien znać podstawowe zasady tworzenia mocnego hasła. Straty generowane przez ataki cyberprzestępców, którym często to właśnie słabe hasła i brak ostrożności otwierają furtkę do ważnych danych, sięgają dziś milionów dolarów.
Jakie elementy powinno zawierać bezpieczne hasło?
Bezpieczne hasło powinno składać się z co najmniej 16 znaków, zawierać co najmniej jedną cyfrę, wielką i małą literę oraz symbol specjalny. Według mgr. inż. Kamila Kaczyńskiego z Wydziału Cybernetyki Wojskowej Akademii Technicznej: „Hasło jest odpowiednikiem klucza kryptograficznego, zatem istotna jest jego entropia, czyli losowość czy długość. Im bardziej jest ona zbliżona do siły kryptograficznej mechanizmu chroniącego dostęp do systemu, tym bardziej siła ochrony konta użytkownika jest zbliżona do założeń projektowych”. Oznacza to, że warto tworzyć dłuższe i trudniejsze hasła, gdyż im silniejsze hasło, tym więcej czasu zajmie próba jego złamania – niejednokrotnie będzie to zbyt czasochłonne, by uznać to zadanie za wykonalne. Jednocześnie warto pamiętać, że do łamania haseł używane są także programy komputerowe, które mogą podjąć wiele takich prób na godzinę.
Ważne, by hasło było zarówno nieoczywiste, jak i możliwe do zapamiętania przez użytkownika. To właśnie konieczność zapamiętania – a nie zapisania – hasła sprawia, że nowe rekomendacje zakładają rezygnację ze zbyt skomplikowanych ciągów literowo-cyfrowo-znakowych na rzecz dłuższych haseł, ale składających się z samych słów. Należy jednak podkreślić, że słów, które układają się w całość znaną wyłącznie właścicielowi hasła – unikajmy cytatów z książek czy tekstu ulubionej piosenki. Im wyższy poziom abstrakcji, tym lepiej, a urozmaicenie hasła słowem z innego języka jeszcze korzystniej wpłynie na jego moc.
Hasło: kreatywność
Skuteczne i przydatne mogą się okazać metody mnemotechniczne i budowanie haseł według wzoru. Przykładowo pierwsze litery poszczególnych wyrazów w zdaniu „Niezmiennie irytują Tomasza nieuprawnione próby pozyskania haseł do jego 5 kont przez jakże niekulturalnych 8 osobników będących cyberprzestępcami”, czyli NiTnpphdj5kpjn8obc, mogą stanowić hasło. Dla użytkownika łatwe do zapamiętania dzięki wymyślonemu zdaniu, dla przypadkowych osób – nie do odgadnięcia.
Także dodatkowe zmiany i modyfikacje, które sprawią, że słowo będzie różniło się od swojej postaci słownikowej, wzmocnią siłę hasła. Rekomendowane są także zdania składające się z losowo dobranych słów, które w żaden sposób nie łączą się ze sobą – karmazynowyGarnekinspektoraBicyklemodwiedzaPojemnikkałamarnicy. Jak widać, tworzenie hasła nie musi być przykrą koniecznością, lecz przyjemną aktywnością rozwijającą kreatywność.
Jedno konto – jedno hasło
Do każdego konta powinniśmy stworzyć inne hasło. Nie należy używać tego samego hasła do wielu kont. W przypadku wycieku danych przestępcy mogą wykorzystać takie hasło także na innych platformach i tym samym zdobyć dostęp do większej liczby danych. Pamiętajmy także o zasadzie unikalności hasła. Jeden model wykorzystywany na wiele sposobów nie stanowi silnego zabezpieczenia. Choć może się wydawać, że tylko my wiemy, jakich haseł i według jakiego wzorca zbudowanych użyliśmy na poszczególnych platformach, cyberprzestępcy mają ogromną wiedzę na temat zachowań użytkowników, a więc najprawdopodobniej z łatwością złamią takie zabezpieczenia. Hasłopraca, hasłosklep, hasłobank – zdecydowanie unikajmy tego typu rozwiązań. Cyberprzestępcy dobrze znają sposoby, za pomocą których ułatwiamy sobie zapamiętywanie i gdy pozyskają jedno hasło, na pewno sprawdzą je na wszystkie możliwe sposoby. „Ponowne wykorzystywanie haseł jest jednym z głównych problemów bezpieczeństwa systemów teleinformatycznych. Wykorzystanie tego samego hasła zarówno w słabo chronionym, pełnym błędów serwisie, jak i w podstawowym koncie poczty elektronicznej może bardzo szybko przeistoczyć wyciek haseł w serwisie, o którym zapomnieliśmy, w realny problem z kradzieżą naszej cybertożsamości” – mówi mgr inż. Kamil Kaczyński.
Nie idź na łatwiznę
Także zbyt proste hasła mogą być używane podczas ataków hakerskich, dlatego jeżeli używamy haseł typu qwerty czy 123456, możemy być pewni, że przestępcy już są w posiadaniu części naszych zasobów. Może się to wydawać nieistotne, jeżeli używaliśmy ich do mało ważnych w naszej ocenie serwisów, ale niewłaściwe osoby mogą zrobić użytek nawet z takiej wiedzy.
Szyfrowane hasła? Tylko dla profesjonalistów
W internecie znaleźć można także wiele porad, jak zastępować liczby czy litery czy w jaki sposób tworzyć hasła na bazie ulubionych cytatów, ale stosowanie tych zasad znane jest także cyberprzestępcom, więc warto być bardzo ostrożnym, jeśli decydujemy się na tę amatorską kryptografię. Możliwe również, że w przeszłości informacja o naszych ulubionych cytatach lub muzyce pojawiła się w mediach społecznościowych lub wspomnieliśmy o tym przy innej okazji, zatem nie warto ryzykować.
Pokaż mi swój dom, a odgadnę Twoje hasło
Hasło nie powinno wykorzystywać imion najbliższych osób czy psa lub kota ani nawiązywać do informacji, które bez problemu można znaleźć w internecie czy w mediach społecznościowych – ulubionego zwierzęcia, filmu, piosenki. Nieświadomie udostępniamy innym bardzo dużo informacji, a wiele z nich łatwo można ze sobą połączyć. Mocne hasło nie powinno zawierać dat naszych urodzin czy urodzin dzieci, partnera, liczb z adresów, numerów telefonów lub dokumentów osobistych – dowodu osobistego czy paszportu. Podsumowując, nie powinno mieć nic wspólnego z Tobą i Twoimi najbliższymi.
123456 w haśle – 0 na koncie
Przykładem bardzo słabych haseł są także sekwencje, czyli hasła takie jak abcdef, 123456 czy qwerty, wykorzystujące znaki sąsiadujące ze sobą na klawiaturze. Takie „zabezpieczenia” pojawiają się także w przypadku istotnych kont i pozwalają przestępcom zdobyć poufne informacje lub środki z konta. Nie warto jednak ustawiać tych ciągów nawet do kont, które wydają się nam mało istotne. Nie tylko naraża to na utratę danych, lecz także buduje złe nawyki.
Nie tylko należy tworzyć różne hasła do poszczególnych kont, ale także unikać podobieństw między nimi, zmiany tylko jednego elementu w haśle, ponieważ naraża to wszystkie konta z podobnym hasłem.
Podwójne zabezpieczenie
Warto korzystać z uwierzytelniania dwuskładnikowego. Dostęp do drugiego składnika ma tylko posiadacz konta – pod warunkiem że nie udostępnił go nikomu – zatem zwiększa to bezpieczeństwo. Stosowane są także inne rozwiązania, w tym biometryczne.
Zmieniać czy nie zmieniać?
Jeszcze do niedawna eksperci rekomendowali, by nawet najlepsze hasło regularnie zmieniać – raz na 2 – 3 miesiące. Zmiana taka ma sens tylko w sytuacji, gdy użytkownik faktycznie tworzy nowe, niepowtarzalne i silne hasło, z którego odtworzeniem nie będzie miał problemu. Nie powinno się powtórnie wykorzystywać starych haseł lub haseł używanych wcześniej do logowania w innych miejscach.
Menedżer haseł – wygoda i bezpieczeństwo
W świecie, w którym na co dzień co chwilę logujemy się do nowych urządzeń, pamiętanie każdego hasła może być trudne lub wręcz niemożliwe. To dlatego wiele osób ułatwia sobie zadanie, tworząc proste hasła według znanych schematów. Istnieją jednak rozwiązania wspierające użytkowników zarówno w tworzeniu silnych haseł, jak i ich bezpiecznemu przechowywaniu. Popularnymi narzędziami są generatory czy menedżery haseł, czyli programy do zarządzania hasłami. Według mgr. inż. Kamila Kaczyńskiego „Wykorzystanie oprogramowania typu menedżer haseł pozwala na znaczące zwiększenie wygody korzystania i bezpieczeństwa użytkowników. Wystarczy zapamiętać jedno bezpieczne hasło, aby uzyskać możliwość uwierzytelniania się w dowolnym serwisie”. Rozwiązania te omówimy w kolejnych artykułach cyklu „Bądź bezpieczny z #cyberWAT”.
Trudne hasło – łatwy dostęp
Ważne jest nie tylko utworzenie silnego hasła, ale także późniejsze dbanie o jego bezpieczeństwo. Mocne hasła chronią lepiej, dopóki o nie dbamy. Ważną zasadą jest nieudostępnianie hasła w jakiejkolwiek formie – ustnie lub pisemnie – innym osobom. Należy chronić swoje hasło, nie zapisywać go i nie zostawiać w łatwo dostępnych miejscach – pod klawiaturą komputera, na biurku w pracy czy w pobliżu urządzeń, z których logujemy się do swoich kont. Hasła nie należy przechowywać także w chmurze. Najlepiej byłoby oczywiście zapamiętać najważniejsze hasła, ale jeżeli nie jest to możliwe, można skorzystać z menedżera haseł czy szyfrowania plików.
Zasada ograniczonego zaufania
Często łamaną zasadą bezpieczeństwa danych jest logowanie się do ważnych kont na komputerach innych osób, logowanie się z publicznej sieci WiFi czy w miejscach, do których dostęp ma wiele przypadkowych osób. Zdecydowanie powinniśmy zachować ostrożność, korzystając z internetu w miejscach, nad którymi nie mamy żadnej kontroli.
Pamiętaj także o blokowaniu komputera i telefonu. Nie wpisuj haseł w miejscach publicznych, gdy istnieje ryzyko, że ktoś może to zauważyć. W autobusie czy w sklepie jesteśmy otoczeni ludźmi, którzy mogą przypadkiem lub celowo poznać wpisywane hasła i zrobić z nich użytek.
„Twoje konto zostało zainfekowane”
Jedną z najczęściej wykorzystywanych metod, by zdobyć nasze hasła, jest socjotechnika. Cyberprzestępcy podszywają się pod pracowników instytucji, którym ufamy – np. banków czy urzędów – i wykorzystują metody programowania neurolingwistycznego, manipulację, wzbudzanie lęku, by uzyskać hasła użytkowników, odnosząc się do ich emocji. Wielokrotnie im się to udaje, a znane i opisywane szeroko metody zastępują coraz nowszymi. Dopłata na paczkę, zaległa płatność, zwrot podatku – to tylko niektóre z oszustw, przez które tracimy swoje hasła.
Jeżeli więc ktoś prosi Cię o dane takie jak hasła do logowania, często próbując Cię straszyć lub wywierać na Tobie presję, zdecydowanie odmów, poproś o dane osobowe i nazwę instytucji, a następnie samodzielnie zweryfikuj tę osobę i zgłoś oszustwo. Nawet pracownik banku nie jest uprawniony do otrzymania Twojego hasła, dlatego nie obawiaj się sprzeciwu – jeśli inna osoba chce pozyskać takie dane, to z całą pewnością nie po to, by działać na Twoją korzyść.
Cyberprzestępcy do zdobycia haseł używają witryn phishingowych. Są one coraz lepiej przygotowywane, co zmusza nas do coraz większej czujności. Najprostszą metodą, by nie paść ofiarą takiego oszustwa, jest dokładne sprawdzanie adresów stron i niewchodzenie na nie przez linki. Należy również unikać klikania w linki sugerujące konieczność zmiany hasła, jeśli nie poprosiliśmy o to sami. Przestępcy stosują socjotechniki, by skłonić nas do wejścia na stronę – wykorzystują ciekawość lub straszą. Często wykorzystują do tego adres e‑mail, który udostępniliśmy, zatem pamiętajmy, by chronić swoją prywatność.
Kilka adresów e‑mail
Warto mieć specjalne adresy e‑mail do ważnych rzeczy i mniej istotne, na które przychodzą mniej znaczące informacje. Mgr inż. Kamil Kaczyński przypomina, że: „Zwyczaj stosowania wielu kont pocztowych pozwala także na ochronę prywatności w sieci oraz wprowadza cyberhigienę. Dzięki temu łatwo możemy zidentyfikować niechcianą pocztę, czy też uniknąć powiązania konta wykorzystywanego w jednej usłudze internetowej z usługami innych dostawców”. Jeżeli chcesz wiedzieć więcej, jak chronić swój adres e‑mail, koniecznie przeczytaj artykuł z naszego cyklu poświęcony temu zagadnieniu.
Czas na działanie
Postępowanie zgodnie z powyższymi wskazówkami znacząco zwiększy Twoje bezpieczeństwo w internecie. Warto dokładnie przeanalizować serwisy, do których się logujemy, przyjrzeć się swoim hasłom i w razie potrzeby je zmienić. Ważne są także regularne aktualizacje oprogramowania oraz przestrzeganie zasad dotyczących ogólnego bezpieczeństwa w sieci.
By przybliżyć naszym czytelnikom zagadnienia cyberbezpieczeństwa, w zrozumiały sposób opowiadamy o nich w cyklu „Bądź bezpieczny z #cyberWAT”: https://promocja.wat.edu.pl/cyberwat/.
Dominika Naruszko
Projekt graficzny: Katarzyna Puciłowska